Batch Dateien deren Ausführung unterbinden

[derwUwu 10]

Gibt es eine einfache möglichkeit die Ausführung von Batch Dateien zu unterbinden über diverse Richtlinien ? Oder gibt es anderen Methoden ?

 

Danke im Voraus.

[Damian 1.401]

Hi.

 

Du kannst dazu in den Gruppenrichtlinien unter "Benutzerkonfiguration >> Administrative Vorlagen >> System" die Richtlinie "Zugriff auf Eingabeaufforderung verhindern" verwenden.

 

Damian

[lefg 276]

Geht es um alle Batches oder um die bestimmten Namens?

[derwUwu 10]

Hi.

 

Du kannst dazu in den Gruppenrichtlinien unter "Benutzerkonfiguration >> Administrative Vorlagen >> System" die Richtlinie "Zugriff auf Eingabeaufforderung verhindern" verwenden.

 

Damian

 

Über ne Batchdatei kann ich aber dennoch Befehle ausführen lassen. Welche spielt keine Rolle erstmal. Möchte komplett die ausführung von Batchdateien unterbinden.

 

@lefg: Ist beides denn möglich ?

[Q -kju:- 10]

Zusätzlich "Scriptverarbeitung ...deaktivieren" auf JA setzen, dann werden auch keine Batches mehr ausgeführt. Nachteil: Logonscripts funktionieren ebenfalls nicht mehr.

[derwUwu 10]

']Zusätzlich "Scriptverarbeitung ...deaktivieren" auf JA setzen' date=' dann werden auch keine Batches mehr ausgeführt. Nachteil: Logonscripts funktionieren ebenfalls nicht mehr.[/quote']

 

Danke. Die loginscripts könnte man ja in ne exe umwandeln und dann beim start laden lassen.

[lefg 276]

@lefg: Ist beides denn möglich ?

 

Das mit dem Deaktivieren der Skriptverarbeitung wurde nun schon beschrieben.

 

Weiter, in der Gruppenrichtlinie Benutzerkonfiguration, Administrative Vorlagen, System, Angegebene Windows-Anwendungen nicht ausführen.

 

Ob das aber wirklich hilfreich ist?

[derwUwu 10]

Hm, ist also nicht möglich die Verarbeitung bis auf die Loginscripts zu unterbinden? Das wäre irgendwie das idealste :)

[Finanzamt 73]

Hi!

"Ob das aber wirklich hilfreich ist?" ... das möchte ich ebenso wie Edgar in Frage stellen. Was ist mit Command.com? Was ist mit Makros? Was ist mit Bat2Exec? Was ist mit all den Programmiersprachen, die via ShellAPI z.T. einfacher als Batche zu programmieren sind?

Dein Problem ist wahrscheinlichst nicht, daß Batche ausgeführt werden, sondern was mit den Batchen gemacht wird. Da mußt Du m.E. ansetzen, denn ob das, was Du unterbinden willst, per Batch, Script, Compilierter EXE oder sonstwas ausgeführt wird, dürfte piepegal sein.

Vielleicht postest Du mal, was Du genau unterbinden willst?

Gegrüßt!

[derwUwu 10]

Fakt ist, keine Scripte in jeglicher Form von Usern sind gewünscht. Da es aber immer irgendwie wege nach Rom gibt ist das ganze halt nicht so einfach. Explizit sollten aber nur *.bat Dateien nicht ausgeführt werden können, egal was darin steht und so weiter. Wenn möglich sollten aber noch Loginscripte abgelaufen werden können und danach dann ende.

[ducke 11]

Fakt ist, keine Scripte in jeglicher Form von Usern sind gewünscht.

Explizit sollten aber nur *.bat Dateien nicht ausgeführt werden können, egal was darin steht und so weiter.

Sorry aber da widersprichst du dir selber.

Schade das du uns nicht mitteilen willst, warum du das so machen willst.

So können wir dir leider nicht helfen.

Mit welchen Rechten sind denn die User unterwegs?

[derwUwu 10]

Wieso widersprechen ? Die ursprüngliche Frage war die Unterbindung der Ausführung von *.bat Dateien. Dann war die nächste Frage ob man die Loginscripte dennoch laufen lassen kann und danach keine weiteren *.bat Dateien mehr gestartet werden sollen. Der Grund liegt auf der Hand. Keine User sollen eigen geschriebene batch Dateien ablaufen lassen oder damit rumspielen wie auch immer. Wenn möglich wäre es natürlich noch besser wenn User überhaupt keine Script Dateien wie auch immer ausführen können. Ein paar Wege wurden ja schon aufgezählt. Und wenn das so exakt nicht geht dann gehts halt nicht. Hätte ja sein können das es seperate Programme hierfür gibt oder auch Windows eigene.

 

Eigentlich alles nix wildes, war ja nur ne Frage :)

[lefg 276]

Nun, eine Möglichkeit, dien Ausführung von Batches allgemein zu verhindern und dann Loginbatches wieder zu zulassen ist mir nicht bekannt.

 

Batches sind schliesslich nur Textstapel, Befehle, ausführbar an der Kommandozeile oder mit dem Explorer. Man müsste also den Usern das Ausführen der "DOS-Befehle" untersagen. Das wieder mit:

Gruppenrichtlinie Benutzerkonfiguration, Administrative Vorlagen, System, Angegebene Windows-Anwendungen nicht ausführen.

Eventuell könnte man da noch mit der Sicherheitsfilterung arbeiten.

 

Was nützt es aber, die Ausführung dieser Befehle zu verhinder, falls da jemand mit einem VBS kommt oder einer Exe?

 

Man könnte auch die Gruppenrichtlinie aktivieren"Nur aufgeführte Anwendungen erlauben", so oder so ähnlich heisst die, ist in der Nähe der anderen von mir erwähnten.