ganymed
Goto Top

IE Zugriff verweigen

Hallo,

ich möchte einige Tage lang Benutzern den Zugriff auf den IE verweigern.
Alles was ich dazu gefunden habe drehte sich um Terminalserver. Den nutze ich aber nicht.
Umgebung: W2k3 ,Clients von XP über Vista bis Win7 alle in 32 und 64 bit.

Ich möchte nicht die Proxyeinstellungen ändern, denn die werden auch für andere Dinge benötigt.
Einige Programme verwenden dafür die Systemeinstellungen.

Ich habe auch schon mit den Softwarebeschränkungsrichtlinien getestet.
Das funktioniert aber nicht da beißt sich eventuell
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% "Nicht eingeschränkt" und
Der Unterordner Internet Explorer "Nicht erlaubt".

Hat jemand eine Idee was ich machen könnte?

ganymed

Content-ID: 191428

Url: https://administrator.de/forum/ie-zugriff-verweigen-191428.html

Ausgedruckt am: 22.12.2024 um 05:12 Uhr

Fidel83
Fidel83 18.09.2012, aktualisiert am 19.09.2012 um 09:00:02 Uhr
Goto Top
Hallo

Applocker ist echt keine Lösung?

http://technet.microsoft.com/en-us/windows/applocker.aspx

LG

edit: Dein Nichterlauben des Ordners vom IE ist nicht korrekt. Erlaube nicht die Ausführung der iexplore.exe. Geht sowohl unter XP, als auch 2k3. Vista und 7 supporten ja sowieso Applocker.
DerWoWusste
DerWoWusste 18.09.2012, aktualisiert am 19.09.2012 um 00:00:45 Uhr
Goto Top
Moin.

Beschreib Dein Problem bitte auch für andere nachvollziehbar face-smile
Das funktioniert aber nicht
ist so unklar wie nur eben möglich.
Wenn Du mit SRPs umgehen kannst, also alles andere verweigerbar ist (Teste meinetwegen mit calc.exe), dann kann man sich fragen, ob sich da etwas "beißt" - obwohl: kann sich da was beißen? Gehen Erlaubnisse nun vor Verboten, oder nicht? In jedem Fall kannst Du es so lösen.
Auch mit der Verteilung einer ACL für die iexplore.exe wäre es schon getan, das kannst Du im Bereich Sicherheitseinstellungen einer Computer-GPO machen.

@Fidel83:
Zu applocker: Vista kennt noch kein applocker und bei win7 nur Enterprise/Ultimate.
ganymed
ganymed 19.09.2012 um 08:57:50 Uhr
Goto Top
Hallo Fidel83,

Dein Link funktioniert leider nicht. "Leider kann die Seite, die Sie angefordert haben, nicht gefunden werden."
Kenne Applocker nicht benutze SRPs in einer Gruppenrichtlinie.
Habe versucht einmal Pfad und einmal exe nicht zu erlauben.
Fidel83
Fidel83 19.09.2012 um 09:03:16 Uhr
Goto Top
Guten Morgen

Hab meinen Link mal abgeändert. Jedoch hat DerWoWusste auch recht. Applocker funktioniert nur unter Enterprise/Ultimate. Dann musst du die Gruppenrichtlinie mal prüfen. Könnte diese durch eine andere Richtlinie betroffen sein? Gib doch mal die Richtlinie hier bekannt?

LG
ganymed
ganymed 19.09.2012 um 09:21:42 Uhr
Goto Top
Hallo DerWoWusste,

mein eigentliches Problem ist, dass ich mir nicht sicher bin, ob SRPs der einzig mögliche Weg dafür sind.
Hier die Langfassung was ich getestet habe und leider nicht funktioniert hat.
Eine neue Organisationseiheit angelegt und einen Testuser hinzu gefügt.
Meine GPO die die SRP enthält exportiert und in eine neue GPO test importiert.
Darin enthalten sind jetzt verschiedene Pfad- und Hashregeln die alles angeben was erlaubt ist.
Alles was dort nicht enthalten ist kann nicht ausgeführt werden. Ist getestet und funktioniert seit Jahren sehr gut.
Diese TestGPO habe ich meiner Test-Organisationseiheit hinzugefügt.
In der TestGPO habe ich zu erst die Pfadregel "C:\Program Files\Internet Explorer\iexplore.exe" nicht erlauben hinzugefügt (Benutzerkonfiguration).
Dann am Client gpupdate und Neustart.
IE lässt sich mit dem Testbenutzer dennoch starten.
Danach kam ich auf die Idee, es heißt ja Pfad- und nicht Dateiregel. Habe also das ganze nochmal mit der Pfadregel "C:\Program Files\Internet Explorer" nicht erlauben gemacht.
Ebenfalls ohne Erfolg.
Als Computerkonfiguration habe ich nicht getestet.
kontext
kontext 19.09.2012 um 09:23:53 Uhr
Goto Top
HeyHo @ganymed,

