17
IE Zugriff verweigen
Hallo,
ich möchte einige Tage lang Benutzern den Zugriff auf den IE verweigern.
Alles was ich dazu gefunden habe drehte sich um Terminalserver. Den nutze ich aber nicht.
Umgebung: W2k3 ,Clients von XP über Vista bis Win7 alle in 32 und 64 bit.
Ich möchte nicht die Proxyeinstellungen ändern, denn die werden auch für andere Dinge benötigt.
Einige Programme verwenden dafür die Systemeinstellungen.
Ich habe auch schon mit den Softwarebeschränkungsrichtlinien getestet.
Das funktioniert aber nicht da beißt sich eventuell
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% "Nicht eingeschränkt" und
Der Unterordner Internet Explorer "Nicht erlaubt".
Hat jemand eine Idee was ich machen könnte?
ganymed
Alles was ich dazu gefunden habe drehte sich um Terminalserver. Den nutze ich aber nicht.
Umgebung: W2k3 ,Clients von XP über Vista bis Win7 alle in 32 und 64 bit.
Ich möchte nicht die Proxyeinstellungen ändern, denn die werden auch für andere Dinge benötigt.
Einige Programme verwenden dafür die Systemeinstellungen.
Ich habe auch schon mit den Softwarebeschränkungsrichtlinien getestet.
Das funktioniert aber nicht da beißt sich eventuell
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% "Nicht eingeschränkt" und
Der Unterordner Internet Explorer "Nicht erlaubt".
Hat jemand eine Idee was ich machen könnte?
ganymed
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 191428
Url: https://administrator.de/contentid/191428
Printed on: April 18, 2024 at 21:04 o'clock
17 Comments
Latest comment
Hallo
Applocker ist echt keine Lösung?
http://technet.microsoft.com/en-us/windows/applocker.aspx
LG
edit: Dein Nichterlauben des Ordners vom IE ist nicht korrekt. Erlaube nicht die Ausführung der iexplore.exe. Geht sowohl unter XP, als auch 2k3. Vista und 7 supporten ja sowieso Applocker.
Applocker ist echt keine Lösung?
http://technet.microsoft.com/en-us/windows/applocker.aspx
LG
edit: Dein Nichterlauben des Ordners vom IE ist nicht korrekt. Erlaube nicht die Ausführung der iexplore.exe. Geht sowohl unter XP, als auch 2k3. Vista und 7 supporten ja sowieso Applocker.
Moin.
Beschreib Dein Problem bitte auch für andere nachvollziehbar
Wenn Du mit SRPs umgehen kannst, also alles andere verweigerbar ist (Teste meinetwegen mit calc.exe), dann kann man sich fragen, ob sich da etwas "beißt" - obwohl: kann sich da was beißen? Gehen Erlaubnisse nun vor Verboten, oder nicht? In jedem Fall kannst Du es so lösen.
Auch mit der Verteilung einer ACL für die iexplore.exe wäre es schon getan, das kannst Du im Bereich Sicherheitseinstellungen einer Computer-GPO machen.
@Fidel83:
Zu applocker: Vista kennt noch kein applocker und bei win7 nur Enterprise/Ultimate.
Beschreib Dein Problem bitte auch für andere nachvollziehbar
Das funktioniert aber nicht
ist so unklar wie nur eben möglich.Wenn Du mit SRPs umgehen kannst, also alles andere verweigerbar ist (Teste meinetwegen mit calc.exe), dann kann man sich fragen, ob sich da etwas "beißt" - obwohl: kann sich da was beißen? Gehen Erlaubnisse nun vor Verboten, oder nicht? In jedem Fall kannst Du es so lösen.
Auch mit der Verteilung einer ACL für die iexplore.exe wäre es schon getan, das kannst Du im Bereich Sicherheitseinstellungen einer Computer-GPO machen.
@Fidel83:
Zu applocker: Vista kennt noch kein applocker und bei win7 nur Enterprise/Ultimate.
