33
White listing unter Windows - Suche Informationen
Hallo,
da ich durch eine aktuelle Problemstellung darauf gekommen bin möchte ich etwas mehr über dieses "White listing - Verfahren" wissen und kann irgendwie nicht all zu viel darüber finden.
Hat jemand damit Erfahrung? Kann es einen Virenscanner wirklich ersezten? Gibts dort irgendwo Unterlagen dazu ?
da ich durch eine aktuelle Problemstellung darauf gekommen bin möchte ich etwas mehr über dieses "White listing - Verfahren" wissen und kann irgendwie nicht all zu viel darüber finden.
Hat jemand damit Erfahrung? Kann es einen Virenscanner wirklich ersezten? Gibts dort irgendwo Unterlagen dazu ?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 185333
Url: https://administrator.de/contentid/185333
Printed on: April 19, 2024 at 18:04 o'clock
33 Comments
Latest comment
Moin
was hat das Eine mit dem Anderen überhaupt zu tun ?
Whitelisting: Steuerung eines Spamfilters im eMail-verkehr
Gruß
was hat das Eine mit dem Anderen überhaupt zu tun ?
Whitelisting: Steuerung eines Spamfilters im eMail-verkehr
Gruß
Whitelisting von was?
Moin erstmal. Wenn Du von Virenscannern redest, liegt nahe, dass Du Whitelisting von ausführbaren Dateien meinst. Falls dem so ist, musst Du natürlich auch sagen, auf welchem Betriebssystem und (hier tatsächlich mal wichtig) welcher Edition.
Erste Idee: Du meinst etwas wie applocker.
Moin erstmal. Wenn Du von Virenscannern redest, liegt nahe, dass Du Whitelisting von ausführbaren Dateien meinst. Falls dem so ist, musst Du natürlich auch sagen, auf welchem Betriebssystem und (hier tatsächlich mal wichtig) welcher Edition.
Erste Idee: Du meinst etwas wie applocker.
Hi,
Sorry für die ungenauen Angaben.
Ich rede natürlich nicht von Email sondern eher einem Viren- und Malwareschutz da auf der eingesetzten Maschine ein Virenscanner das System zu arg beeinträchtigen könnte.
Betriebssystem wäre Windows XP.
Sorry für die ungenauen Angaben.
Ich rede natürlich nicht von Email sondern eher einem Viren- und Malwareschutz da auf der eingesetzten Maschine ein Virenscanner das System zu arg beeinträchtigen könnte.
Betriebssystem wäre Windows XP.
Gut. Und das ist jetzt eine Antwort an uns beide? Gib mal an, ob Du von pro redest, und ob applocker http://technet.microsoft.com/de-de/library/dd548340(v=ws.10).aspx das ist, was Du meinst. (Ich weiß, applocker ist nicht für xp, aber auf xp pro gibt es die dem ähnlichen Softwareeinschränkungsrichtlinien).
Na eigentlich ist mit der Antwort auch Hubrts Frage geklärt oder?
Ja rede von "Pro Version". Wie gesagt ich konnte noch keine wirklichen Infos finden. Erst dachte ich so ein Whitelisting ist Bestandteil von Windows, aber so wie ich es jetzt sehe brauch ich da auf jedenfall ein extra Tool wie z.B. Applocker?
Und ich hab noch keine Antwort auf die Frage gefunden ob es wirklich einen Virenscanner ersetzt?
Ja rede von "Pro Version". Wie gesagt ich konnte noch keine wirklichen Infos finden. Erst dachte ich so ein Whitelisting ist Bestandteil von Windows, aber so wie ich es jetzt sehe brauch ich da auf jedenfall ein extra Tool wie z.B. Applocker?
Und ich hab noch keine Antwort auf die Frage gefunden ob es wirklich einen Virenscanner ersetzt?
applocker ist doch kein extra Tool, wie Du lesen kannst, gehört es zu Windows 7 (Ultimate/Enterprise). Mit xp pro hast Du die Softwareeinschränkungsrichtlinien zur Verfügung, google mal danach.
