speedy26gonzales
Goto Top

White listing unter Windows - Suche Informationen

Hallo,

da ich durch eine aktuelle Problemstellung darauf gekommen bin möchte ich etwas mehr über dieses "White listing - Verfahren" wissen und kann irgendwie nicht all zu viel darüber finden.

Hat jemand damit Erfahrung? Kann es einen Virenscanner wirklich ersezten? Gibts dort irgendwo Unterlagen dazu ?

Content-ID: 185333

Url: https://administrator.de/forum/white-listing-unter-windows-suche-informationen-185333.html

Ausgedruckt am: 22.12.2024 um 13:12 Uhr

Hubert.N
Hubert.N 22.05.2012 aktualisiert um 19:45:51 Uhr
Goto Top
Moin

was hat das Eine mit dem Anderen überhaupt zu tun ?

Whitelisting: Steuerung eines Spamfilters im eMail-verkehr


Gruß
DerWoWusste
DerWoWusste 22.05.2012 um 19:46:46 Uhr
Goto Top
Whitelisting von was?

Moin erstmal. Wenn Du von Virenscannern redest, liegt nahe, dass Du Whitelisting von ausführbaren Dateien meinst. Falls dem so ist, musst Du natürlich auch sagen, auf welchem Betriebssystem und (hier tatsächlich mal wichtig) welcher Edition.

Erste Idee: Du meinst etwas wie applocker.
speedy26gonzales
speedy26gonzales 22.05.2012 um 19:53:33 Uhr
Goto Top
Hi,

Sorry für die ungenauen Angaben.

Ich rede natürlich nicht von Email sondern eher einem Viren- und Malwareschutz da auf der eingesetzten Maschine ein Virenscanner das System zu arg beeinträchtigen könnte.

Betriebssystem wäre Windows XP.
DerWoWusste
DerWoWusste 22.05.2012 um 19:57:23 Uhr
Goto Top
Gut. Und das ist jetzt eine Antwort an uns beide? Gib mal an, ob Du von pro redest, und ob applocker http://technet.microsoft.com/de-de/library/dd548340(v=ws.10).aspx das ist, was Du meinst. (Ich weiß, applocker ist nicht für xp, aber auf xp pro gibt es die dem ähnlichen Softwareeinschränkungsrichtlinien).
speedy26gonzales
speedy26gonzales 22.05.2012 um 20:38:46 Uhr
Goto Top
Na eigentlich ist mit der Antwort auch Hubrts Frage geklärt oder?
Ja rede von "Pro Version". Wie gesagt ich konnte noch keine wirklichen Infos finden. Erst dachte ich so ein Whitelisting ist Bestandteil von Windows, aber so wie ich es jetzt sehe brauch ich da auf jedenfall ein extra Tool wie z.B. Applocker?
Und ich hab noch keine Antwort auf die Frage gefunden ob es wirklich einen Virenscanner ersetzt?
DerWoWusste
DerWoWusste 22.05.2012 um 20:56:12 Uhr
Goto Top
applocker ist doch kein extra Tool, wie Du lesen kannst, gehört es zu Windows 7 (Ultimate/Enterprise). Mit xp pro hast Du die Softwareeinschränkungsrichtlinien zur Verfügung, google mal danach.

Was nicht ausgeführt werden darf, muss auch nicht auf Viren gescannt werden. Jedoch kannst Du erlaubten Prozessen nicht abgewöhnen, dass sie Kindprozesse starten, was beim Browser natürlich mal in die Hose gehen kann. Applocker kann auch dies verhindern, es ist sicherer als die Softwareeinschränkungsrichtlinien.
pieh-ejdsch
pieh-ejdsch 22.05.2012 aktualisiert um 21:38:46 Uhr
Goto Top
moin speedy,

Ein Virenscanner /-wächter arbeitet ja auch nach "Blacklisting". Was nicht in der Blacklist steht wird durchgelassen.
Alte Definitionsdateien bzw. fehlende Signaturen zur Erkennung der Schädlinge sind daher das Risiko Nummer eins. (mein SpamFilter arbeitet auch nach Blacklist).

Der Türsteher, welcher nach Whitelist arbeitet vergleicht die Namen mit der Gästeliste. Wer darauf verzeichnet ist darf in die Vernissage. Schliesslich kennt man sich ja Persönlich.

App locker lässt sich sehr fein einstellen - Ist nur bei gewünschten Neuzugängen wartungsintensiv.


