12
Windows 10 Autostart
Hallo zusammen,
hoffentlich eine Kleinigkeit für euch aber ich weiß gerade nicht weiter.
Ich versuche den Usern die Möglichkeit zu geben, Programme ähnlich wie bei Win7 in den Autostart zu bekommen. Vorher ging das relativ easy über das Startmenü.
Seit Windows 10 (bei uns 1809 im Einsatz) ist der Autostart Ordner aus dem Startmenü geflogen. Man kann wahrscheinlich über GPO einen Shortcut verteilen, der dann %appdata%\...\startup zeigt.
Problem dabei: Damit würden wir den Usern einen offiziellen Einstiegspunkt auf C:\ bieten wenn diese auf den Pfad in der Adresszeile klicken. Wir blenden C:\ aber aus um das Browsen (weitestgehend) zu unterbinden. Es gibt noch einige weitere Möglichkeiten um trotzdem an C:\ heranzukommen aber wir wollen die (Angriffs-) Fläche möglichst gering halten.
Hat hier wer eine Idee für mich?
Beste Grüße,
Belloci
hoffentlich eine Kleinigkeit für euch aber ich weiß gerade nicht weiter.
Ich versuche den Usern die Möglichkeit zu geben, Programme ähnlich wie bei Win7 in den Autostart zu bekommen. Vorher ging das relativ easy über das Startmenü.
Seit Windows 10 (bei uns 1809 im Einsatz) ist der Autostart Ordner aus dem Startmenü geflogen. Man kann wahrscheinlich über GPO einen Shortcut verteilen, der dann %appdata%\...\startup zeigt.
Problem dabei: Damit würden wir den Usern einen offiziellen Einstiegspunkt auf C:\ bieten wenn diese auf den Pfad in der Adresszeile klicken. Wir blenden C:\ aber aus um das Browsen (weitestgehend) zu unterbinden. Es gibt noch einige weitere Möglichkeiten um trotzdem an C:\ heranzukommen aber wir wollen die (Angriffs-) Fläche möglichst gering halten.
Hat hier wer eine Idee für mich?
Beste Grüße,
Belloci
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 619405
Url: https://administrator.de/contentid/619405
Printed on: April 25, 2024 at 11:04 o'clock
12 Comments
Latest comment
Moin Belloci,
kommt drauf an was ihr genau angestellt habt um c: für die User zu deaktivieren. Du schreibst ja nur, dass ihr es ausgeblendet habt. Heißt also der User kann immer im Datei-Explorer auf c:\ gehen und kommt dahin.
Mein erster Gedanke war Windows+R und dann shell:startup, aber auch da landest du dann nur auf AppData und kannst von dort navigieren. Es sei denn ihr, ihr richtet Ordnerumleitungen für AppData-Roaming ein und packt das ganze auf einen Server. In dem Fall würdest du dann mit shell:Startup auf dem Serverpfad landen.
Alternativ stellt dem User irgendwo (zum Beispiel auf dem privaten Homelaufwerk) ein Ordner bereit, in den er die Dateien für den Autostart kopieren soll und lass beim Abmelden ein Skript laufen, welchen den Inhalt dieses Ordners nach %appdata%...\Startup kopiert. Für den User eigentlich egal in welchen Ordner er das kopiert, sofern es beim nächsten Start läuft. Und da es sich ja "nur" um Verknüpfungen handelt, ist die Auswirkung auf die Abmeldedauer und der Netzwerktraffic denke ich zu vernachlässigen.
Gruß
Doskias
kommt drauf an was ihr genau angestellt habt um c: für die User zu deaktivieren. Du schreibst ja nur, dass ihr es ausgeblendet habt. Heißt also der User kann immer im Datei-Explorer auf c:\ gehen und kommt dahin.
Mein erster Gedanke war Windows+R und dann shell:startup, aber auch da landest du dann nur auf AppData und kannst von dort navigieren. Es sei denn ihr, ihr richtet Ordnerumleitungen für AppData-Roaming ein und packt das ganze auf einen Server. In dem Fall würdest du dann mit shell:Startup auf dem Serverpfad landen.
Alternativ stellt dem User irgendwo (zum Beispiel auf dem privaten Homelaufwerk) ein Ordner bereit, in den er die Dateien für den Autostart kopieren soll und lass beim Abmelden ein Skript laufen, welchen den Inhalt dieses Ordners nach %appdata%...\Startup kopiert. Für den User eigentlich egal in welchen Ordner er das kopiert, sofern es beim nächsten Start läuft. Und da es sich ja "nur" um Verknüpfungen handelt, ist die Auswirkung auf die Abmeldedauer und der Netzwerktraffic denke ich zu vernachlässigen.
Gruß
Doskias
Hi,
Am Rande: Es ist eine Illusion, dass das Ausblenden eines Laufwerks aus dem Explorer den Zugriff darauf unterbinden oder etwas sicherere machen würde.