Was nicht ausgeführt werden darf, muss auch nicht auf Viren gescannt werden. Jedoch kannst Du erlaubten Prozessen nicht abgewöhnen, dass sie Kindprozesse starten, was beim Browser natürlich mal in die Hose gehen kann. Applocker kann auch dies verhindern, es ist sicherer als die Softwareeinschränkungsrichtlinien.
Was nicht ausgeführt werden darf, muss auch nicht auf Viren gescannt werden. Jedoch kannst Du erlaubten Prozessen nicht abgewöhnen, dass sie Kindprozesse starten, was beim Browser natürlich mal in die Hose gehen kann. Applocker kann auch dies verhindern, es ist sicherer als die Softwareeinschränkungsrichtlinien.
moin speedy,
Ein Virenscanner /-wächter arbeitet ja auch nach "Blacklisting". Was nicht in der Blacklist steht wird durchgelassen.
Alte Definitionsdateien bzw. fehlende Signaturen zur Erkennung der Schädlinge sind daher das Risiko Nummer eins. (mein SpamFilter arbeitet auch nach Blacklist).
Der Türsteher, welcher nach Whitelist arbeitet vergleicht die Namen mit der Gästeliste. Wer darauf verzeichnet ist darf in die Vernissage. Schliesslich kennt man sich ja Persönlich.
Der Türsteher, welcher nach Blacklist arbeitet verlässt sich auf seine Erfahrungen und schickt die wieder nach Hause, welche seiner Erfahrung nach die Party versauen.
Gruß Phil
Ein Virenscanner /-wächter arbeitet ja auch nach "Blacklisting". Was nicht in der Blacklist steht wird durchgelassen.
Alte Definitionsdateien bzw. fehlende Signaturen zur Erkennung der Schädlinge sind daher das Risiko Nummer eins. (mein SpamFilter arbeitet auch nach Blacklist).
Der Türsteher, welcher nach Whitelist arbeitet vergleicht die Namen mit der Gästeliste. Wer darauf verzeichnet ist darf in die Vernissage. Schliesslich kennt man sich ja Persönlich.
App locker lässt sich sehr fein einstellen - Ist nur bei gewünschten Neuzugängen wartungsintensiv.
Der Türsteher, welcher nach Blacklist arbeitet verlässt sich auf seine Erfahrungen und schickt die wieder nach Hause, welche seiner Erfahrung nach die Party versauen.
so muss diese Erfahrung jeden Tag erweitert werden, es kommen ja jeden Tag neue Sachen.
Gruß Phil
@DerWoWusste Ok applocker ist kein extra Tool , wie ich aber gesehen habe gibt es kommerzielle Tools die sowas wie "White listing" machen.
Du sagst bei XP hab ich die Softwareeinschränkungsrichtlinien zur verfügung.
Jetzt kommt mir aber grad der Gedanke: Was aber ist wenn die BS Systeme erneuert werden, dann muss die ganze Arbeit an einer anderen Stelle nochmals gemacht werden.
Du sagst bei XP hab ich die Softwareeinschränkungsrichtlinien zur verfügung.
Jetzt kommt mir aber grad der Gedanke: Was aber ist wenn die BS Systeme erneuert werden, dann muss die ganze Arbeit an einer anderen Stelle nochmals gemacht werden.
@pieh-ejdsch
Wenn ich es richtig verstanden habe ist White listing eigentlich immer die sicherere Methode, bzw. wäre White listung UND Virenscanner die sicherste?
Du sprichst auch schon ein weiteres Thema an, die Wartung.
Die White List auf den Geräten sollte ja auch relativ schnell upgedatet werden können. Wenn z.B. ein neues Programm installiert werden soll muss sichergestellt werden dass der PC immernoch clean ist (wie könnte dort das Konzept aussehen?) und dann die Liste auf dem Rechner upgedatet werden.
Wenn ich es richtig verstanden habe ist White listing eigentlich immer die sicherere Methode, bzw. wäre White listung UND Virenscanner die sicherste?
Du sprichst auch schon ein weiteres Thema an, die Wartung.
