amd9558
Goto Top

Terminalserver-Anwendungen sperren

Hi,

bei einem Kunden haben wir folgende Infrastruktur:

3x Terminalserver mit Windows Server 2012 R2
1x AD Server mit Windows Server 2019

Seit einigen Tagen habe ich folgendes Problem:

Wir haben mehrere Benutzer, welche meinen das System aushebeln zu müssen. Zudem führen diese auch gerne mal Anwendungen aus, welche von uns nicht zugelassen sind. Bis jetzt habe ich die Anwendungen immer mit folgender GPO gesperrt:

  Benutzerkonfiguration -> Administrative Vorlagen -> System -> Angegebene Windows Anwendungen nicht ausführen  

Mit dem App Locker hatte ich bis jetzt keinen Erfolg, da die Benutzer die Anwendungen trotz entsprechender Richlinie ausführen konnten.
Ich habe die Ausführbare Regel für den App Locker folgendermaßen konfiguriert:
applocker
applocker 2

Ich würde gerne für eine Benutzergruppe Anwendungen sperren und nicht für den kompletten Server.

Habt ihr vielleicht einen Tipp für mich, wie ich den App Locker richtig konfiguriere?

Viele Grüße

AMD9558

Content-ID: 516681

Url: https://administrator.de/forum/terminalserver-anwendungen-sperren-516681.html

Ausgedruckt am: 27.12.2024 um 07:12 Uhr

DerWoWusste
DerWoWusste 19.11.2019 um 13:58:38 Uhr
Goto Top
Beschreibe doch bitte dein Problem. Es ist nicht klar, was Du sperren willst, somit ist schwer zu sagen, was Du bei Applocker anders machen musst.

Die Defaultregeln sind laut Microsoft unsicher und sollten nicht verwendet werden, außer bei der Ersteinrichtung, während man also noch die anderen Regeln hinzufügt.
AMD9558
AMD9558 19.11.2019 um 14:07:30 Uhr
Goto Top
Hi,

ich würde gerne folgende Anwendungen sperren:

  • Server Manager.exe
  • PowerShell.exe
  • PowerShell_ise.exe
  • Discord.exe
  • Chrome Portable.exe
  • packman.exe
  • devccp.exe
  • WinRAR.exe
  • Hacknet.exe
  • Alle Anwendungen und CMD/PowerShell Skripte im Benutzerprofil

Also kann ich die Defaultregeln nur in Verbindung mit eigenen Regeln verwenden?

VG

AMD9558
DerWoWusste
Lösung DerWoWusste 19.11.2019 um 15:13:29 Uhr
Goto Top
Zunächst einmal: warum sperren? Besser ist doch andersrum: whitelisten von Dingen, die benötigt werden - der Rest ist dann automatisch gesperrt.

Die Defaultregeln sollte man, nachdem man passende Regeln konfiguriert hat, löschen, denn sie sind sehr lasch.
UnbekannterNR1
Lösung UnbekannterNR1 19.11.2019 aktualisiert um 16:13:22 Uhr
Goto Top
Ich habe bei der Default Regel (Alles in C.\Windows & Programme) einfach ausnahmen definiert. z.B. für Powershell damit können die Benutzer das nicht mehr öffnen. Und wie bereits empfohlen dann weitere Regeln mit Whitelists.
chgorges
Lösung chgorges 20.11.2019 um 17:26:46 Uhr
Goto Top
Bzgl. Powershell, hier ist effektiver per GPO die ExecutionPolicy auf restricted zu setzen, anstatt die exe zu sperren.
AMD9558
AMD9558 21.11.2019 um 08:55:48 Uhr
Goto Top
Guten Morgen,

vielen Dank für eure Tipps. Ich habe eine Whitelist für die Anwendungen erstellt und habe die PowerShell Execution Policy angepasst. Und siehe da: Es funktioniert. Vielen Dank für eure Tipps! face-smile

VG

AMD9558
DerWoWusste
DerWoWusste 21.11.2019 um 09:22:07 Uhr
Goto Top
Prüfe doch mal, ob Du mittels bypass noch über die Executionpolicy hinweg kommst: https://blogs.technet.microsoft.com/ken_brumfield/2014/01/19/simple-way- ...