Hallo Fidel83,
Dein Link funktioniert leider nicht. "Leider kann die Seite, die Sie angefordert haben, nicht gefunden werden."
Kenne Applocker nicht benutze SRPs in einer Gruppenrichtlinie.
Habe versucht einmal Pfad und einmal exe nicht zu erlauben.
Dein Link funktioniert leider nicht. "Leider kann die Seite, die Sie angefordert haben, nicht gefunden werden."
Kenne Applocker nicht benutze SRPs in einer Gruppenrichtlinie.
Habe versucht einmal Pfad und einmal exe nicht zu erlauben.
Guten Morgen
Hab meinen Link mal abgeändert. Jedoch hat DerWoWusste auch recht. Applocker funktioniert nur unter Enterprise/Ultimate. Dann musst du die Gruppenrichtlinie mal prüfen. Könnte diese durch eine andere Richtlinie betroffen sein? Gib doch mal die Richtlinie hier bekannt?
LG
Hab meinen Link mal abgeändert. Jedoch hat DerWoWusste auch recht. Applocker funktioniert nur unter Enterprise/Ultimate. Dann musst du die Gruppenrichtlinie mal prüfen. Könnte diese durch eine andere Richtlinie betroffen sein? Gib doch mal die Richtlinie hier bekannt?
LG
Hallo DerWoWusste,
mein eigentliches Problem ist, dass ich mir nicht sicher bin, ob SRPs der einzig mögliche Weg dafür sind.
Hier die Langfassung was ich getestet habe und leider nicht funktioniert hat.
Eine neue Organisationseiheit angelegt und einen Testuser hinzu gefügt.
Meine GPO die die SRP enthält exportiert und in eine neue GPO test importiert.
Darin enthalten sind jetzt verschiedene Pfad- und Hashregeln die alles angeben was erlaubt ist.
Alles was dort nicht enthalten ist kann nicht ausgeführt werden. Ist getestet und funktioniert seit Jahren sehr gut.
Diese TestGPO habe ich meiner Test-Organisationseiheit hinzugefügt.
In der TestGPO habe ich zu erst die Pfadregel "C:\Program Files\Internet Explorer\iexplore.exe" nicht erlauben hinzugefügt (Benutzerkonfiguration).
Dann am Client gpupdate und Neustart.
IE lässt sich mit dem Testbenutzer dennoch starten.
Danach kam ich auf die Idee, es heißt ja Pfad- und nicht Dateiregel. Habe also das ganze nochmal mit der Pfadregel "C:\Program Files\Internet Explorer" nicht erlauben gemacht.
Ebenfalls ohne Erfolg.
Als Computerkonfiguration habe ich nicht getestet.
mein eigentliches Problem ist, dass ich mir nicht sicher bin, ob SRPs der einzig mögliche Weg dafür sind.
Hier die Langfassung was ich getestet habe und leider nicht funktioniert hat.
Eine neue Organisationseiheit angelegt und einen Testuser hinzu gefügt.
Meine GPO die die SRP enthält exportiert und in eine neue GPO test importiert.
Darin enthalten sind jetzt verschiedene Pfad- und Hashregeln die alles angeben was erlaubt ist.
Alles was dort nicht enthalten ist kann nicht ausgeführt werden. Ist getestet und funktioniert seit Jahren sehr gut.
Diese TestGPO habe ich meiner Test-Organisationseiheit hinzugefügt.
In der TestGPO habe ich zu erst die Pfadregel "C:\Program Files\Internet Explorer\iexplore.exe" nicht erlauben hinzugefügt (Benutzerkonfiguration).
Dann am Client gpupdate und Neustart.
IE lässt sich mit dem Testbenutzer dennoch starten.
Danach kam ich auf die Idee, es heißt ja Pfad- und nicht Dateiregel. Habe also das ganze nochmal mit der Pfadregel "C:\Program Files\Internet Explorer" nicht erlauben gemacht.
