IE Zugriff verweigen
Hallo,
ich möchte einige Tage lang Benutzern den Zugriff auf den IE verweigern.
Alles was ich dazu gefunden habe drehte sich um Terminalserver. Den nutze ich aber nicht.
Umgebung: W2k3 ,Clients von XP über Vista bis Win7 alle in 32 und 64 bit.
Ich möchte nicht die Proxyeinstellungen ändern, denn die werden auch für andere Dinge benötigt.
Einige Programme verwenden dafür die Systemeinstellungen.
Ich habe auch schon mit den Softwarebeschränkungsrichtlinien getestet.
Das funktioniert aber nicht da beißt sich eventuell
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% "Nicht eingeschränkt" und
Der Unterordner Internet Explorer "Nicht erlaubt".
Hat jemand eine Idee was ich machen könnte?
ganymed
ich möchte einige Tage lang Benutzern den Zugriff auf den IE verweigern.
Alles was ich dazu gefunden habe drehte sich um Terminalserver. Den nutze ich aber nicht.
Umgebung: W2k3 ,Clients von XP über Vista bis Win7 alle in 32 und 64 bit.
Ich möchte nicht die Proxyeinstellungen ändern, denn die werden auch für andere Dinge benötigt.
Einige Programme verwenden dafür die Systemeinstellungen.
Ich habe auch schon mit den Softwarebeschränkungsrichtlinien getestet.
Das funktioniert aber nicht da beißt sich eventuell
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% "Nicht eingeschränkt" und
Der Unterordner Internet Explorer "Nicht erlaubt".
Hat jemand eine Idee was ich machen könnte?
ganymed
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 191428
Url: https://administrator.de/forum/ie-zugriff-verweigen-191428.html
Ausgedruckt am: 22.12.2024 um 05:12 Uhr
17 Kommentare
Neuester Kommentar
Hallo
Applocker ist echt keine Lösung?
http://technet.microsoft.com/en-us/windows/applocker.aspx
LG
edit: Dein Nichterlauben des Ordners vom IE ist nicht korrekt. Erlaube nicht die Ausführung der iexplore.exe. Geht sowohl unter XP, als auch 2k3. Vista und 7 supporten ja sowieso Applocker.
Applocker ist echt keine Lösung?
http://technet.microsoft.com/en-us/windows/applocker.aspx
LG
edit: Dein Nichterlauben des Ordners vom IE ist nicht korrekt. Erlaube nicht die Ausführung der iexplore.exe. Geht sowohl unter XP, als auch 2k3. Vista und 7 supporten ja sowieso Applocker.
Moin.
Beschreib Dein Problem bitte auch für andere nachvollziehbar
Wenn Du mit SRPs umgehen kannst, also alles andere verweigerbar ist (Teste meinetwegen mit calc.exe), dann kann man sich fragen, ob sich da etwas "beißt" - obwohl: kann sich da was beißen? Gehen Erlaubnisse nun vor Verboten, oder nicht? In jedem Fall kannst Du es so lösen.
Auch mit der Verteilung einer ACL für die iexplore.exe wäre es schon getan, das kannst Du im Bereich Sicherheitseinstellungen einer Computer-GPO machen.
@Fidel83:
Zu applocker: Vista kennt noch kein applocker und bei win7 nur Enterprise/Ultimate.
Beschreib Dein Problem bitte auch für andere nachvollziehbar
Das funktioniert aber nicht
ist so unklar wie nur eben möglich.Wenn Du mit SRPs umgehen kannst, also alles andere verweigerbar ist (Teste meinetwegen mit calc.exe), dann kann man sich fragen, ob sich da etwas "beißt" - obwohl: kann sich da was beißen? Gehen Erlaubnisse nun vor Verboten, oder nicht? In jedem Fall kannst Du es so lösen.
Auch mit der Verteilung einer ACL für die iexplore.exe wäre es schon getan, das kannst Du im Bereich Sicherheitseinstellungen einer Computer-GPO machen.
@Fidel83:
Zu applocker: Vista kennt noch kein applocker und bei win7 nur Enterprise/Ultimate.
HeyHo @ganymed,
willst du nur den Zugriff auf den IE blocken oder willst du den Zugriff ins Internet blocken?
Evtl. mal die Firewall bearbeiten und sagen das die IP XY kein HTTP darf ...
... wäre auch noch eine Alternative
... Der Client sollte halt eine Fixe-IP haben und der User darf diese nicht ändern können
Ansonsten wie schon @DerWoWusste geschrieben hat - den Zugriff auf die iexplore.exe delegieren ...
... oder die iexplore.exe umbenennen - müsste ja eig. auch funktionieren, oder?
Cheers
@zanko
willst du nur den Zugriff auf den IE blocken oder willst du den Zugriff ins Internet blocken?
Evtl. mal die Firewall bearbeiten und sagen das die IP XY kein HTTP darf ...
... wäre auch noch eine Alternative
... Der Client sollte halt eine Fixe-IP haben und der User darf diese nicht ändern können
Ansonsten wie schon @DerWoWusste geschrieben hat - den Zugriff auf die iexplore.exe delegieren ...
... oder die iexplore.exe umbenennen - müsste ja eig. auch funktionieren, oder?
Cheers
@zanko
Ok, mal sortieren.
Du hast zunächst mal Recht, SRPs gibt es auch usergebunden, hatte ich vergessen.
Du hast zunächst mal Recht, SRPs gibt es auch usergebunden, hatte ich vergessen.
Kann es sein, dass bei einer Standard-Sicherheitsstufe "Nicht erlaubt" nur Regeln mit "Nicht eingeschränkt" greifen?
Richtig. Alles ist verboten, bis auf das erlaubte. Und wenn C:\Program Files (x86)\* erlaubt ist, dann wundert es wenig, warum der IE geht.
Heyho,
BTW: Microsoft schließt die Sicherheitslücke am Freitag
http://derstandard.at/1347493053609/Microsoft-schliesst-Sicherheitsluec ...
Cheers
@zanko
BTW: Microsoft schließt die Sicherheitslücke am Freitag
http://derstandard.at/1347493053609/Microsoft-schliesst-Sicherheitsluec ...
Cheers
@zanko
bedeutet also, dass ich auf diese weise keine Möglichkeit habe die Ausführung des IE zu unterbinden.
Doch, hast du. Du musst die Defaulteinstellung "Programmpfad erlauben" (das ist die RegelC:\Program Files Sicherheitsstufe Nicht eingeschränkt
C:\Program Files (x86) Sicherheitsstufe Nicht eingeschränkt?
entfernen. Aber Vorsicht: Dann würde nur noch laufen, was Du als startbar definierst.
Deshalb mach es so: Standard-Sicherheitsstufe: uneingeschränkt (oder wie auch immer unrestricted übersetzt ist). Und dann nur noch den IE sperren - fertig.