Die White List auf den Geräten sollte ja auch relativ schnell upgedatet werden können. Wenn z.B. ein neues Programm installiert werden soll muss sichergestellt werden dass der PC immernoch clean ist (wie könnte dort das Konzept aussehen?) und dann die Liste auf dem Rechner upgedatet werden.
Applocker und SRPs machen beide auch Whitelisting. Ja, Whitelisting ist die sicherste Methode. Ob da noch ein Virenscanner gebraucht wird, ist Ansichtssache.
Jetzt kommt mir aber grad der Gedanke: Was aber ist wenn die BS Systeme erneuert werden, dann muss die ganze Arbeit an einer anderen Stelle nochmals gemacht werden.
Wenn Du die Einstellungen auf mehreren Rechnern per GPO regelst, dann kannst Du das Betriebssystem natürlich updaten, ohne dass Du die GPOs erneuern musst. Wenn es ein Einzel-PC ist, musst Du Sie neu machen, stimmt. Hier könnte man allenfalls versuchen, die zugehörigen Registrykeys (falls diese Policies Regkeys benutzen) zu exportieren und im neuen zu importieren.Die White List auf den Geräten sollte ja auch relativ schnell upgedatet werden können. Wenn z.B. ein neues Programm installiert werden soll muss sichergestellt werden dass der PC immernoch clean ist (wie könnte dort das Konzept aussehen?) und dann die Liste auf dem Rechner upgedatet werden.
Wenn Du ein neues Programm installierst, packst Du es auf die Whitelist - ganz simpel. Um sicherzustellen, dass der Rechner clean ist... wie meinst Du das? Wenn Du dem neuen Programm nicht vertraust, kannst Du das nicht sicherstellen, wenn doch, verstehe ich die Frage nicht.
Was meinst Du mit SRPs ? Glaub ich steh grad auf dem Schlauch
Auf den Systemen wo ich Whitelisting einsetzten möchte verbraucht ein Virenscanner zuviel Resourchen, deswegen ja der Gedanke an Whitelisting.
Sobald ich GPOs verwende bin ich zusätzlich an einen Server gebunden der diese auch verwaltet. Wäre aber zum überlegen.
Na ich hab mir halt schon Gedanken gemacht wie überprüfe ich ob ein Rechner noch clean ist?
Daher eben der Gedanke wenn man eh ein neues Programm installiert zuerst sicher gehen dass er noch sauber ist.
Oder dann eben in verschiedenen Abständen, aber wie am besten?
Habt ihr bisher Whitelisting nur mit Windows eigenen Tools umgesetzt oder auch auf kommerzielle Software zurückgegriffen?
Auf den Systemen wo ich Whitelisting einsetzten möchte verbraucht ein Virenscanner zuviel Resourchen, deswegen ja der Gedanke an Whitelisting.
Sobald ich GPOs verwende bin ich zusätzlich an einen Server gebunden der diese auch verwaltet. Wäre aber zum überlegen.
Na ich hab mir halt schon Gedanken gemacht wie überprüfe ich ob ein Rechner noch clean ist?
Daher eben der Gedanke wenn man eh ein neues Programm installiert zuerst sicher gehen dass er noch sauber ist.
Oder dann eben in verschiedenen Abständen, aber wie am besten?
Habt ihr bisher Whitelisting nur mit Windows eigenen Tools umgesetzt oder auch auf kommerzielle Software zurückgegriffen?
SRP= software restriction policies = Softwareeinschränkungsrichtlinien.
Schädling will sich installieren/starten ->SRPs blockt das ->System loggt das ins Ereignisprotokoll ->Ereignisprotokoll schickt Dir eine Mail.
Das geht zum Beispiel über das tool eventtriggers.exe auch in xp. eventriggers.exe gehört zu windows xp.
Na ich hab mir halt schon Gedanken gemacht wie überprüfe ich ob ein Rechner noch clean ist?
Kinderleicht. Schädlinge wollen auch starten. SRPs verbieten dies aber und loggen auch die verhinderten Startversuche. Du bekommst eine Infektion, sofern erfolgt (wie auch immer) in jedem Falle mit. Am besten konfiguriert man dazu ein eventgetriggertes Logging, also:Schädling will sich installieren/starten ->SRPs blockt das ->System loggt das ins Ereignisprotokoll ->Ereignisprotokoll schickt Dir eine Mail.
