Im Folgenden ist die Konfiguration der Gruppenrichtlinien von einem Windows 7 PC beschrieben. Auf dem Windows7 PC muss die Gruppenrichtlinienverwaltung (GPMC) aus den Remote System Administration Tools (RSAT) installiert sein. === Kommandoeingabeaufforderung deaktiveren === * In der Gruppenrichtlinienverwaltung wird ein neues Gruppenrichtlinienobjekt angelegt und/oder eine existierende zur Bearbeitung geöffnet. * Im Gruppenrichtlinienverwaltungs-Editor wird der folgende Zweig geöffnet: Benutzerkonfiguration > Richtlinien > Administrative Vorlagen > System ** Richtlinie "Zugriff aud" öffnen und "Aktiviert" auswählen, *** Die Schaltfläche "Anzeigen" rechts neben der "Liste der zugelassenen Anwendungen" betätigen. *** Anwendungen eintragen und mit "Ok" bestätigen. ** Den Dialog "Nur zugelassene Windows-Anwendungen ausführen" mit "Übernehmen" und/oder "Ok" bestätigen. === Zugriff auf regedit deaktiveren === * In der Gruppenrichtlinienverwaltung wird ein neues Gruppenrichtlinienobjekt angelegt und/oder eine existierende zur Bearbeitung geöffnet. * Im Gruppenrichtlinienverwaltungs-Editor wird der folgende Zweig geöffnet: Benutzerkonfiguration > Richtlinien > Administrative Vorlagen > System * Richtlinie "Zugriff auf Programme zum Bearbeiten der Registrierung verhindern" öffnen ** "Aktiviert" auswählen und den Dialog mit "Übernehmen" und/oder "Ok" bestätigen. === Allgemeine Software-Einschränkungen === HINWEIS: Diese Richtlinieneinstellung verhindert nur, dass Benutzer Programme ausführen, die vom Datei-Explorer-Prozess gestartet werden. Sie verhindert nicht, dass Benutzer Programme wie den Task-Manager ausführen, die vom Systemprozess oder von anderen Prozessen gestartet werden. Aus diesem Grund und aus Gründen der Kompatibilität mit Logon- und GPO-Skripten sind eher die im nächsten Abschnitt beschriebenen "Software restriction policies" zu empfehlen. * In der Gruppenrichtlinienverwaltung wird ein neues Gruppenrichtlinienobjekt angelegt und/oder eine existierende zur Bearbeitung geöffnet. * Im Gruppenrichtlinienverwaltungs-Editor wird der folgende Zweig geöffnet: Benutzerkonfiguration > Richtlinien > Administrative Vorlagen > System * Richtlinie "Nur zugelassene Windows-Anwendungen ausführen" öffnen und "Aktiviert" auswählen. ** Die Schaltfläche "Anzeigen" rechts neben der "Liste der zugelassenen Anwendungen" betätigen, ** Anwendungen eintragen und mit "Ok" bestätigen. * HINWEIS: Damit logon- und logoff-Skripte weiterhin ausgeführt werden können, müssen alle für die Ausführung des Skripts notwendigen Programme zur Liste der zugelassenen Anwendungen hinzugefügt werden. ** Den Dialog "Nur zugelassene Windows-Anwendungen ausführen" mit "Übernehmen" und/oder "Ok" bestätigen. === Generelle Einstellungen per "Software restriction policies" (SRP) === * In der Gruppenrichtlinienverwaltung wird ein neues Gruppenrichtlinienobjekt angelegt und/oder eine existierende zur Bearbeitung geöffnet. * Im Gruppenrichtlinienverwaltungs-Editor wird der folgende Zweig geöffnet: Computerkonfiguration oder Benutzerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Richtlinien für Softwareeinschränkung * Rechtsklick > "Neu Richtlinien für Softwareeinschränkung erstellen" * Im rechten Fensterteil "Erzwingen" öffnen, ** Einstellung "Alle Benutzer außer den lokalen Administratoren" auswählen und mit "Übernehmen" und/oder "Ok" bestätigen. * Im rechten Fensterteil "Sicherheiststufen" öffnen, ** "Nicht erlaubt" per Doppelklick öffnen, ** "Als Standard" auswählen und mit "Übernehmen" und/oder "Ok" bestätigen. * Im rechten Fensterteil "Zusätzliche Regeln" öffnen, ** Rechtsklick > "Neue Pfadregel..." *** In das Eingabefeld "Pfad" den UNC-Pfad "\\%USERDNSDOMAIN%\SysVol" eingeben, damit Logon- und GPO-Skripte ausgeführt werden können. *** In der Dropdown-Liste "Nicht eingeschränkt" auswählen und mit "Übernehmen" und/oder "Ok" bestätigen. ** Analog sollten folgende Programm-Pfade als "Nicht eingeschränkt" eingestuft werden: *** LogonServer%\SysVol\* *** %UserProfile%\Local Settings\Temp\*.tmp *** %WinDir%\system32\cscript.exe *** %WinDir%\system32\wscript.exe *** \\%COMPUTERNAME%\Templates$\* ** Es kann sinnvoll sein zusätzlich Programm-Pfade als "Nicht erlaubt" einzustufen, z.B.: *** %UserProfile%\Local Settings\Temp (Files run from compressed folders are unzipped to this directory and run from here - potentially circumventing Software Restrictions.) *** %SystemRoot%\temp\* (Temporary directory used by Offline files.) *** %SystemRoot%\System32\mstsc.exe (Deny access to RDP) *** %SystemRoot%\System32\dllcache\* (Executables located in the Windows directory are cached here in case they are deleted) *** %SystemRoot%\System32\command.com (Deny acccess to MS-DOS Prompt) *** %SystemRoot%\System32\cmd.exe (Deny access to CMD) *** %SystemRoot%\repair\* (System utilities are installed into this directory) *** %SystemDrive%\temp\* (Disable access to temp directory on the system drive) *** %ProgramFiles%\MSN Gaming Zone\* Links: http://technet.microsoft.com/en-us/library/bb457006.aspx http://technet.microsoft.com/en-us/library/hh994606.aspx