Ebenfalls ohne Erfolg.
Als Computerkonfiguration habe ich nicht getestet.
HeyHo @ganymed,
willst du nur den Zugriff auf den IE blocken oder willst du den Zugriff ins Internet blocken?
Evtl. mal die Firewall bearbeiten und sagen das die IP XY kein HTTP darf ...
... wäre auch noch eine Alternative
... Der Client sollte halt eine Fixe-IP haben und der User darf diese nicht ändern können
Ansonsten wie schon @DerWoWusste geschrieben hat - den Zugriff auf die iexplore.exe delegieren ...
... oder die iexplore.exe umbenennen - müsste ja eig. auch funktionieren, oder?
Cheers
@zanko
willst du nur den Zugriff auf den IE blocken oder willst du den Zugriff ins Internet blocken?
Evtl. mal die Firewall bearbeiten und sagen das die IP XY kein HTTP darf ...
... wäre auch noch eine Alternative
... Der Client sollte halt eine Fixe-IP haben und der User darf diese nicht ändern können
Ansonsten wie schon @DerWoWusste geschrieben hat - den Zugriff auf die iexplore.exe delegieren ...
... oder die iexplore.exe umbenennen - müsste ja eig. auch funktionieren, oder?
Cheers
@zanko
Hallo
Du hast ja sowohl 32 als auch 64bit Clients. Hast du da auch beide Browser versucht? Könnte es einfach sein, das du nur den 64bit IE nicht erlaubst, den 32bit aber startest?
LG
Du hast ja sowohl 32 als auch 64bit Clients. Hast du da auch beide Browser versucht? Könnte es einfach sein, das du nur den 64bit IE nicht erlaubst, den 32bit aber startest?
LG
Ganz simpler Fehler:
Eine neue Organisationseiheit angelegt und einen Testuser hinzu gefügt
SRPs sind computergebunden. Du musst die GPO auf eine OU mit Computerobjekten anwenden.
Ihr antwortet ja schneller als ich lesen kann.
@zanko Internet blocken ist nicht gewollt. Die User sollen wegen der aktuellen Lücke im IE bis zum Patch einen alternativen Browser nutzen.
@Fidel83 Der getestete Pfad ist von einem 32bit System und der Testrechner war ein 32bit XP.
@DerWoWusste Kann ich mir eigentlich nicht vorstellen. Die aktuell verwendete SRP ist auch in der Benutzerkonfiguration untergebracht und der Organisationseinheit mit den Benutzern zugeordnet. Das die funktioniert ist mehrfach erwiesen, nähmlich immer dann wenn wieder mal einer versucht hat etwas von CD, Stick oder sonst wo auszuführen und sich dann bei mir beschwert hat, dass es nicht geht.
@zanko Internet blocken ist nicht gewollt. Die User sollen wegen der aktuellen Lücke im IE bis zum Patch einen alternativen Browser nutzen.
@Fidel83 Der getestete Pfad ist von einem 32bit System und der Testrechner war ein 32bit XP.
@DerWoWusste Kann ich mir eigentlich nicht vorstellen. Die aktuell verwendete SRP ist auch in der Benutzerkonfiguration untergebracht und der Organisationseinheit mit den Benutzern zugeordnet. Das die funktioniert ist mehrfach erwiesen, nähmlich immer dann wenn wieder mal einer versucht hat etwas von CD, Stick oder sonst wo auszuführen und sich dann bei mir beschwert hat, dass es nicht geht.
Hier mal die Standard-Richtlinieneinstellungen nachgereicht.
