Attachment 5206 Details for Bug 30834

software-restriction-policies-etc.txt (rev1)

software-restriction-policies-etc.txt (text/plain), 5.33 KB, created by Arvid Requate on 2013-04-29 18:19 CEST

(hide)

Description:

Filename:

MIME Type:

Creator: Arvid Requate

Created: 2013-04-29 18:19 CEST

Size: 5.33 KB

patch

obsolete

>Im Folgenden ist die Konfiguration der Gruppenrichtlinien von einem Windows 7 PC beschrieben.
>Auf dem Windows7 PC muss die Gruppenrichtlinienverwaltung (GPMC) aus den Remote System Administration Tools (RSAT) installiert sein.
>
>=== Kommandoeingabeaufforderung deaktiveren ===
>* In der Gruppenrichtlinienverwaltung wird ein neues Gruppenrichtlinienobjekt angelegt und/oder eine existierende zur Bearbeitung geÃ¶ffnet.
>* Im Gruppenrichtlinienverwaltungs-Editor wird der folgende Zweig geÃ¶ffnet:
>  Benutzerkonfiguration > Richtlinien > Administrative Vorlagen > System
>** Richtlinie "Zugriff aud" Ã¶ffnen und "Aktiviert" auswÃ¤hlen,
>*** Die SchaltflÃ¤che "Anzeigen" rechts neben der "Liste der zugelassenen Anwendungen" betÃ¤tigen.
>*** Anwendungen eintragen und mit "Ok" bestÃ¤tigen.
>** Den Dialog "Nur zugelassene Windows-Anwendungen ausfÃ¼hren" mit "Ãbernehmen" und/oder "Ok" bestÃ¤tigen.
>
>=== Zugriff auf regedit deaktiveren ===
>* In der Gruppenrichtlinienverwaltung wird ein neues Gruppenrichtlinienobjekt angelegt und/oder eine existierende zur Bearbeitung geÃ¶ffnet.
>* Im Gruppenrichtlinienverwaltungs-Editor wird der folgende Zweig geÃ¶ffnet:
>  Benutzerkonfiguration > Richtlinien > Administrative Vorlagen > System
>* Richtlinie "Zugriff auf Programme zum Bearbeiten der Registrierung verhindern" Ã¶ffnen
>** "Aktiviert" auswÃ¤hlen und den Dialog mit "Ãbernehmen" und/oder "Ok" bestÃ¤tigen.
>
>=== Allgemeine Software-EinschrÃ¤nkungen ===
>HINWEIS: Diese Richtlinieneinstellung verhindert nur, dass Benutzer Programme ausfÃ¼hren, die vom Datei-Explorer-Prozess gestartet werden. Sie verhindert nicht, dass Benutzer Programme wie den Task-Manager ausfÃ¼hren, die vom Systemprozess oder von anderen Prozessen gestartet werden. Aus diesem Grund und aus GrÃ¼nden der KompatibilitÃ¤t mit Logon- und GPO-Skripten sind eher die im nÃ¤chsten Abschnitt beschriebenen "Software restriction policies" zu empfehlen.
>* In der Gruppenrichtlinienverwaltung wird ein neues Gruppenrichtlinienobjekt angelegt und/oder eine existierende zur Bearbeitung geÃ¶ffnet.
>* Im Gruppenrichtlinienverwaltungs-Editor wird der folgende Zweig geÃ¶ffnet:
>  Benutzerkonfiguration > Richtlinien > Administrative Vorlagen > System
>* Richtlinie "Nur zugelassene Windows-Anwendungen ausfÃ¼hren" Ã¶ffnen und "Aktiviert" auswÃ¤hlen.
>** Die SchaltflÃ¤che "Anzeigen" rechts neben der "Liste der zugelassenen Anwendungen" betÃ¤tigen,
>** Anwendungen eintragen und mit "Ok" bestÃ¤tigen.
>* HINWEIS: Damit logon- und logoff-Skripte weiterhin ausgefÃ¼hrt werden kÃ¶nnen, mÃ¼ssen alle fÃ¼r die AusfÃ¼hrung des Skripts notwendigen Programme zur Liste der zugelassenen Anwendungen hinzugefÃ¼gt werden.