Der Türsteher, welcher nach Blacklist arbeitet verlässt sich auf seine Erfahrungen und schickt die wieder nach Hause, welche seiner Erfahrung nach die Party versauen.

so muss diese Erfahrung jeden Tag erweitert werden, es kommen ja jeden Tag neue Sachen.

Gruß Phil
speedy26gonzales
speedy26gonzales 03.06.2012 aktualisiert um 22:22:25 Uhr
Goto Top
@DerWoWusste Ok applocker ist kein extra Tool , wie ich aber gesehen habe gibt es kommerzielle Tools die sowas wie "White listing" machen.

Du sagst bei XP hab ich die Softwareeinschränkungsrichtlinien zur verfügung.
Jetzt kommt mir aber grad der Gedanke: Was aber ist wenn die BS Systeme erneuert werden, dann muss die ganze Arbeit an einer anderen Stelle nochmals gemacht werden.
speedy26gonzales
speedy26gonzales 03.06.2012 um 22:25:37 Uhr
Goto Top
@pieh-ejdsch
Wenn ich es richtig verstanden habe ist White listing eigentlich immer die sicherere Methode, bzw. wäre White listung UND Virenscanner die sicherste?

Du sprichst auch schon ein weiteres Thema an, die Wartung.
Die White List auf den Geräten sollte ja auch relativ schnell upgedatet werden können. Wenn z.B. ein neues Programm installiert werden soll muss sichergestellt werden dass der PC immernoch clean ist (wie könnte dort das Konzept aussehen?) und dann die Liste auf dem Rechner upgedatet werden.
DerWoWusste
DerWoWusste 03.06.2012 um 22:37:08 Uhr
Goto Top
Applocker und SRPs machen beide auch Whitelisting. Ja, Whitelisting ist die sicherste Methode. Ob da noch ein Virenscanner gebraucht wird, ist Ansichtssache.
Jetzt kommt mir aber grad der Gedanke: Was aber ist wenn die BS Systeme erneuert werden, dann muss die ganze Arbeit an einer anderen Stelle nochmals gemacht werden.
Wenn Du die Einstellungen auf mehreren Rechnern per GPO regelst, dann kannst Du das Betriebssystem natürlich updaten, ohne dass Du die GPOs erneuern musst. Wenn es ein Einzel-PC ist, musst Du Sie neu machen, stimmt. Hier könnte man allenfalls versuchen, die zugehörigen Registrykeys (falls diese Policies Regkeys benutzen) zu exportieren und im neuen zu importieren.
Die White List auf den Geräten sollte ja auch relativ schnell upgedatet werden können. Wenn z.B. ein neues Programm installiert werden soll muss sichergestellt werden dass der PC immernoch clean ist (wie könnte dort das Konzept aussehen?) und dann die Liste auf dem Rechner upgedatet werden.
Wenn Du ein neues Programm installierst, packst Du es auf die Whitelist - ganz simpel. Um sicherzustellen, dass der Rechner clean ist... wie meinst Du das? Wenn Du dem neuen Programm nicht vertraust, kannst Du das nicht sicherstellen, wenn doch, verstehe ich die Frage nicht.
speedy26gonzales
speedy26gonzales 03.06.2012 aktualisiert um 22:50:52 Uhr
Goto Top
Was meinst Du mit SRPs ? Glaub ich steh grad auf dem Schlauch
Auf den Systemen wo ich Whitelisting einsetzten möchte verbraucht ein Virenscanner zuviel Resourchen, deswegen ja der Gedanke an Whitelisting.

Sobald ich GPOs verwende bin ich zusätzlich an einen Server gebunden der diese auch verwaltet. Wäre aber zum überlegen.

Na ich hab mir halt schon Gedanken gemacht wie überprüfe ich ob ein Rechner noch clean ist?
Daher eben der Gedanke wenn man eh ein neues Programm installiert zuerst sicher gehen dass er noch sauber ist.
Oder dann eben in verschiedenen Abständen, aber wie am besten?