willst du nur den Zugriff auf den IE blocken oder willst du den Zugriff ins Internet blocken?
Evtl. mal die Firewall bearbeiten und sagen das die IP XY kein HTTP darf ...
... wäre auch noch eine Alternative
... Der Client sollte halt eine Fixe-IP haben und der User darf diese nicht ändern können

Ansonsten wie schon @DerWoWusste geschrieben hat - den Zugriff auf die iexplore.exe delegieren ...
... oder die iexplore.exe umbenennen - müsste ja eig. auch funktionieren, oder?

Cheers
@zanko
Fidel83
Fidel83 19.09.2012 um 09:24:43 Uhr
Goto Top
Hallo

Du hast ja sowohl 32 als auch 64bit Clients. Hast du da auch beide Browser versucht? Könnte es einfach sein, das du nur den 64bit IE nicht erlaubst, den 32bit aber startest?

LG
DerWoWusste
DerWoWusste 19.09.2012 um 09:32:24 Uhr
Goto Top
Ganz simpler Fehler:
Eine neue Organisationseiheit angelegt und einen Testuser hinzu gefügt
SRPs sind computergebunden. Du musst die GPO auf eine OU mit Computerobjekten anwenden.
ganymed
ganymed 19.09.2012 um 09:54:43 Uhr
Goto Top
Ihr antwortet ja schneller als ich lesen kann.

@zanko Internet blocken ist nicht gewollt. Die User sollen wegen der aktuellen Lücke im IE bis zum Patch einen alternativen Browser nutzen.

@Fidel83 Der getestete Pfad ist von einem 32bit System und der Testrechner war ein 32bit XP.

@DerWoWusste Kann ich mir eigentlich nicht vorstellen. Die aktuell verwendete SRP ist auch in der Benutzerkonfiguration untergebracht und der Organisationseinheit mit den Benutzern zugeordnet. Das die funktioniert ist mehrfach erwiesen, nähmlich immer dann wenn wieder mal einer versucht hat etwas von CD, Stick oder sonst wo auszuführen und sich dann bei mir beschwert hat, dass es nicht geht.
ganymed
ganymed 19.09.2012 aktualisiert um 10:22:02 Uhr
Goto Top
Hier mal die Standard-Richtlinieneinstellungen nachgereicht.

Benutzerkonfiguration (Aktiviert)
-Richtlinien
--Windows-Einstellungen
---Sicherheitseinstellungen
Softwarebeschränkungsrichtlinien
Richtlinien für Softwarebeschränkung/Sicherheitsstufen
Standard-Sicherheitsstufe Nicht erlaubt
Richtlinien für Softwarebeschränkung/Zusätzliche Regeln
Pfadregeln
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% Sicherheitsstufe Nicht eingeschränkt
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% Sicherheitsstufe Nicht eingeschränkt
%LOGONSERVER%/NETLOGON Sicherheitsstufe Nicht eingeschränkt
%LOGONSERVER%/SYSVOL Sicherheitsstufe Nicht eingeschränkt
Diverse Firmenspezifische Software die von Netztwerkfreigaben ausgeführt wird
C:\Program Files Sicherheitsstufe Nicht eingeschränkt
C:\Program Files (x86) Sicherheitsstufe Nicht eingeschränkt


Kann es sein, dass bei einer Standard-Sicherheitsstufe "Nicht erlaubt" nur Regeln mit "Nicht eingeschränkt" greifen?
DerWoWusste
DerWoWusste 20.09.2012 um 09:27:13 Uhr
Goto Top
Ok, mal sortieren.
Du hast zunächst mal Recht, SRPs gibt es auch usergebunden, hatte ich vergessen.
Kann es sein, dass bei einer Standard-Sicherheitsstufe "Nicht erlaubt" nur Regeln mit "Nicht eingeschränkt" greifen?
Richtig. Alles ist verboten, bis auf das erlaubte. Und wenn C:\Program Files (x86)\* erlaubt ist, dann wundert es wenig, warum der IE geht.
kontext
kontext 20.09.2012 um 09:31:26 Uhr
Goto Top
Heyho,

BTW: Microsoft schließt die Sicherheitslücke am Freitag
http://derstandard.at/1347493053609/Microsoft-schliesst-Sicherheitsluec ...