Benutzerkonfiguration (Aktiviert)
-Richtlinien
--Windows-Einstellungen
---Sicherheitseinstellungen
Softwarebeschränkungsrichtlinien
Richtlinien für Softwarebeschränkung/Sicherheitsstufen
Standard-Sicherheitsstufe Nicht erlaubt
Richtlinien für Softwarebeschränkung/Zusätzliche Regeln
Pfadregeln
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% Sicherheitsstufe Nicht eingeschränkt
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% Sicherheitsstufe Nicht eingeschränkt
%LOGONSERVER%/NETLOGON Sicherheitsstufe Nicht eingeschränkt
%LOGONSERVER%/SYSVOL Sicherheitsstufe Nicht eingeschränkt
Diverse Firmenspezifische Software die von Netztwerkfreigaben ausgeführt wird
C:\Program Files Sicherheitsstufe Nicht eingeschränkt
C:\Program Files (x86) Sicherheitsstufe Nicht eingeschränkt
Kann es sein, dass bei einer Standard-Sicherheitsstufe "Nicht erlaubt" nur Regeln mit "Nicht eingeschränkt" greifen?
Benutzerkonfiguration (Aktiviert)
-Richtlinien
--Windows-Einstellungen
---Sicherheitseinstellungen
Softwarebeschränkungsrichtlinien
Richtlinien für Softwarebeschränkung/Sicherheitsstufen
Standard-Sicherheitsstufe Nicht erlaubt
Richtlinien für Softwarebeschränkung/Zusätzliche Regeln
Pfadregeln
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% Sicherheitsstufe Nicht eingeschränkt
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% Sicherheitsstufe Nicht eingeschränkt
%LOGONSERVER%/NETLOGON Sicherheitsstufe Nicht eingeschränkt
%LOGONSERVER%/SYSVOL Sicherheitsstufe Nicht eingeschränkt
Diverse Firmenspezifische Software die von Netztwerkfreigaben ausgeführt wird
C:\Program Files Sicherheitsstufe Nicht eingeschränkt
C:\Program Files (x86) Sicherheitsstufe Nicht eingeschränkt
Kann es sein, dass bei einer Standard-Sicherheitsstufe "Nicht erlaubt" nur Regeln mit "Nicht eingeschränkt" greifen?
Ok, mal sortieren.
Du hast zunächst mal Recht, SRPs gibt es auch usergebunden, hatte ich vergessen.
Du hast zunächst mal Recht, SRPs gibt es auch usergebunden, hatte ich vergessen.
Kann es sein, dass bei einer Standard-Sicherheitsstufe "Nicht erlaubt" nur Regeln mit "Nicht eingeschränkt" greifen?
Richtig. Alles ist verboten, bis auf das erlaubte. Und wenn C:\Program Files (x86)\* erlaubt ist, dann wundert es wenig, warum der IE geht.
Heyho,
BTW: Microsoft schließt die Sicherheitslücke am Freitag
http://derstandard.at/1347493053609/Microsoft-schliesst-Sicherheitsluec ...
Cheers
@zanko
BTW: Microsoft schließt die Sicherheitslücke am Freitag
http://derstandard.at/1347493053609/Microsoft-schliesst-Sicherheitsluec ...
Cheers
@zanko
Hallo,
bedeutet also, dass ich auf diese weise keine Möglichkeit habe die Ausführung des IE zu unterbinden.
Da muss ich also weiter auf die Einsicht der Benutzer hoffen, das die nicht doch weiterhin den IE nutzen.
Wer Admin ist kann von Einsicht der Benutzer bestimmt einiges erzählen.
Immerhin ist ja Licht am Ende des Tunnels es gibt bereits ein Fix-it.
Microsoft-flickt-kritische-Internet-Explorer-Luecke
bedeutet also, dass ich auf diese weise keine Möglichkeit habe die Ausführung des IE zu unterbinden.
Da muss ich also weiter auf die Einsicht der Benutzer hoffen, das die nicht doch weiterhin den IE nutzen.
Wer Admin ist kann von Einsicht der Benutzer bestimmt einiges erzählen.
Immerhin ist ja Licht am Ende des Tunnels es gibt bereits ein Fix-it.