Habt ihr bisher Whitelisting nur mit Windows eigenen Tools umgesetzt oder auch auf kommerzielle Software zurückgegriffen?
DerWoWusste
DerWoWusste 03.06.2012 aktualisiert um 23:02:17 Uhr
Goto Top
SRP= software restriction policies = Softwareeinschränkungsrichtlinien.
Na ich hab mir halt schon Gedanken gemacht wie überprüfe ich ob ein Rechner noch clean ist?
Kinderleicht. Schädlinge wollen auch starten. SRPs verbieten dies aber und loggen auch die verhinderten Startversuche. Du bekommst eine Infektion, sofern erfolgt (wie auch immer) in jedem Falle mit. Am besten konfiguriert man dazu ein eventgetriggertes Logging, also:
Schädling will sich installieren/starten ->SRPs blockt das ->System loggt das ins Ereignisprotokoll ->Ereignisprotokoll schickt Dir eine Mail.
Das geht zum Beispiel über das tool eventtriggers.exe auch in xp. eventriggers.exe gehört zu windows xp.
speedy26gonzales
speedy26gonzales 26.07.2012 um 00:23:47 Uhr
Goto Top
Hi Leute,

sorry dass es etwas länger mit meiner Antwort dauerte, ich war leider etwas im Stress.

@DerWoWusste Bedeutet "WhiteListing" wird unter XP über die Softwareeinschränkungrichtlinien eingestellt und ausgeführt.
Ich hab schon gesehen dass es wohl auch 3t Anbieter gibt die fertige Tools anbieten, jemand eine Idee wo man sich über dieses Thema allgemein gute Infos einholen kann?
Wie schon erwähnt handelt es sich um XP Systeme, wobei dann auch zu betrachten wäre wie gross der Aufwand wäre wenn man die XP Systeme irgendwann auf Windows7 oder so umstellen würde.
Dann müsste man schauen wie man die Dinger auf dem aktuellen Stand hält und leicht updaten kann.
Es handelt sich ja um mehrere Rechner.

Für weitere Infos bin ich sehr dankbar

Viele Grüße
DerWoWusste
DerWoWusste 26.07.2012 um 13:17:10 Uhr
Goto Top
Hi.

Damit nicht weitere Monate vergehen, bis dies beendet ist: Was willst Du erreichen? Warum suchst Du nach 3rd party Programmen, wo Windows eine schöne Möglichkeit bietet?
speedy26gonzales
speedy26gonzales 26.07.2012 um 19:43:33 Uhr
Goto Top
Na ich möchte einfach alle Möglichkeiten in Betracht ziehen und anschauen um dann die beste zum Einsatz zu bringen.
Es sollte ja anstatt eines Virenscanners eingesetzt werden um die System sicher zu halten.
DerWoWusste
DerWoWusste 26.07.2012 um 19:55:30 Uhr
Goto Top
Einige Sicherheitssuites rund um Virenscanner bieten das, aber warum nicht erstmal das von Windows testen, wo es nichts kostet? Würde ich stark empfehlen.
speedy26gonzales
speedy26gonzales 27.07.2012 um 16:17:52 Uhr
Goto Top
Hi,

klar werde ich dieses auch mal testen. Ich möchte aber trotzdem eine Aufstellung über alles erhältliche machen um dann mit Pro und Kontra abzuwägen welches am Ende zum Einsatz kommt. Verstehst?
speedy26gonzales
speedy26gonzales 01.08.2012 um 09:29:56 Uhr
Goto Top
Ich hab mir das jetzt angeschaut , bin aber direkt auf ein Problem gestossen.
Ich hab es so eingestellt dass erst mal alles Default "blockiert" wird, somit möchte ich nur die Sachen freigeben wo ich brauche. Ich würde es wohl am besten über die Pfadregel machen? Oder was meinst Du?
Dann habe ich gemerkt wenn ich z.b. C:\Programme\Acronis freigebe dann übers Startmenü Acronis Truimage aufrufen will trotzdem ein Fehler bekomme weil ich den Startmenüeintrag nicht freigegeben hab. Muss ich jedesmal auch den Startmenüeitnrag freigeben oder geht das evtl. auch anders?
Und hast Du eine Idee wie ich die Richtlinien verwalten und handeln kann? Wenn ich Sie updaten möchte , wenn z.B. ein neues Programm dazu kommt oder auf einen anderen Rechner exportieren/importieren.
Ich muss vermutlich weit über 100 Regeln erstellen und die Rechner sind alles "StandAlone" also ohne GPO Server davor.
DerWoWusste
DerWoWusste 01.08.2012 um 22:45:33 Uhr
Goto Top
Hi.

In Kürze: Pfadregel ist ok, Hashregel ist noch sicherer.
Startmenü: gib es per Pfadregel komplett frei. Grund: die darin enthaltenen Dateien vom Typ .lnk (Linkdateien) sind als potentiell gefährlich eingestuft.
Richtlinien verwalten/export. - keine Erfahrung. Monitore mit procmon, wo diese abgelegt werden, vermutlich in der Registry.
speedy26gonzales
speedy26gonzales 02.08.2012 um 22:21:38 Uhr
Goto Top
Was genau macht denn die Hashregel? Die kann ich ja nur speziell auf ne Datei anwenden.
Also Startmenü einmal komplett als Pfadregel freigeben, denn die Programme wo nicht als Hash oder Pfad freigegeben sind werden eh nicht starten können.

