6
Windows 2003 Terminalserver - ausführbare Dateien einschränken
Hallo Zusammen,
im Einsatz ist ein Windows Server 2003 R2 x64 als Terminalserver.
Hin und wieder starten Benutzer ausführbare Dateien z.B. aus E-Mailanhängen.
Diese Dateien werden unterhalb des Benutzerordners in einem TMP-Ordner gestartet.
Ein Virenscanner ist aus Performance- , Kosten und Wartungsgründen nicht im Einsatz auf dem Server.
Ziel ist es nun eine Maßnahme auf dem Server einzurichten, dass Benutzer lediglich erlaubte ausführbare Dateien starten dürfen bzw. lediglich aus fest definierten Pfaden ausführbare Dateien starten dürfen.
Dazu sind mir folgende Möglichkeiten eingefallen:
- Die Berechtigungen "Lesen/ausführen" in den Benutzerordnern (auf Dokumente und Einstellungen) entfernen.
- GPO: Softwareeinschränkungen.
- Filescreening (dazu müsste die dafür erforderliche Rolle installiert werden)
Kennt jemand noch weitere Möglichkeiten?
Danke im Voraus für Eure Tipps/Hilfe!
Gruß
im Einsatz ist ein Windows Server 2003 R2 x64 als Terminalserver.
Hin und wieder starten Benutzer ausführbare Dateien z.B. aus E-Mailanhängen.
Diese Dateien werden unterhalb des Benutzerordners in einem TMP-Ordner gestartet.
Ein Virenscanner ist aus Performance- , Kosten und Wartungsgründen nicht im Einsatz auf dem Server.
Ziel ist es nun eine Maßnahme auf dem Server einzurichten, dass Benutzer lediglich erlaubte ausführbare Dateien starten dürfen bzw. lediglich aus fest definierten Pfaden ausführbare Dateien starten dürfen.
Dazu sind mir folgende Möglichkeiten eingefallen:
- Die Berechtigungen "Lesen/ausführen" in den Benutzerordnern (auf Dokumente und Einstellungen) entfernen.
- GPO: Softwareeinschränkungen.
- Filescreening (dazu müsste die dafür erforderliche Rolle installiert werden)
Kennt jemand noch weitere Möglichkeiten?
Danke im Voraus für Eure Tipps/Hilfe!
Gruß
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 309172
Url: https://administrator.de/forum/windows-2003-terminalserver-ausfuehrbare-dateien-einschraenken-309172.html
Ausgedruckt am: 10.04.2025 um 17:04 Uhr
6 Kommentare
Neuester Kommentar
Moin,
wäre es nicht einfacher auf dem Mail-Server ausführbaren Anhänge zu filtern?
Was nicht da ist, kann man nicht ausführen.
Stefan
Kommentare bezüglich 2003 unterlasse ich mal
wäre es nicht einfacher auf dem Mail-Server ausführbaren Anhänge zu filtern?
Was nicht da ist, kann man nicht ausführen.
Stefan
Kommentare bezüglich 2003 unterlasse ich mal
Der Mailserver filtert dies bereits und stellt dies in einen SPAM-Ordner.
Jedoch kann es vorkommen, dass Benutzer solche Mails lösen (da diese täuschend echt aussehen) und danach öffnen.
Es geht darum ein neben den SPAM-Filter noch eine zweite Sicherheitsschicht in Einsatz zu bringen, sodass nur zulässige ausführbare Dateien aus dem Terminalserver gestartet werden können.
Jedoch kann es vorkommen, dass Benutzer solche Mails lösen (da diese täuschend echt aussehen) und danach öffnen.
Es geht darum ein neben den SPAM-Filter noch eine zweite Sicherheitsschicht in Einsatz zu bringen, sodass nur zulässige ausführbare Dateien aus dem Terminalserver gestartet werden können.
Hi,
GPO mit Verweigern-Pfadregel
Allerdings schützt das nicht vor kundige Anwender, welche sich die Dateien woanders speichern.
Hier hilft es dann nur, den umgekehrten Weg zu gehen. Also generell alles verweigern und jene Programme, welche für den Benutzer freigegeben sind, explizit erlauben. Sowas muss man zwar sehr sorgfältig planen, ist dafür aber sehr effektiv!
E.
Diese Dateien werden unterhalb des Benutzerordners in einem TMP-Ordner gestartet.
- GPO: Softwareeinschränkungen.
GPO mit Verweigern-Pfadregel
Allerdings schützt das nicht vor kundige Anwender, welche sich die Dateien woanders speichern.
Hier hilft es dann nur, den umgekehrten Weg zu gehen. Also generell alles verweigern und jene Programme, welche für den Benutzer freigegeben sind, explizit erlauben. Sowas muss man zwar sehr sorgfältig planen, ist dafür aber sehr effektiv!
E.
Moin,
Gruß Krämer
Zitat von @Excaliburx:
Ein Virenscanner ist aus Performance- , Kosten und Wartungsgründen nicht im Einsatz auf dem Server.
schreibe lieber nur aus Kostengründen. Ersteres macht sich nur bei Mailhostern bemerkbar und letzteres ist kein nennenswerter Aufwand.Ein Virenscanner ist aus Performance- , Kosten und Wartungsgründen nicht im Einsatz auf dem Server.
im Einsatz ist ein Windows Server 2003 R2 x64 als Terminalserver.
Kennt jemand noch weitere Möglichkeiten?
Jup - das Betriebssystem aktualisieren. Dann machen die von dir genannten Maßnahmen wirklich Sinn.Kennt jemand noch weitere Möglichkeiten?
Gruß Krämer
Wenn auf die Unterordner und Dateien des Systemordners "Dokumente und Einstellungen" die Berechtigung Ausführen von Dateien entfernt würde, gäbe es dann anderweitig Schwierigkeiten?
Denn die zugelassenen Programme werden aus anderen Pfaden gestartet.
Denn die zugelassenen Programme werden aus anderen Pfaden gestartet.
Der Benutzer hat und benötigt auf seinen Profilepfad Vollzugriff.
