Univention Bugzilla – Attachment 5206 Details for
Bug 30834
Exam mode: collect / test GPOs
Home
|
New
|
Browse
|
Search
|
[?]
|
Reports
|
Requests
|
Help
|
New Account
|
Log In
[x]
|
Forgot Password
Login:
[x]
software-restriction-policies-etc.txt (rev1)
software-restriction-policies-etc.txt (text/plain), 5.33 KB, created by
Arvid Requate
on 2013-04-29 18:19 CEST
(
hide
)
Description:
software-restriction-policies-etc.txt (rev1)
Filename:
MIME Type:
Creator:
Arvid Requate
Created:
2013-04-29 18:19 CEST
Size:
5.33 KB
patch
obsolete
>Im Folgenden ist die Konfiguration der Gruppenrichtlinien von einem Windows 7 PC beschrieben. >Auf dem Windows7 PC muss die Gruppenrichtlinienverwaltung (GPMC) aus den Remote System Administration Tools (RSAT) installiert sein. > >=== Kommandoeingabeaufforderung deaktiveren === >* In der Gruppenrichtlinienverwaltung wird ein neues Gruppenrichtlinienobjekt angelegt und/oder eine existierende zur Bearbeitung geöffnet. >* Im Gruppenrichtlinienverwaltungs-Editor wird der folgende Zweig geöffnet: > Benutzerkonfiguration > Richtlinien > Administrative Vorlagen > System >** Richtlinie "Zugriff aud" öffnen und "Aktiviert" auswählen, >*** Die Schaltfläche "Anzeigen" rechts neben der "Liste der zugelassenen Anwendungen" betätigen. >*** Anwendungen eintragen und mit "Ok" bestätigen. >** Den Dialog "Nur zugelassene Windows-Anwendungen ausführen" mit "Ãbernehmen" und/oder "Ok" bestätigen. > >=== Zugriff auf regedit deaktiveren === >* In der Gruppenrichtlinienverwaltung wird ein neues Gruppenrichtlinienobjekt angelegt und/oder eine existierende zur Bearbeitung geöffnet. >* Im Gruppenrichtlinienverwaltungs-Editor wird der folgende Zweig geöffnet: > Benutzerkonfiguration > Richtlinien > Administrative Vorlagen > System >* Richtlinie "Zugriff auf Programme zum Bearbeiten der Registrierung verhindern" öffnen >** "Aktiviert" auswählen und den Dialog mit "Ãbernehmen" und/oder "Ok" bestätigen. > >=== Allgemeine Software-Einschränkungen === >HINWEIS: Diese Richtlinieneinstellung verhindert nur, dass Benutzer Programme ausführen, die vom Datei-Explorer-Prozess gestartet werden. Sie verhindert nicht, dass Benutzer Programme wie den Task-Manager ausführen, die vom Systemprozess oder von anderen Prozessen gestartet werden. Aus diesem Grund und aus Gründen der Kompatibilität mit Logon- und GPO-Skripten sind eher die im nächsten Abschnitt beschriebenen "Software restriction policies" zu empfehlen. >* In der Gruppenrichtlinienverwaltung wird ein neues Gruppenrichtlinienobjekt angelegt und/oder eine existierende zur Bearbeitung geöffnet. >* Im Gruppenrichtlinienverwaltungs-Editor wird der folgende Zweig geöffnet: > Benutzerkonfiguration > Richtlinien > Administrative Vorlagen > System >* Richtlinie "Nur zugelassene Windows-Anwendungen ausführen" öffnen und "Aktiviert" auswählen. >** Die Schaltfläche "Anzeigen" rechts neben der "Liste der zugelassenen Anwendungen" betätigen, >** Anwendungen eintragen und mit "Ok" bestätigen. >* HINWEIS: Damit logon- und logoff-Skripte weiterhin ausgeführt werden können, müssen alle für die Ausführung des Skripts notwendigen Programme zur Liste der zugelassenen Anwendungen hinzugefügt werden. >** Den Dialog "Nur zugelassene Windows-Anwendungen ausführen" mit "Ãbernehmen" und/oder "Ok" bestätigen. > > >=== Generelle Einstellungen per "Software restriction policies" (SRP) === >* In der Gruppenrichtlinienverwaltung wird ein neues Gruppenrichtlinienobjekt angelegt und/oder eine existierende zur Bearbeitung geöffnet. >* Im Gruppenrichtlinienverwaltungs-Editor wird der folgende Zweig geöffnet: > Computerkonfiguration oder Benutzerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Richtlinien für Softwareeinschränkung > >* Rechtsklick > "Neu Richtlinien für Softwareeinschränkung erstellen" >* Im rechten Fensterteil "Erzwingen" öffnen, >** Einstellung "Alle Benutzer auÃer den lokalen Administratoren" auswählen und mit "Ãbernehmen" und/oder "Ok" bestätigen. > >* Im rechten Fensterteil "Sicherheiststufen" öffnen, >** "Nicht erlaubt" per Doppelklick öffnen, >** "Als Standard" auswählen und mit "Ãbernehmen" und/oder "Ok" bestätigen. >* Im rechten Fensterteil "Zusätzliche Regeln" öffnen, >** Rechtsklick > "Neue Pfadregel..." >*** In das Eingabefeld "Pfad" den UNC-Pfad "\\%USERDNSDOMAIN%\SysVol" eingeben, damit Logon- und GPO-Skripte ausgeführt werden können. >*** In der Dropdown-Liste "Nicht eingeschränkt" auswählen und mit "Ãbernehmen" und/oder "Ok" bestätigen. >** Analog sollten folgende Programm-Pfade als "Nicht eingeschränkt" eingestuft werden: >*** LogonServer%\SysVol\* >*** %UserProfile%\Local Settings\Temp\*.tmp >*** %WinDir%\system32\cscript.exe >*** %WinDir%\system32\wscript.exe >*** \\%COMPUTERNAME%\Templates$\* >** Es kann sinnvoll sein zusätzlich Programm-Pfade als "Nicht erlaubt" einzustufen, z.B.: >*** %UserProfile%\Local Settings\Temp > (Files run from compressed folders are unzipped to this directory and run from here - potentially circumventing Software Restrictions.) >*** %SystemRoot%\temp\* > (Temporary directory used by Offline files.) >*** %SystemRoot%\System32\mstsc.exe > (Deny access to RDP) >*** %SystemRoot%\System32\dllcache\* > (Executables located in the Windows directory are cached here in case they are deleted) >*** %SystemRoot%\System32\command.com > (Deny acccess to MS-DOS Prompt) >*** %SystemRoot%\System32\cmd.exe > (Deny access to CMD) >*** %SystemRoot%\repair\* > (System utilities are installed into this directory) >*** %SystemDrive%\temp\* > (Disable access to temp directory on the system drive) >*** %ProgramFiles%\MSN Gaming Zone\* >HINWEIS: Die Liste der hier erwähnten Einstellungen erhebt nicht den Anspruch der Vollständigkeit. Es ist notwendig die Einstellungen entsprechend der lokalen Gegebenheiten zu testen. Insbesondere sollte Folgende Dokumenation beachtet werden: >* http://technet.microsoft.com/en-us/library/bb457006.aspx#EGAA >* http://technet.microsoft.com/en-us/library/hh994606.aspx > >
You cannot view the attachment while viewing its details because your browser does not support IFRAMEs.
View the attachment on a separate page
.
Actions:
View
Attachments on
bug 30834
:
5193
|
5194
|
5205
| 5206