Der Benutzer kann Autostart-Verknüpfungen anlegen in:
Dafür kannst Du denen einen Link auf dem Desktop oder anderswo erstellen, auch unter "Start".
E.
Am Rande: Es ist eine Illusion, dass das Ausblenden eines Laufwerks aus dem Explorer den Zugriff darauf unterbinden oder etwas sicherere machen würde.
Der Benutzer kann Autostart-Verknüpfungen anlegen in:
%AppData%\Microsoft\Windows\Start Menu\Programs\Startup
Dafür kannst Du denen einen Link auf dem Desktop oder anderswo erstellen, auch unter "Start".
E.
1
Hallo zusammen,
@Doskias: Gute Hinweise. Wir haben C:\ generell aus dem Datei-Explorer ausgeblendet. Ein einfaches eintippen von C:\ in die Adresszeile ist ebenfalls gesperrt. User können sich halt (bspw.) per Rechtsklick auf Word den Dateipfad anzeigen lassen und wären auch wieder auf C:
@emeriks: Das stimmt schon aber man muss auch keine schlafenden Hunde wecken. Den Pfad kannte ich aber das hilft mir nicht weiter da die User über den Pfad auf C:\ kommen.
Vielleicht kommt ja noch der ein oder andere Hinweis
Bis hierhin besten Dank!
@Doskias: Gute Hinweise. Wir haben C:\ generell aus dem Datei-Explorer ausgeblendet. Ein einfaches eintippen von C:\ in die Adresszeile ist ebenfalls gesperrt. User können sich halt (bspw.) per Rechtsklick auf Word den Dateipfad anzeigen lassen und wären auch wieder auf C:
@emeriks: Das stimmt schon aber man muss auch keine schlafenden Hunde wecken. Den Pfad kannte ich aber das hilft mir nicht weiter da die User über den Pfad auf C:\ kommen.
Vielleicht kommt ja noch der ein oder andere Hinweis
Bis hierhin besten Dank!
Umleitung von %AppData%\Microsoft\Windows\Start Menu\Programs\Startup auf d:\wasweisich\
Zitat von @Belloci:
@emeriks: Das stimmt schon aber man muss auch keine schlafenden Hunde wecken. Den Pfad kannte ich aber das hilft mir nicht weiter da die User über den Pfad auf C:\ kommen.
Dann verbinde es doch als Laufwerk. Dann sieht es eben nur so aus, als würden sie nicht auf C: kommen.@emeriks: Das stimmt schon aber man muss auch keine schlafenden Hunde wecken. Den Pfad kannte ich aber das hilft mir nicht weiter da die User über den Pfad auf C:\ kommen.
z.B.
subst x: "%AppData%\Microsoft\Windows\Start Menu\Programs\Startup" Zitat von @Xerebus:
Umleitung von %AppData%\Microsoft\Windows\Start Menu\Programs\Startup auf d:\wasweisich\
Aber sie habe doch gar kein D: Laufwerk .... Umleitung von %AppData%\Microsoft\Windows\Start Menu\Programs\Startup auf d:\wasweisich\
Die Idee gefällt mir besser als meine eigene :D
Auf sowas simples bin ich jetzt gar nicht gekommen.
Auf sowas simples bin ich jetzt gar nicht gekommen.
Was macht es eigentlich für einen Sinn dem User den Zugriff (bei "nicht"-Admin eh nur lesend) zu verwehren.
Es gibt dutzende Wege sich das Laufwerk anzeigen zu lassen. Z.B. über jede %Vaiable ala:
%appdata%
%programfiles%
usw...
Cmd öffnen und CD/d <pfad>
In der Registry im Hklm \..\uninstall > copy Paste
Usw.
Besser wäre ein gutes Berechtigungskonzept.
Es gibt dutzende Wege sich das Laufwerk anzeigen zu lassen. Z.B. über jede %Vaiable ala:
%appdata%
%programfiles%
usw...
Cmd öffnen und CD/d <pfad>
In der Registry im Hklm \..\uninstall > copy Paste
Usw.
Besser wäre ein gutes Berechtigungskonzept.
Zitat von @Belloci:
@Doskias & @emeriks & @Xerebus
Danke für die konstruktiven Vorschläge.
@mayho33 Naja, da fehlen mir etwas die Worte. Hat einfach mal nichts mit einem Berechtigungskonzept zu tun.
LG
Belloci
@Doskias & @emeriks & @Xerebus
Danke für die konstruktiven Vorschläge.
@mayho33 Naja, da fehlen mir etwas die Worte. Hat einfach mal nichts mit einem Berechtigungskonzept zu tun.
LG
Belloci
Du schreibst oben von "Angriffsfläche". Das impliziert, dass du von deinen Usern erwartest, dass sie die Möglichkeit sofort nutzen würden etwas zu tun was sie nicht tun dürfen/sollen und würdest sie mit dieser Maßnahme daran hindern wollen dieses oder jenes zu tun.
