RDSH 2012 R2 - Einschränkungen für Serverhärtung
Hallo Zusammen,
es existiert ein neu installierter RDSH 2012 R2.
Per GPO sind bereits zahlreiche Einschränkungen wie zB cmd.exe ausführen, gewisse Buttons ausblenden, etc. implementiert, die auch greifen.
Ziel ist es nun jedoch den RDSH weiter einzuschränken.
Angedacht sind folgende Punkte:
- kein Zugriff auf C:\ bzw. C:\windows (nur ausblenden des Buchstabens reicht nicht aus)
- kein Zugriff auf D:\ (nur ausblenden des Buchstabens reicht nicht aus)
- nur erlaubte Programme sollen ausgeführt werden, alle anderen sollen durch Applocker geblockt werden.
Welche Pfade (außer der des eigenen Benutzerprofils) werden in einer RDSH-Session von einem AD-Domänenbenutzer benötigt (Lesen/Schreiben/Besitzer)?
Denn ohne diese Information ist es nicht gewährleistet, dass Benutzer auf irgendwelche Pfad auf den Volumen (Dateisystem) Zugriff haben (per explorer.exe).
Gibt es speziell Möglichkeiten (außer Berechtigungen auf Ordner/Dateien) um auf RDSH auch im Windows-Explorer (Datei-Explorer) global das "Browsen" auf den Volumes des RDSHs zu deaktivieren, sodass nur explizit zugewiesene lokale und Netzlaufwerke zulässig sind?
Vielen Dank für Eure Tipps/Hilfestellungen!
Gruß
es existiert ein neu installierter RDSH 2012 R2.
Per GPO sind bereits zahlreiche Einschränkungen wie zB cmd.exe ausführen, gewisse Buttons ausblenden, etc. implementiert, die auch greifen.
Ziel ist es nun jedoch den RDSH weiter einzuschränken.
Angedacht sind folgende Punkte:
- kein Zugriff auf C:\ bzw. C:\windows (nur ausblenden des Buchstabens reicht nicht aus)
- kein Zugriff auf D:\ (nur ausblenden des Buchstabens reicht nicht aus)
- nur erlaubte Programme sollen ausgeführt werden, alle anderen sollen durch Applocker geblockt werden.
Welche Pfade (außer der des eigenen Benutzerprofils) werden in einer RDSH-Session von einem AD-Domänenbenutzer benötigt (Lesen/Schreiben/Besitzer)?
Denn ohne diese Information ist es nicht gewährleistet, dass Benutzer auf irgendwelche Pfad auf den Volumen (Dateisystem) Zugriff haben (per explorer.exe).
Gibt es speziell Möglichkeiten (außer Berechtigungen auf Ordner/Dateien) um auf RDSH auch im Windows-Explorer (Datei-Explorer) global das "Browsen" auf den Volumes des RDSHs zu deaktivieren, sodass nur explizit zugewiesene lokale und Netzlaufwerke zulässig sind?
Vielen Dank für Eure Tipps/Hilfestellungen!
Gruß
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 342006
Url: https://administrator.de/forum/rdsh-2012-r2-einschraenkungen-fuer-serverhaertung-342006.html
Ausgedruckt am: 22.12.2024 um 20:12 Uhr
1 Kommentar