So wie ich jetzt rausgefunden habe werden die Regeln unter HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer abgelegt.

Ich frage mich jetzt wie ich es am besten machen soll. Ich hab ca. 20 Programme mit zum Teil Unterprogrammen (Javabezogen) die ausgeführt werden müssen.
Bedeutet für jedes Teil eine Regel erstelle und testen obs noch alles so tut wie es soll.

Hast Du ne Idee wie ich testen kann ob das System dann sicher ist?
DerWoWusste
DerWoWusste 03.08.2012 um 10:31:48 Uhr
Goto Top
Hashregeln - schau in die Hilfe. Es wird ein Hash der Datei erstellt, damit kann die .exe auf Verfälschung geprüft werden. Vorteil gegenüber der Pfadregel als Beispiel: Du hast den Pfad c:\progs\prog1 freigegeben - der Nutzer schafft es irgendwie, da eigenen Code zu plazieren und darf den starten. Mit Hashregel nicht, weil der Nutzer es nicht schaffen würde dort Code zu plazieren, der den selben Hash hat.

Hast Du ne Idee wie ich testen kann ob das System dann sicher ist?
Wie soll man's schon testen? Wenn Du alles andere nicht zur Ausführung freigibst, wird das nicht starten. Das kannst Du testen. Wo ist jetzt Dein Verständnisproblem?
speedy26gonzales
speedy26gonzales 03.08.2012 um 11:11:11 Uhr
Goto Top
Ok dann is bei einem Hash quasi alles gesperrt ausserr die ausführbare Datei selbst. Bei der Pfadregel wäre ja alles frei was im bestimmten Pfad drin ist.


Na ich dachte da beim testen an einen "Testvirus" oder ähnliches. Aber eigentlich hast recht, wenn alles geblockt ist dürfte auch nix passieren.

Jetzt steh ich eigentlich nur noch vor dem Problem wie ich die Regeln auf mehrere Rechner übertragen kann face-sad
DerWoWusste
DerWoWusste 03.08.2012 um 11:23:20 Uhr
Goto Top
Führ doch einen Testvirus aus (irgendeine nichtzugelassene exe). Übertragen per registryexport/regimport versuchen.
speedy26gonzales
speedy26gonzales 03.08.2012 um 15:22:11 Uhr
Goto Top
Ok werde ich machen.

Hast Du ne Idee nach was ich mit dem Procmon loggen oder filtern kann?
Wenn ich jetzt etwas verändere schreibt er mir richtig viele neue Sachen rein.
Die Regeln sind ja sicher irgendwie verschlüsselt abgelegt
DerWoWusste
DerWoWusste 03.08.2012 um 16:00:37 Uhr
Goto Top
Ich sehe keinen Sinn in der Verschlüsselung von Regeln - selbst wenn allgemein einsehbar ändert das nichts an Ihrer Durchsetzungskraft.
Du kannst für den Vorher-Nacher-Vergleich das Tool regshot nutzen.
speedy26gonzales
speedy26gonzales 03.08.2012 um 17:26:46 Uhr
Goto Top
Danke dieses Tool kannte ich gar nicht.
Ach herje, das is wohl doch nicht so einfach getan mit dem einen Verzeichniss.
Ich hab jetzt eine Ordnerregel in dem etliche Programme liegen von Erlaubt auf nicht Erlaubt geändert.

Dann die 2 Dateien verglichen, hier das Ergebnis:

Schlüssel gelöscht: 2
Schlüssel hinzugefügt: 2

Werte gelöscht: 8
Werte hinzugefügt: 8
Werte geändert: 13

Gesamte Änderungen: 33
DerWoWusste
DerWoWusste 04.08.2012 um 00:12:40 Uhr
Goto Top
das muss nicht heißen, dass alle 33 Änderungen durch die Policies entstanden sind. sieh genau hin.
speedy26gonzales
speedy26gonzales 04.08.2012 um 13:44:09 Uhr
Goto Top
Zitat von @DerWoWusste:
das muss nicht heißen, dass alle 33 Änderungen durch die Policies entstanden sind. sieh genau hin.