Das geht zum Beispiel über das tool eventtriggers.exe auch in xp. eventriggers.exe gehört zu windows xp.
Hi Leute,
sorry dass es etwas länger mit meiner Antwort dauerte, ich war leider etwas im Stress.
@DerWoWusste Bedeutet "WhiteListing" wird unter XP über die Softwareeinschränkungrichtlinien eingestellt und ausgeführt.
Ich hab schon gesehen dass es wohl auch 3t Anbieter gibt die fertige Tools anbieten, jemand eine Idee wo man sich über dieses Thema allgemein gute Infos einholen kann?
Wie schon erwähnt handelt es sich um XP Systeme, wobei dann auch zu betrachten wäre wie gross der Aufwand wäre wenn man die XP Systeme irgendwann auf Windows7 oder so umstellen würde.
Dann müsste man schauen wie man die Dinger auf dem aktuellen Stand hält und leicht updaten kann.
Es handelt sich ja um mehrere Rechner.
Für weitere Infos bin ich sehr dankbar
Viele Grüße
sorry dass es etwas länger mit meiner Antwort dauerte, ich war leider etwas im Stress.
@DerWoWusste Bedeutet "WhiteListing" wird unter XP über die Softwareeinschränkungrichtlinien eingestellt und ausgeführt.
Ich hab schon gesehen dass es wohl auch 3t Anbieter gibt die fertige Tools anbieten, jemand eine Idee wo man sich über dieses Thema allgemein gute Infos einholen kann?
Wie schon erwähnt handelt es sich um XP Systeme, wobei dann auch zu betrachten wäre wie gross der Aufwand wäre wenn man die XP Systeme irgendwann auf Windows7 oder so umstellen würde.
Dann müsste man schauen wie man die Dinger auf dem aktuellen Stand hält und leicht updaten kann.
Es handelt sich ja um mehrere Rechner.
Für weitere Infos bin ich sehr dankbar
Viele Grüße
Hi.
Damit nicht weitere Monate vergehen, bis dies beendet ist: Was willst Du erreichen? Warum suchst Du nach 3rd party Programmen, wo Windows eine schöne Möglichkeit bietet?
Damit nicht weitere Monate vergehen, bis dies beendet ist: Was willst Du erreichen? Warum suchst Du nach 3rd party Programmen, wo Windows eine schöne Möglichkeit bietet?
Na ich möchte einfach alle Möglichkeiten in Betracht ziehen und anschauen um dann die beste zum Einsatz zu bringen.
Es sollte ja anstatt eines Virenscanners eingesetzt werden um die System sicher zu halten.
Es sollte ja anstatt eines Virenscanners eingesetzt werden um die System sicher zu halten.
Einige Sicherheitssuites rund um Virenscanner bieten das, aber warum nicht erstmal das von Windows testen, wo es nichts kostet? Würde ich stark empfehlen.
Hi,
klar werde ich dieses auch mal testen. Ich möchte aber trotzdem eine Aufstellung über alles erhältliche machen um dann mit Pro und Kontra abzuwägen welches am Ende zum Einsatz kommt. Verstehst?
klar werde ich dieses auch mal testen. Ich möchte aber trotzdem eine Aufstellung über alles erhältliche machen um dann mit Pro und Kontra abzuwägen welches am Ende zum Einsatz kommt. Verstehst?
Ich hab mir das jetzt angeschaut , bin aber direkt auf ein Problem gestossen.
Ich hab es so eingestellt dass erst mal alles Default "blockiert" wird, somit möchte ich nur die Sachen freigeben wo ich brauche. Ich würde es wohl am besten über die Pfadregel machen? Oder was meinst Du?
Dann habe ich gemerkt wenn ich z.b. C:\Programme\Acronis freigebe dann übers Startmenü Acronis Truimage aufrufen will trotzdem ein Fehler bekomme weil ich den Startmenüeintrag nicht freigegeben hab. Muss ich jedesmal auch den Startmenüeitnrag freigeben oder geht das evtl. auch anders?