Der erste Schritt sowas zu verhindern ist ein gutes Berechtigungskonzept.
In meiner Firma gibt es 13000 User. Davon haben, habe gerade nachgesehen, 146 User lokale administrative Rechte + ein paar Domainadmins.
Bei keinem wird C: ausgeblendet. Anhand deren Rechte wird verhindert schreibend/ändernd auf C: oder einem anderen LW (lokal oder NW) zuzugreifen. Anhand von Berechtigungen wird gesteuert wer was wo machen darf.
Selbst wenn ein Benutzer nun schreibend auf C: zugreifen wollen würde, würde das NTFS-Berechtigungsmodell da schon lenkend eingreifen.
Mir erschließt sich einfach nicht der Grund warum man die System-Partition ausblenden sollte. Das ist eine zahnlose Maßnahme die nur den administrativen Aufwand erhöht, aber keinen Schutz bietet. Mit etwas Google gibt es dutzende Möglichkeiten C: doch wieder anzuzeigen.
Aber wenn du mir einen plausiblen Grund nennen kannst, lasse ich mich gerne überzeugen.
Zitat von @mayho33:
Mir erschließt sich einfach nicht der Grund warum man die System-Partition ausblenden sollte. Das ist eine zahnlose Maßnahme die nur den administrativen Aufwand erhöht, aber keinen Schutz bietet. Mit etwas Google gibt es dutzende Möglichkeiten C: doch wieder anzuzeigen.
Aber wenn du mir einen plausiblen Grund nennen kannst, lasse ich mich gerne überzeugen.
Der einzige Grund, der mir dazu einfällt, ist, dem Benutzer die Umgebung zu vereinfachen. Dass er/sie z.B. beim "Speichern unter ..." nur relevante Laufwerk sieht. "Sicherheit" also nur für die Daten in dem Sinne, dass Sie auf dem Server "geleitet werden" und dann von dort aus gesichert werden können (Backup). Das Argument "Angriffsfläche", welches in diesem Zusammenhang immer wieder gerne genannt wird, kann sich also nur auf den 1st Level Support beziehen. Dass man dessen "Angriffsfläche" verringern will, also unnötige Support Tickets vermeiden.Mir erschließt sich einfach nicht der Grund warum man die System-Partition ausblenden sollte. Das ist eine zahnlose Maßnahme die nur den administrativen Aufwand erhöht, aber keinen Schutz bietet. Mit etwas Google gibt es dutzende Möglichkeiten C: doch wieder anzuzeigen.
Aber wenn du mir einen plausiblen Grund nennen kannst, lasse ich mich gerne überzeugen.
Zitat von @emeriks:
Zitat von @mayho33:
Mir erschließt sich einfach nicht der Grund warum man die System-Partition ausblenden sollte. Das ist eine zahnlose Maßnahme die nur den administrativen Aufwand erhöht, aber keinen Schutz bietet. Mit etwas Google gibt es dutzende Möglichkeiten C: doch wieder anzuzeigen.
Aber wenn du mir einen plausiblen Grund nennen kannst, lasse ich mich gerne überzeugen.
Der einzige Grund, der mir dazu einfällt, ist, dem Benutzer die Umgebung zu vereinfachen. Dass er/sie z.B. beim "Speichern unter ..." nur relevante Laufwerk sieht. "Sicherheit" also nur für die Daten in dem Sinne, dass Sie auf dem Server "geleitet werden" und dann von dort aus gesichert werden können (Backup). Das Argument "Angriffsfläche", welches in diesem Zusammenhang immer wieder gerne genannt wird, kann sich also nur auf den 1st Level Support beziehen. Dass man dessen "Angriffsfläche" verringern will, also unnötige Support Tickets vermeiden.Mir erschließt sich einfach nicht der Grund warum man die System-Partition ausblenden sollte. Das ist eine zahnlose Maßnahme die nur den administrativen Aufwand erhöht, aber keinen Schutz bietet. Mit etwas Google gibt es dutzende Möglichkeiten C: doch wieder anzuzeigen.
Aber wenn du mir einen plausiblen Grund nennen kannst, lasse ich mich gerne überzeugen.
So habe ich das nicht verstanden, aber es wäre natürlich eine Möglichkeit das so zu sehen. Im Grunde kann es mir ja egal sein, der TO wird schon einen Grund haben das genau so umsetzen zu wollen. Meine Erfahrung zeigt aber, dass der User in den Augen des Admins zwar ein DAU ist, aber trotzdem immer wieder Wege findet, weiche Grenzen, also solche die leicht auszuhebeln sind, zu umgehen. C: auszublenden sehe ich als solche. Massig Aufwand für die Administration, aber kein Mehrwert.
