GPO: Ausführung nur von signierten Dateien zulassen

Hallo,

ich will vielleicht die o. g. Einstellung anwenden.
Wenn ich das richtig sehe, werden nur noch signierte Programme von Anwender gestartet werden können.
Das sollte doch problemlos sein gehen, wenn man MS Office, Firefox & Co nutzt und nicht irgendwelche exotischen Programme von kleinen Softwarehäusern?

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 8111162151

Url: https://administrator.de/contentid/8111162151

Ausgedruckt am: 21.11.2024 um 22:11 Uhr

15 Kommentare

Neuester Kommentar

Hallo,

denke das ist es wonach du suchst

learn.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/user-account-control-only-elevate-executables-that-are-signed-and-validated

LG

Das kenn ich schon und beantwortet nicht die Frage, wie gut das läuft

Wir wissen nicht, was du nutzt. Office und Firefox wird nicht alles sein, was du benötigst.
Du könntest ein Skript nutzen, dass deinen jetzigen Rechner nach .exe durchsucht und dann bei allen Funden schaut, ob digital signiert. Das googlest Du dir in 2 Minuten.

Beispielcode, auszuführen auf einer elevated powershell:

$exesigs = (gci "C:\program files\*.exe" -recurse | Get-AuthenticodeSignature | select -property status,path)  
foreach ($exesig in $exesigs) {if ($exesig.status -ne "Valid") {write-host $exesig.path traegt keine gueltige digitale Signatur}}  

Mir ging es eher um Erfahrungswerte.
Aber da es eh nur ein Problem bei Adminauführung gäbe, ist die Wahrscheinlichkeit klein.

Die Einstellung ist aus dem Bereich Hochsicherheit. Normalerweise macht man sich das Leben nicht so schwer. Viele Anwendungen sind unsigniert, selbst windowsintern.

Bei uns wird das derzeit eingeführt. Allerdings nicht nur Programme, auch Scripte werden kommend nur noch signiert ausführbar sein (Batch damit gar nicht mehr). Sobald das erste Erfahrungen gibt, teile ich die gerne.

PS: Die Richtlinie greift bei uns allerdings nur außerhalb von \Windows und \Programme[...], da Nutzer darin ohnehin keine Schreibrechte haben.

Zitat von @incisor2k:

Bei uns wird das derzeit eingeführt. Allerdings nicht nur Programme, auch Scripte werden kommend nur noch signiert ausführbar sein (Batch damit gar nicht mehr). Sobald das erste Erfahrungen gibt, teile ich die gerne.

guter Hinweis

PS: Die Richtlinie greift bei uns allerdings nur außerhalb von \Windows und \Programme[...], da Nutzer darin ohnehin keine Schreibrechte haben.

Wie macht man das denn oder was meinst du genau?

Das könnte man mit Applocker machen, der kennt sowohl Signaturen als auch Pfadunterscheidung.

Wahrscheinlich werde ich es anders machen, für Domain-Admins gibt es eine Ausnahme.
Und du schiebst mal an anderer Stelle von Problemem mit Applocker, wenn man nicht Enterprise hat.

Du wirst dich aber hoffentlich nicht als DomAdmin an den Clients anmelden wollen?!

Doch, um nach Updates zu checken, und nein, wir haben keinen WSUS.

Ok, dann nur noch ein kleiner Hinweis und dann lass ichs auch mit dem Off-Topic.

Privileged Access Model

Spielt keine große Rolle, da es eh eine Samba-ADS-Domain ist.

Aber dennoch, ich wollte da mal dran; ich hab diese Sache mal ausgelagert:
Automatischer lokaler Admin

Es gibt keine Probleme mit Applocker auf Pro. Und den Domadmin zu nutzen, dass lass an Clients ganz schnell sein.
Mein Ansatz: Sicherer Umgang mit Supportkonten

Frage Microsoft Windows Server Sicherheitsgrundlagen

Mehr von Harald99

Bintec IPv6Harald99 - 34 Kommentare

Wake on rtc noch späterHarald99 - 4 Kommentare

Wake on rtc NachholzeitraumHarald99 - 4 Kommentare

Powertoys per GPO verteilenHarald99 - 15 Kommentare

Heiß diskutiert