Und hast Du eine Idee wie ich die Richtlinien verwalten und handeln kann? Wenn ich Sie updaten möchte , wenn z.B. ein neues Programm dazu kommt oder auf einen anderen Rechner exportieren/importieren.
Ich muss vermutlich weit über 100 Regeln erstellen und die Rechner sind alles "StandAlone" also ohne GPO Server davor.
Ich hab es so eingestellt dass erst mal alles Default "blockiert" wird, somit möchte ich nur die Sachen freigeben wo ich brauche. Ich würde es wohl am besten über die Pfadregel machen? Oder was meinst Du?
Dann habe ich gemerkt wenn ich z.b. C:\Programme\Acronis freigebe dann übers Startmenü Acronis Truimage aufrufen will trotzdem ein Fehler bekomme weil ich den Startmenüeintrag nicht freigegeben hab. Muss ich jedesmal auch den Startmenüeitnrag freigeben oder geht das evtl. auch anders?
Und hast Du eine Idee wie ich die Richtlinien verwalten und handeln kann? Wenn ich Sie updaten möchte , wenn z.B. ein neues Programm dazu kommt oder auf einen anderen Rechner exportieren/importieren.
Ich muss vermutlich weit über 100 Regeln erstellen und die Rechner sind alles "StandAlone" also ohne GPO Server davor.
Hi.
In Kürze: Pfadregel ist ok, Hashregel ist noch sicherer.
Startmenü: gib es per Pfadregel komplett frei. Grund: die darin enthaltenen Dateien vom Typ .lnk (Linkdateien) sind als potentiell gefährlich eingestuft.
Richtlinien verwalten/export. - keine Erfahrung. Monitore mit procmon, wo diese abgelegt werden, vermutlich in der Registry.
In Kürze: Pfadregel ist ok, Hashregel ist noch sicherer.
Startmenü: gib es per Pfadregel komplett frei. Grund: die darin enthaltenen Dateien vom Typ .lnk (Linkdateien) sind als potentiell gefährlich eingestuft.
Richtlinien verwalten/export. - keine Erfahrung. Monitore mit procmon, wo diese abgelegt werden, vermutlich in der Registry.
Was genau macht denn die Hashregel? Die kann ich ja nur speziell auf ne Datei anwenden.
Also Startmenü einmal komplett als Pfadregel freigeben, denn die Programme wo nicht als Hash oder Pfad freigegeben sind werden eh nicht starten können.
So wie ich jetzt rausgefunden habe werden die Regeln unter HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer abgelegt.
Ich frage mich jetzt wie ich es am besten machen soll. Ich hab ca. 20 Programme mit zum Teil Unterprogrammen (Javabezogen) die ausgeführt werden müssen.
Bedeutet für jedes Teil eine Regel erstelle und testen obs noch alles so tut wie es soll.
Hast Du ne Idee wie ich testen kann ob das System dann sicher ist?
Also Startmenü einmal komplett als Pfadregel freigeben, denn die Programme wo nicht als Hash oder Pfad freigegeben sind werden eh nicht starten können.
So wie ich jetzt rausgefunden habe werden die Regeln unter HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer abgelegt.
Ich frage mich jetzt wie ich es am besten machen soll. Ich hab ca. 20 Programme mit zum Teil Unterprogrammen (Javabezogen) die ausgeführt werden müssen.
Bedeutet für jedes Teil eine Regel erstelle und testen obs noch alles so tut wie es soll.
Hast Du ne Idee wie ich testen kann ob das System dann sicher ist?
Hashregeln - schau in die Hilfe. Es wird ein Hash der Datei erstellt, damit kann die .exe auf Verfälschung geprüft werden. Vorteil gegenüber der Pfadregel als Beispiel: Du hast den Pfad c:\progs\prog1 freigegeben - der Nutzer schafft es irgendwie, da eigenen Code zu plazieren und darf den starten. Mit Hashregel nicht, weil der Nutzer es nicht schaffen würde dort Code zu plazieren, der den selben Hash hat.
