harald99
Goto Top

GPO: Ausführung nur von signierten Dateien zulassen

Hallo,

ich will vielleicht die o. g. Einstellung anwenden.
Wenn ich das richtig sehe, werden nur noch signierte Programme von Anwender gestartet werden können.
Das sollte doch problemlos sein gehen, wenn man MS Office, Firefox & Co nutzt und nicht irgendwelche exotischen Programme von kleinen Softwarehäusern?

Content-Key: 8111162151

Url: https://administrator.de/contentid/8111162151

Printed on: May 28, 2024 at 08:05 o'clock

Member: O.Gensch
O.Gensch Aug 11, 2023 at 12:28:18 (UTC)
Goto Top
Member: Harald99
Harald99 Aug 11, 2023 at 12:38:09 (UTC)
Goto Top
Das kenn ich schon und beantwortet nicht die Frage, wie gut das läuft
Member: DerWoWusste
DerWoWusste Aug 11, 2023 at 12:44:42 (UTC)
Goto Top
Wir wissen nicht, was du nutzt. Office und Firefox wird nicht alles sein, was du benötigst.
Du könntest ein Skript nutzen, dass deinen jetzigen Rechner nach .exe durchsucht und dann bei allen Funden schaut, ob digital signiert. Das googlest Du dir in 2 Minuten.
Member: DerWoWusste
DerWoWusste Aug 11, 2023 updated at 13:43:06 (UTC)
Goto Top
Beispielcode, auszuführen auf einer elevated powershell:
$exesigs = (gci "C:\program files\*.exe" -recurse | Get-AuthenticodeSignature | select -property status,path)  
foreach ($exesig in $exesigs) {if ($exesig.status -ne "Valid") {write-host $exesig.path traegt keine gueltige digitale Signatur}}  
Member: Harald99
Harald99 Aug 11, 2023 at 16:19:30 (UTC)
Goto Top
Mir ging es eher um Erfahrungswerte.
Aber da es eh nur ein Problem bei Adminauführung gäbe, ist die Wahrscheinlichkeit klein.
Member: DerWoWusste
DerWoWusste Aug 11, 2023 at 19:21:29 (UTC)
Goto Top
Die Einstellung ist aus dem Bereich Hochsicherheit. Normalerweise macht man sich das Leben nicht so schwer. Viele Anwendungen sind unsigniert, selbst windowsintern.
Member: incisor2k
incisor2k Aug 12, 2023 at 16:25:24 (UTC)
Goto Top
Bei uns wird das derzeit eingeführt. Allerdings nicht nur Programme, auch Scripte werden kommend nur noch signiert ausführbar sein (Batch damit gar nicht mehr). Sobald das erste Erfahrungen gibt, teile ich die gerne.

PS: Die Richtlinie greift bei uns allerdings nur außerhalb von \Windows und \Programme[...], da Nutzer darin ohnehin keine Schreibrechte haben.
Member: Harald99
Harald99 Aug 12, 2023 at 19:55:05 (UTC)
Goto Top
Zitat von @incisor2k:

Bei uns wird das derzeit eingeführt. Allerdings nicht nur Programme, auch Scripte werden kommend nur noch signiert ausführbar sein (Batch damit gar nicht mehr). Sobald das erste Erfahrungen gibt, teile ich die gerne.

guter Hinweis

PS: Die Richtlinie greift bei uns allerdings nur außerhalb von \Windows und \Programme[...], da Nutzer darin ohnehin keine Schreibrechte haben.
Wie macht man das denn oder was meinst du genau?
Member: DerWoWusste
DerWoWusste Aug 13, 2023 at 07:56:07 (UTC)
Goto Top
Das könnte man mit Applocker machen, der kennt sowohl Signaturen als auch Pfadunterscheidung.
Member: Harald99
Harald99 Aug 13, 2023 at 11:02:10 (UTC)
Goto Top
Wahrscheinlich werde ich es anders machen, für Domain-Admins gibt es eine Ausnahme.
Und du schiebst mal an anderer Stelle von Problemem mit Applocker, wenn man nicht Enterprise hat.
Member: incisor2k
incisor2k Aug 13, 2023 at 11:07:31 (UTC)
Goto Top
Du wirst dich aber hoffentlich nicht als DomAdmin an den Clients anmelden wollen?!
Member: Harald99
Harald99 Aug 13, 2023 at 11:11:40 (UTC)
Goto Top
Doch, um nach Updates zu checken, und nein, wir haben keinen WSUS.
Member: incisor2k
incisor2k Aug 13, 2023 at 11:23:21 (UTC)
Goto Top
Ok, dann nur noch ein kleiner Hinweis und dann lass ichs auch mit dem Off-Topic.

Privileged Access Model
Member: Harald99
Harald99 Aug 13, 2023 at 11:35:32 (UTC)
Goto Top
Spielt keine große Rolle, da es eh eine Samba-ADS-Domain ist.

Aber dennoch, ich wollte da mal dran; ich hab diese Sache mal ausgelagert:
Automatischer lokaler Admin
Member: DerWoWusste
DerWoWusste Aug 13, 2023 at 17:47:52 (UTC)
Goto Top
Es gibt keine Probleme mit Applocker auf Pro. Und den Domadmin zu nutzen, dass lass an Clients ganz schnell sein.
Mein Ansatz: Sicherer Umgang mit Supportkonten