Microsoft-flickt-kritische-Internet-Explorer-Luecke
bedeutet also, dass ich auf diese weise keine Möglichkeit habe die Ausführung des IE zu unterbinden.
Doch, hast du. Du musst die Defaulteinstellung "Programmpfad erlauben" (das ist die RegelC:\Program Files Sicherheitsstufe Nicht eingeschränkt
C:\Program Files (x86) Sicherheitsstufe Nicht eingeschränkt?
entfernen. Aber Vorsicht: Dann würde nur noch laufen, was Du als startbar definierst.
Deshalb mach es so: Standard-Sicherheitsstufe: uneingeschränkt (oder wie auch immer unrestricted übersetzt ist). Und dann nur noch den IE sperren - fertig.
Dann würde ich zwar den IE Sperren hätte damit aber ein riesiges Einfallstor geöffnet.
Beispiel: Einer unserer Azubis bringt mal wieder seinen Stick mit. Ist bei uns nicht verboten. Natürlich steckt er ihn rein und Scannt ihn nicht einmal. Neben diversen Dingen im Autostart befinden sich auch so tolle Dinge wie KeyGen.exe und OfficeKey.pdf.exe da drauf. Da kann er natürlich "nichts" dafür das liegt bestimmt nur daran das die Rechner in der Berufsschule total verseucht sind. ---Unschuldig lächelnd--- Er hat nichts gemacht.
Beispiel 2: UserXY findet das die Programme die wir in der Firma nutzen Mist sind. Er will unbedingt Das Programm EierlegendeWollMilchSau. Nur zu dumm das er nicht selber Installieren darf(Warum nur?). Aber da gibt es doch auch die Portable Version von. Die hat er zwar nur in einer alten Version aber so unsicher wird das schon nicht sein.
Wegen dieser und ähnlicher Szenarien ist die Standard-Sicherheitsstufe Nicht erlaubt. Denn es ist kaum möglich alles zu sperren was nicht sein darf. Die Lösung alles zu erlauben was sein darf ist in diesem Fall leider die einzig praktikable.
Beispiel: Einer unserer Azubis bringt mal wieder seinen Stick mit. Ist bei uns nicht verboten. Natürlich steckt er ihn rein und Scannt ihn nicht einmal. Neben diversen Dingen im Autostart befinden sich auch so tolle Dinge wie KeyGen.exe und OfficeKey.pdf.exe da drauf. Da kann er natürlich "nichts" dafür das liegt bestimmt nur daran das die Rechner in der Berufsschule total verseucht sind. ---Unschuldig lächelnd--- Er hat nichts gemacht.
Beispiel 2: UserXY findet das die Programme die wir in der Firma nutzen Mist sind. Er will unbedingt Das Programm EierlegendeWollMilchSau. Nur zu dumm das er nicht selber Installieren darf(Warum nur?). Aber da gibt es doch auch die Portable Version von. Die hat er zwar nur in einer alten Version aber so unsicher wird das schon nicht sein.
Wegen dieser und ähnlicher Szenarien ist die Standard-Sicherheitsstufe Nicht erlaubt. Denn es ist kaum möglich alles zu sperren was nicht sein darf. Die Lösung alles zu erlauben was sein darf ist in diesem Fall leider die einzig praktikable.
Du hast von mir zwei Möglichkeiten beschrieben bekommen, nicht nur eine. Wenn Ihr SRPs eh einsetzt (so hatte ich das bislang nicht verstanden), um alles Mögliche zu sperren, dann bleibt natürlich nur eine.
@DerWoWusste Danke für deine Mühe mir zu Helfen(natürlich auch an alle anderen). Zusammenfassend denke ich, dass ich mich mit dem Problem nicht weiter rumschlagen muss, da das fix-it raus ist und zumindest für die 32bit Version funktioniert. Dazu kommt das Morgen ohnehin das Update kommen soll. Somit dürfen dann ab Mo. alle wieder den IE nutzen.