>** Den Dialog "Nur zugelassene Windows-Anwendungen ausfÃ¼hren" mit "Ãbernehmen" und/oder "Ok" bestÃ¤tigen.
>
>
>=== Generelle Einstellungen per "Software restriction policies" (SRP) ===
>* In der Gruppenrichtlinienverwaltung wird ein neues Gruppenrichtlinienobjekt angelegt und/oder eine existierende zur Bearbeitung geÃ¶ffnet.
>* Im Gruppenrichtlinienverwaltungs-Editor wird der folgende Zweig geÃ¶ffnet:
>  Computerkonfiguration oder Benutzerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Richtlinien fÃ¼r SoftwareeinschrÃ¤nkung
>
>* Rechtsklick > "Neu Richtlinien fÃ¼r SoftwareeinschrÃ¤nkung erstellen"
>* Im rechten Fensterteil "Erzwingen" Ã¶ffnen,
>** Einstellung "Alle Benutzer auÃer den lokalen Administratoren" auswÃ¤hlen und mit "Ãbernehmen" und/oder "Ok" bestÃ¤tigen.
>
>* Im rechten Fensterteil "Sicherheiststufen" Ã¶ffnen,
>** "Nicht erlaubt" per Doppelklick Ã¶ffnen,
>** "Als Standard" auswÃ¤hlen und mit "Ãbernehmen" und/oder "Ok" bestÃ¤tigen.
>* Im rechten Fensterteil "ZusÃ¤tzliche Regeln" Ã¶ffnen,
>** Rechtsklick > "Neue Pfadregel..."
>*** In das Eingabefeld "Pfad" den UNC-Pfad "\\%USERDNSDOMAIN%\SysVol" eingeben, damit Logon- und GPO-Skripte ausgefÃ¼hrt werden kÃ¶nnen.
>*** In der Dropdown-Liste "Nicht eingeschrÃ¤nkt" auswÃ¤hlen und mit "Ãbernehmen" und/oder "Ok" bestÃ¤tigen.
>** Analog sollten folgende Programm-Pfade als "Nicht eingeschrÃ¤nkt" eingestuft werden:
>*** LogonServer%\SysVol\*
>*** %UserProfile%\Local Settings\Temp\*.tmp
>*** %WinDir%\system32\cscript.exe
>*** %WinDir%\system32\wscript.exe
>*** \\%COMPUTERNAME%\Templates$\*
>** Es kann sinnvoll sein zusÃ¤tzlich Programm-Pfade als "Nicht erlaubt" einzustufen, z.B.:
>*** %UserProfile%\Local Settings\Temp
>    (Files run from compressed folders are unzipped to this directory and run from here - potentially circumventing Software Restrictions.)
>*** %SystemRoot%\temp\*
>    (Temporary directory used by Offline files.)
>*** %SystemRoot%\System32\mstsc.exe
>    (Deny access to RDP)
>*** %SystemRoot%\System32\dllcache\*
>    (Executables located in the Windows directory are cached here in case they are deleted)
>*** %SystemRoot%\System32\command.com
>    (Deny acccess to MS-DOS Prompt)
>*** %SystemRoot%\System32\cmd.exe
>    (Deny access to CMD)
>*** %SystemRoot%\repair\*
>    (System utilities are installed into this directory)
>*** %SystemDrive%\temp\*
>    (Disable access to temp directory on the system drive)
>*** %ProgramFiles%\MSN Gaming Zone\*
>HINWEIS: Die Liste der hier erwÃ¤hnten Einstellungen erhebt nicht den Anspruch der VollstÃ¤ndigkeit. Es ist notwendig die Einstellungen entsprechend der lokalen Gegebenheiten zu testen. Insbesondere sollte Folgende Dokumenation beachtet werden:
>* http://technet.microsoft.com/en-us/library/bb457006.aspx#EGAA
>* http://technet.microsoft.com/en-us/library/hh994606.aspx
>
>

Actions: View

Attachments on bug 30834: 5193 | 5194 | 5205 | 5206