Cheers
@zanko
ganymed
ganymed 20.09.2012 aktualisiert um 10:12:11 Uhr
Goto Top
Hallo,

bedeutet also, dass ich auf diese weise keine Möglichkeit habe die Ausführung des IE zu unterbinden.
Da muss ich also weiter auf die Einsicht der Benutzer hoffen, das die nicht doch weiterhin den IE nutzen.
Wer Admin ist kann von Einsicht der Benutzer bestimmt einiges erzählen.
Immerhin ist ja Licht am Ende des Tunnels es gibt bereits ein Fix-it.
Microsoft-flickt-kritische-Internet-Explorer-Luecke
DerWoWusste
DerWoWusste 20.09.2012 um 10:36:35 Uhr
Goto Top
bedeutet also, dass ich auf diese weise keine Möglichkeit habe die Ausführung des IE zu unterbinden.
Doch, hast du. Du musst die Defaulteinstellung "Programmpfad erlauben" (das ist die Regel
C:\Program Files Sicherheitsstufe Nicht eingeschränkt
C:\Program Files (x86) Sicherheitsstufe Nicht eingeschränkt?
entfernen. Aber Vorsicht: Dann würde nur noch laufen, was Du als startbar definierst.

Deshalb mach es so: Standard-Sicherheitsstufe: uneingeschränkt (oder wie auch immer unrestricted übersetzt ist). Und dann nur noch den IE sperren - fertig.
ganymed
ganymed 20.09.2012 aktualisiert um 11:04:18 Uhr
Goto Top
Dann würde ich zwar den IE Sperren hätte damit aber ein riesiges Einfallstor geöffnet.

Beispiel: Einer unserer Azubis bringt mal wieder seinen Stick mit. Ist bei uns nicht verboten. Natürlich steckt er ihn rein und Scannt ihn nicht einmal. Neben diversen Dingen im Autostart befinden sich auch so tolle Dinge wie KeyGen.exe und OfficeKey.pdf.exe da drauf. Da kann er natürlich "nichts" dafür das liegt bestimmt nur daran das die Rechner in der Berufsschule total verseucht sind. ---Unschuldig lächelnd--- Er hat nichts gemacht.

Beispiel 2: UserXY findet das die Programme die wir in der Firma nutzen Mist sind. Er will unbedingt Das Programm EierlegendeWollMilchSau. Nur zu dumm das er nicht selber Installieren darf(Warum nur?). Aber da gibt es doch auch die Portable Version von. Die hat er zwar nur in einer alten Version aber so unsicher wird das schon nicht sein.

Wegen dieser und ähnlicher Szenarien ist die Standard-Sicherheitsstufe Nicht erlaubt. Denn es ist kaum möglich alles zu sperren was nicht sein darf. Die Lösung alles zu erlauben was sein darf ist in diesem Fall leider die einzig praktikable.
DerWoWusste
DerWoWusste 20.09.2012 um 11:16:31 Uhr
Goto Top
Du hast von mir zwei Möglichkeiten beschrieben bekommen, nicht nur eine. Wenn Ihr SRPs eh einsetzt (so hatte ich das bislang nicht verstanden), um alles Mögliche zu sperren, dann bleibt natürlich nur eine.
ganymed
ganymed 20.09.2012 aktualisiert um 11:50:26 Uhr
Goto Top
@DerWoWusste Danke für deine Mühe mir zu Helfen(natürlich auch an alle anderen). Zusammenfassend denke ich, dass ich mich mit dem Problem nicht weiter rumschlagen muss, da das fix-it raus ist und zumindest für die 32bit Version funktioniert. Dazu kommt das Morgen ohnehin das Update kommen soll. Somit dürfen dann ab Mo. alle wieder den IE nutzen.