Hast Du ne Idee wie ich testen kann ob das System dann sicher ist?
Wie soll man's schon testen? Wenn Du alles andere nicht zur Ausführung freigibst, wird das nicht starten. Das kannst Du testen. Wo ist jetzt Dein Verständnisproblem?
Ok dann is bei einem Hash quasi alles gesperrt ausserr die ausführbare Datei selbst. Bei der Pfadregel wäre ja alles frei was im bestimmten Pfad drin ist.
Na ich dachte da beim testen an einen "Testvirus" oder ähnliches. Aber eigentlich hast recht, wenn alles geblockt ist dürfte auch nix passieren.
Jetzt steh ich eigentlich nur noch vor dem Problem wie ich die Regeln auf mehrere Rechner übertragen kann
Na ich dachte da beim testen an einen "Testvirus" oder ähnliches. Aber eigentlich hast recht, wenn alles geblockt ist dürfte auch nix passieren.
Jetzt steh ich eigentlich nur noch vor dem Problem wie ich die Regeln auf mehrere Rechner übertragen kann
Führ doch einen Testvirus aus (irgendeine nichtzugelassene exe). Übertragen per registryexport/regimport versuchen.
Ok werde ich machen.
Hast Du ne Idee nach was ich mit dem Procmon loggen oder filtern kann?
Wenn ich jetzt etwas verändere schreibt er mir richtig viele neue Sachen rein.
Die Regeln sind ja sicher irgendwie verschlüsselt abgelegt
Hast Du ne Idee nach was ich mit dem Procmon loggen oder filtern kann?
Wenn ich jetzt etwas verändere schreibt er mir richtig viele neue Sachen rein.
Die Regeln sind ja sicher irgendwie verschlüsselt abgelegt
Ich sehe keinen Sinn in der Verschlüsselung von Regeln - selbst wenn allgemein einsehbar ändert das nichts an Ihrer Durchsetzungskraft.
Du kannst für den Vorher-Nacher-Vergleich das Tool regshot nutzen.
Du kannst für den Vorher-Nacher-Vergleich das Tool regshot nutzen.
Danke dieses Tool kannte ich gar nicht.
Ach herje, das is wohl doch nicht so einfach getan mit dem einen Verzeichniss.
Ich hab jetzt eine Ordnerregel in dem etliche Programme liegen von Erlaubt auf nicht Erlaubt geändert.
Dann die 2 Dateien verglichen, hier das Ergebnis:
Schlüssel gelöscht: 2
Schlüssel hinzugefügt: 2
Werte gelöscht: 8
Werte hinzugefügt: 8
Werte geändert: 13
Gesamte Änderungen: 33
Ach herje, das is wohl doch nicht so einfach getan mit dem einen Verzeichniss.
Ich hab jetzt eine Ordnerregel in dem etliche Programme liegen von Erlaubt auf nicht Erlaubt geändert.
Dann die 2 Dateien verglichen, hier das Ergebnis:
Schlüssel gelöscht: 2
Schlüssel hinzugefügt: 2
Werte gelöscht: 8
Werte hinzugefügt: 8
Werte geändert: 13
Gesamte Änderungen: 33
das muss nicht heißen, dass alle 33 Änderungen durch die Policies entstanden sind. sieh genau hin.
Zitat von @DerWoWusste:
das muss nicht heißen, dass alle 33 Änderungen durch die Policies entstanden sind. sieh genau hin.
das muss nicht heißen, dass alle 33 Änderungen durch die Policies entstanden sind. sieh genau hin.