Hier mal die Files:

1. Pfadregel für Firefox sperren erstellen:
Regshot 1.8.2
Kommentar:
Datum und Zeit:2012/8/4 11:24:04 , 2012/8/4 11:24:22
Computer:TEST-3C0FAE4F88 , TEST-3C0FAE4F88
Benutzername:test , test

Schlüssel hinzugefügt:2
HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{fc349499-74a2-41dc-b69e-e8bc6e6719b7}
HKU\S-1-5-21-73586283-1202660629-1016883043-1003\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{F449713B-0FB4-4386-B27E-54C4CDA201A2}Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{fc349499-74a2-41dc-b69e-e8bc6e6719b7}

Werte hinzugefügt:8
HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{fc349499-74a2-41dc-b69e-e8bc6e6719b7}\LastModified: 40 B1 FE AD 33 72 CD 01
HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{fc349499-74a2-41dc-b69e-e8bc6e6719b7}\Description: ""
HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{fc349499-74a2-41dc-b69e-e8bc6e6719b7}\SaferFlags: 0x00000000
HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{fc349499-74a2-41dc-b69e-e8bc6e6719b7}\ItemData: "C:\Programme\Mozilla Firefox"
HKU\S-1-5-21-73586283-1202660629-1016883043-1003\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{F449713B-0FB4-4386-B27E-54C4CDA201A2}Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{fc349499-74a2-41dc-b69e-e8bc6e6719b7}\LastModified: 40 B1 FE AD 33 72 CD 01
HKU\S-1-5-21-73586283-1202660629-1016883043-1003\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{F449713B-0FB4-4386-B27E-54C4CDA201A2}Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{fc349499-74a2-41dc-b69e-e8bc6e6719b7}\Description: ""
HKU\S-1-5-21-73586283-1202660629-1016883043-1003\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{F449713B-0FB4-4386-B27E-54C4CDA201A2}Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{fc349499-74a2-41dc-b69e-e8bc6e6719b7}\SaferFlags: 0x00000000
HKU\S-1-5-21-73586283-1202660629-1016883043-1003\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{F449713B-0FB4-4386-B27E-54C4CDA201A2}Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{fc349499-74a2-41dc-b69e-e8bc6e6719b7}\ItemData: "C:\Programme\Mozilla Firefox"

Werte geändert:9
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History\{35378EAC-683F-11D2-A89A-00C04FBBCFA2}\0\Version: 0x00060006
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History\{35378EAC-683F-11D2-A89A-00C04FBBCFA2}\0\Version: 0x00080008
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History\{B1BE8D72-6EAC-11D2-A4EA-00C04F79F83A}\0\Version: 0x00060006
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History\{B1BE8D72-6EAC-11D2-A4EA-00C04F79F83A}\0\Version: 0x00080008
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\Machine\Extension-List\{00000000-0000-0000-0000-000000000000}\StartTimeLo: 0x83603A80
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\Machine\Extension-List\{00000000-0000-0000-0000-000000000000}\StartTimeLo: 0xAE7A7770
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\Machine\Extension-List\{00000000-0000-0000-0000-000000000000}\EndTimeLo: 0x83B13770
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\Machine\Extension-List\{00000000-0000-0000-0000-000000000000}\EndTimeLo: 0xAE7BFEA0
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\Machine\GPO-List\0\Version: 0x00060006
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\Machine\GPO-List\0\Version: 0x00080008
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{35378EAC-683F-11D2-A89A-00C04FBBCFA2}\LastPolicyTime: 0x010592AB
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{35378EAC-683F-11D2-A89A-00C04FBBCFA2}\LastPolicyTime: 0x010592AC
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{B1BE8D72-6EAC-11D2-A4EA-00C04F79F83A}\LastPolicyTime: 0x010592AB
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{B1BE8D72-6EAC-11D2-A4EA-00C04F79F83A}\LastPolicyTime: 0x010592AC
HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Epoch\Epoch: 0x00000013
HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Epoch\Epoch: 0x00000014
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch\Epoch: 0x00000013
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch\Epoch: 0x00000014

Gesamte Änderungen:19

2. Pfadregel für Firefox löschen

Regshot 1.8.2
Kommentar:
Datum und Zeit:2012/8/4 11:24:47 , 2012/8/4 11:25:00
Computer:TEST-3C0FAE4F88 , TEST-3C0FAE4F88
Benutzername:test , test

Schlüssel gelöscht:2
HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{fc349499-74a2-41dc-b69e-e8bc6e6719b7}
HKU\S-1-5-21-73586283-1202660629-1016883043-1003\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{F449713B-0FB4-4386-B27E-54C4CDA201A2}Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{fc349499-74a2-41dc-b69e-e8bc6e6719b7}

