Jump to content
Sign in to follow this  
BIGST

Gruppenrichtlinien spezifisch ändern?

Recommended Posts

Hallo,

 

mich würde interessieren, ob es möglich ist einzelne .cmd- Dateien in die "Aufnahmeliste für Dateitypen mit niedrigem Risiko" aufzunehmen, so dass vom User keine Entscheidung getroffen werden muss/kann ob die .cmd ausgeführt werden soll oder nicht. Hingegen sollten andere, z.B. aus dem Internet stammende .cmd- Dateien, vom User bestätigt werden um ausgeführt werden zu können.

 

Ist das möglich? Oder kann ich nur einen Dateitypen komplett auf hohes, mittleres oder niedriges Risiko setzen?

 

Ich danke jetzt schon für alle Antworten! ;)

 

MfG BIGST

Share this post


Link to post
Share on other sites

Vielen Dank schon mal für die schnelle Antwort :)

könntest du mir das vielleicht noch etwas genauer erklären? Ich muss gestehen dass ich von diesem Thema nicht so viel Ahnung habe ;)

Share this post


Link to post
Share on other sites

MS artikel zum thema software richtlinien per GPO:

 

Beschreibung des Richtlinien für Softwareeinschränkung in Windows XP

 

ich glaube aber kaum das hash regeln in deinem fall praktikabel sein dürften. Ich kenne dein problem als solches aber soll das was du bewirken willst wirklich nur cmd's betreffen? dann habe ich keine lösung für dich. wenn du aber generell die sicherheitswarnung auf lokalen servern ausschalten willst, egal ob cmd, bat, exe usw usf dann wimmelt das inet dazu gerade nach how to's.

 

Kurzform: nimm die betreffenden server in

 

Benutzerkonfiguration/Windows-Einstellungen/Internet Explorer-Wartung/Sicherheit/Sicherheitszonen und Inhaltsfilter/Sicherheitszonen und Datenschutz - Akuelle Einstellungen für Sicherheitszonen und Datenschutz importieren -> Einstellungen ändern -> Lokales Intranet -> Sites -> Erweitert und dort nimmst du den (die) Server auf auf die die Sicherheitsabfrage nicht wirken soll.

 

ACHTUNG!! du importierst somit die einstellungen des lokalen browsers. die änderungen die du hier machst gelten dann für alle benutzer auf denen die GPO wirkt und die individuellen benutzer können diese richtlinie auch mit lokalen adminrechten nicht manuell ändern.

Share this post


Link to post
Share on other sites

So, habe jetzt beide Lösungsvorschläge ausprobiert, leider führte keiner zu dem gewünschten Ergebnis :(

 

Bei der Hashregel dachte ich zuerst es würde glücken, da mein PC beim Hochfahren keine Sicherheitswarnung öffnete um mich nach meiner .cmd zu fragen die ich jedes mal bei Neustart benötige.

Habe dann mit einer weiteren .cmd getestet, ob diese sich nun mit Sicherheitswarnung öffnet (was sie ja nun soll, da ich die Sicherheitsstufe wieder auf "mittleres Risiko" gesetzt habe), dort habe ich dann leider keine Sicherheitswarnung bekommen.

Um alle .cmd Dateien ohne Sicherheitswarnung zu öffnen hätte ich ja nur den Dateityp .cmd in die "Aufnahmeliste für Dateitypen mit niedrigem Risiko" aufnehmen müssen.

Habe aber alles wie erklärt befolgt, kann ich irgeneinen Fehler gemacht haben?

 

Der Versuch alles was vom Server kommt als unbedenklich einzuschätzen ist leider vollkommen daneben gegangen. Der PC hat von vornherein Sicherheitswarnungen für .cmd ausgegeben. Hab auch hier alles befolgt wie gesagt.

 

Da ich mich, wie gesagt, mit diesem Thema nicht so gut auskenne kann es ja sein, dass ich dennoch einen Fehler gemacht habe, aber ich habe alles noch doppelt und dreifach nachgeprüft.

Dennoch vielen Dank für die schnelle Reaktion, vielleicht fällt euch ja ein was ich für einen Fehler gemacht haben kann oder evtl. sogar eine andere Möglichkeit!

 

Vielen Dank auf jeden Fall :)

 

MfG BIGST

Share this post


Link to post
Share on other sites

nicht praltikabel weil er sonst jede cmd die erlaubt sein soll in die liste mit dem hash wert aufnehmen müsste. das seinen ja einige zu sein und die geringste änderung in der cmd erzeugt einen neuen hash, oder?

 

ohne nähere betrachtung ist das schwer. also bei mir funzt das wunderbar das wenn ich einen server in die lokale intranetzone aufnehme die sicherheitsabfrage nicht mehr kommt. um aber zu sehen ob es funzt oder nicht müsste man dann auch prüfen ob dir GPO auf den benutzer wirkt etc. etc.

Share this post


Link to post
Share on other sites
nicht praltikabel weil er sonst jede cmd die erlaubt sein soll in die liste mit dem hash wert aufnehmen müsste. das seinen ja einige zu sein und die geringste änderung in der cmd erzeugt einen neuen hash, oder?

...

 

naja, wenn er schreibt "einzelne" wird sich dass doch in einem akzeptablen rahmen bewegen. wenn du 20 CMDs hast brauchst du vielleicht 5 minuten um die einzupflegen.

 

Allerdings wirst du recht haben damit dass sich der hash wert änder wenn du die datei änderst - dann wirds doof

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...