Hier mal die Files:
1. Pfadregel für Firefox sperren erstellen:
Regshot 1.8.2
Kommentar:
Datum und Zeit:2012/8/4 11:24:04 , 2012/8/4 11:24:22
Computer:TEST-3C0FAE4F88 , TEST-3C0FAE4F88
Benutzername:test , test
Schlüssel hinzugefügt:2
HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{fc349499-74a2-41dc-b69e-e8bc6e6719b7}
HKU\S-1-5-21-73586283-1202660629-1016883043-1003\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{F449713B-0FB4-4386-B27E-54C4CDA201A2}Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{fc349499-74a2-41dc-b69e-e8bc6e6719b7}
Werte hinzugefügt:8
HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{fc349499-74a2-41dc-b69e-e8bc6e6719b7}\LastModified: 40 B1 FE AD 33 72 CD 01
HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{fc349499-74a2-41dc-b69e-e8bc6e6719b7}\Description: ""
HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{fc349499-74a2-41dc-b69e-e8bc6e6719b7}\SaferFlags: 0x00000000
HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{fc349499-74a2-41dc-b69e-e8bc6e6719b7}\ItemData: "C:\Programme\Mozilla Firefox"
HKU\S-1-5-21-73586283-1202660629-1016883043-1003\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{F449713B-0FB4-4386-B27E-54C4CDA201A2}Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{fc349499-74a2-41dc-b69e-e8bc6e6719b7}\LastModified: 40 B1 FE AD 33 72 CD 01
HKU\S-1-5-21-73586283-1202660629-1016883043-1003\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{F449713B-0FB4-4386-B27E-54C4CDA201A2}Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{fc349499-74a2-41dc-b69e-e8bc6e6719b7}\Description: ""
HKU\S-1-5-21-73586283-1202660629-1016883043-1003\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{F449713B-0FB4-4386-B27E-54C4CDA201A2}Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{fc349499-74a2-41dc-b69e-e8bc6e6719b7}\SaferFlags: 0x00000000
HKU\S-1-5-21-73586283-1202660629-1016883043-1003\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{F449713B-0FB4-4386-B27E-54C4CDA201A2}Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{fc349499-74a2-41dc-b69e-e8bc6e6719b7}\ItemData: "C:\Programme\Mozilla Firefox"
Werte geändert:9
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History\{35378EAC-683F-11D2-A89A-00C04FBBCFA2}\0\Version: 0x00060006
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History\{35378EAC-683F-11D2-A89A-00C04FBBCFA2}\0\Version: 0x00080008
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History\{B1BE8D72-6EAC-11D2-A4EA-00C04F79F83A}\0\Version: 0x00060006
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History\{B1BE8D72-6EAC-11D2-A4EA-00C04F79F83A}\0\Version: 0x00080008
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\Machine\Extension-List\{00000000-0000-0000-0000-000000000000}\StartTimeLo: 0x83603A80
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\Machine\Extension-List\{00000000-0000-0000-0000-000000000000}\StartTimeLo: 0xAE7A7770
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\Machine\Extension-List\{00000000-0000-0000-0000-000000000000}\EndTimeLo: 0x83B13770
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\Machine\Extension-List\{00000000-0000-0000-0000-000000000000}\EndTimeLo: 0xAE7BFEA0
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\Machine\GPO-List\0\Version: 0x00060006
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\Machine\GPO-List\0\Version: 0x00080008
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{35378EAC-683F-11D2-A89A-00C04FBBCFA2}\LastPolicyTime: 0x010592AB
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{35378EAC-683F-11D2-A89A-00C04FBBCFA2}\LastPolicyTime: 0x010592AC
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{B1BE8D72-6EAC-11D2-A4EA-00C04F79F83A}\LastPolicyTime: 0x010592AB
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{B1BE8D72-6EAC-11D2-A4EA-00C04F79F83A}\LastPolicyTime: 0x010592AC
HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Epoch\Epoch: 0x00000013
HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Epoch\Epoch: 0x00000014
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch\Epoch: 0x00000013
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch\Epoch: 0x00000014
Gesamte Änderungen:19
2. Pfadregel für Firefox löschen
Regshot 1.8.2
Kommentar:
Datum und Zeit:2012/8/4 11:24:47 , 2012/8/4 11:25:00
Computer:TEST-3C0FAE4F88 , TEST-3C0FAE4F88
Benutzername:test , test
Schlüssel gelöscht:2
HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{fc349499-74a2-41dc-b69e-e8bc6e6719b7}
HKU\S-1-5-21-73586283-1202660629-1016883043-1003\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{F449713B-0FB4-4386-B27E-54C4CDA201A2}Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{fc349499-74a2-41dc-b69e-e8bc6e6719b7}
Werte gelöscht:8
HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{fc349499-74a2-41dc-b69e-e8bc6e6719b7}\LastModified: 40 B1 FE AD 33 72 CD 01
HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{fc349499-74a2-41dc-b69e-e8bc6e6719b7}\Description: ""
HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{fc349499-74a2-41dc-b69e-e8bc6e6719b7}\SaferFlags: 0x00000000
HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{fc349499-74a2-41dc-b69e-e8bc6e6719b7}\ItemData: "C:\Programme\Mozilla Firefox"
HKU\S-1-5-21-73586283-1202660629-1016883043-1003\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{F449713B-0FB4-4386-B27E-54C4CDA201A2}Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{fc349499-74a2-41dc-b69e-e8bc6e6719b7}\LastModified: 40 B1 FE AD 33 72 CD 01
HKU\S-1-5-21-73586283-1202660629-1016883043-1003\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{F449713B-0FB4-4386-B27E-54C4CDA201A2}Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{fc349499-74a2-41dc-b69e-e8bc6e6719b7}\Description: ""
HKU\S-1-5-21-73586283-1202660629-1016883043-1003\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{F449713B-0FB4-4386-B27E-54C4CDA201A2}Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{fc349499-74a2-41dc-b69e-e8bc6e6719b7}\SaferFlags: 0x00000000
HKU\S-1-5-21-73586283-1202660629-1016883043-1003\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{F449713B-0FB4-4386-B27E-54C4CDA201A2}Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{fc349499-74a2-41dc-b69e-e8bc6e6719b7}\ItemData: "C:\Programme\Mozilla Firefox"
Werte geändert:7
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History\{35378EAC-683F-11D2-A89A-00C04FBBCFA2}\0\Version: 0x00080008
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History\{35378EAC-683F-11D2-A89A-00C04FBBCFA2}\0\Version: 0x000A000A
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History\{B1BE8D72-6EAC-11D2-A4EA-00C04F79F83A}\0\Version: 0x00080008
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History\{B1BE8D72-6EAC-11D2-A4EA-00C04F79F83A}\0\Version: 0x000A000A
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\Machine\Extension-List\{00000000-0000-0000-0000-000000000000}\StartTimeLo: 0xAE7A7770
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\Machine\Extension-List\{00000000-0000-0000-0000-000000000000}\StartTimeLo: 0xC4B37E80
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\Machine\Extension-List\{00000000-0000-0000-0000-000000000000}\EndTimeLo: 0xAE7BFEA0
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\Machine\Extension-List\{00000000-0000-0000-0000-000000000000}\EndTimeLo: 0xC4B505B0
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\Machine\GPO-List\0\Version: 0x00080008
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\Machine\GPO-List\0\Version: 0x000A000A
HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Epoch\Epoch: 0x00000014
HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Epoch\Epoch: 0x00000015
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch\Epoch: 0x00000014
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch\Epoch: 0x00000015
Gesamte Änderungen:17
Also ich habe mal nur versucht dieses "Safer-Verzeichniss" zu exportieren und dann importieren.
Die Regel geht dann nicht , so wie es aussieht müssen wohl doch alle anderen Verzeichnisse auch mitgenommen werden.
Die Regel geht dann nicht , so wie es aussieht müssen wohl doch alle anderen Verzeichnisse auch mitgenommen werden.
Dann probier mal weiter. Ich kann dazu nichts sagen, würde aber eher nach der Doku zum Thema Export im MS Technet suchen - irgendwas findet sich da bestimmt.
Hab über Google schon geschaut, keine Treffer. Wundert mich selbst auch irgendwie , kann doch nicht sein dass bisher no nie sowas machen wollt 
Ok, dann lies mal http://home.arcor.de/skanthak/safer.html#safer
Danke, hat mich auf jedenfall schon nen Schritt weiter gebracht. Jetzt muss ich nur noch eine Doku suchen wie ich solche GPOs von Hand erstellen oder skripten kann und bevor ich Regeln erstelle den PC nach ausführbaren Dateien durchsuchen um darauf Regeln erstellen.