Werte gelöscht:8
HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{fc349499-74a2-41dc-b69e-e8bc6e6719b7}\LastModified: 40 B1 FE AD 33 72 CD 01
HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{fc349499-74a2-41dc-b69e-e8bc6e6719b7}\Description: ""
HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{fc349499-74a2-41dc-b69e-e8bc6e6719b7}\SaferFlags: 0x00000000
HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{fc349499-74a2-41dc-b69e-e8bc6e6719b7}\ItemData: "C:\Programme\Mozilla Firefox"
HKU\S-1-5-21-73586283-1202660629-1016883043-1003\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{F449713B-0FB4-4386-B27E-54C4CDA201A2}Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{fc349499-74a2-41dc-b69e-e8bc6e6719b7}\LastModified: 40 B1 FE AD 33 72 CD 01
HKU\S-1-5-21-73586283-1202660629-1016883043-1003\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{F449713B-0FB4-4386-B27E-54C4CDA201A2}Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{fc349499-74a2-41dc-b69e-e8bc6e6719b7}\Description: ""
HKU\S-1-5-21-73586283-1202660629-1016883043-1003\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{F449713B-0FB4-4386-B27E-54C4CDA201A2}Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{fc349499-74a2-41dc-b69e-e8bc6e6719b7}\SaferFlags: 0x00000000
HKU\S-1-5-21-73586283-1202660629-1016883043-1003\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{F449713B-0FB4-4386-B27E-54C4CDA201A2}Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{fc349499-74a2-41dc-b69e-e8bc6e6719b7}\ItemData: "C:\Programme\Mozilla Firefox"

Werte geändert:7
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History\{35378EAC-683F-11D2-A89A-00C04FBBCFA2}\0\Version: 0x00080008
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History\{35378EAC-683F-11D2-A89A-00C04FBBCFA2}\0\Version: 0x000A000A
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History\{B1BE8D72-6EAC-11D2-A4EA-00C04F79F83A}\0\Version: 0x00080008
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History\{B1BE8D72-6EAC-11D2-A4EA-00C04F79F83A}\0\Version: 0x000A000A
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\Machine\Extension-List\{00000000-0000-0000-0000-000000000000}\StartTimeLo: 0xAE7A7770
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\Machine\Extension-List\{00000000-0000-0000-0000-000000000000}\StartTimeLo: 0xC4B37E80
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\Machine\Extension-List\{00000000-0000-0000-0000-000000000000}\EndTimeLo: 0xAE7BFEA0
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\Machine\Extension-List\{00000000-0000-0000-0000-000000000000}\EndTimeLo: 0xC4B505B0
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\Machine\GPO-List\0\Version: 0x00080008
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\Machine\GPO-List\0\Version: 0x000A000A
HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Epoch\Epoch: 0x00000014
HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Epoch\Epoch: 0x00000015
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch\Epoch: 0x00000014
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch\Epoch: 0x00000015

Gesamte Änderungen:17
speedy26gonzales
speedy26gonzales 06.08.2012 um 12:03:05 Uhr
Goto Top
Also ich habe mal nur versucht dieses "Safer-Verzeichniss" zu exportieren und dann importieren.
Die Regel geht dann nicht , so wie es aussieht müssen wohl doch alle anderen Verzeichnisse auch mitgenommen werden.
DerWoWusste
DerWoWusste 06.08.2012 um 19:03:32 Uhr
Goto Top
Dann probier mal weiter. Ich kann dazu nichts sagen, würde aber eher nach der Doku zum Thema Export im MS Technet suchen - irgendwas findet sich da bestimmt.
speedy26gonzales
speedy26gonzales 06.08.2012 um 21:15:21 Uhr
Goto Top
Hab über Google schon geschaut, keine Treffer. Wundert mich selbst auch irgendwie , kann doch nicht sein dass bisher no nie sowas machen wollt face-smile
DerWoWusste
DerWoWusste 06.08.2012 um 21:37:51 Uhr
Goto Top
speedy26gonzales
speedy26gonzales 07.08.2012 um 21:08:47 Uhr
Goto Top
Danke, hat mich auf jedenfall schon nen Schritt weiter gebracht. Jetzt muss ich nur noch eine Doku suchen wie ich solche GPOs von Hand erstellen oder skripten kann und bevor ich Regeln erstelle den PC nach ausführbaren Dateien durchsuchen um darauf Regeln erstellen.