Jump to content

Terminalserver - Software Restriction Policies

Leuchtkondom

Von Leuchtkondom
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Leuchtkondom Experienced

Leuchtkondom   17

Geschrieben
Geschrieben

Hallo Leute,

 

also wir setzen bei uns mehrere Terminalserver ein wo alle "Außenstellen" der Firma darauf arbeiten (normal RDP, kein Citrix oä).

 

Jetzt haben wir festgestellt das manche User portable Apps "installiert" haben, zum Beispiel DropBox usw.

 

Also habe ich mir mal die Softwareeinschränkungen angeschaut und auch mal konfiguriert, derzeit auf "Alles erlauben bis auf Ausnahmen" und dort z.b. die Dropbox.exe als Hash hinterlegt.

Soweit funktioniert das auch ganz gut, jedoch ist ja der Nachteil das der Hash dann nur genau für die Version zählt und es ja soviele portable Apps gibt, das ist ja mit der derzeitigen Konfiguration eigentlich unmöglich das das alles gesperrt wird.

 

Also habe ich mir gedacht ich stelle um auf "Alles verbieten bis auf Ausnahmen" und habe erstmal ein wenig bei google gesucht, da ich diese Richtlinie noch nie vorher eingesetzt habe.

 

Bin dann auf folgende Seite gestossen:

SRP - Software Restriction Policies

 

Jetzt stellt sich mir die Frage, ob mit den 4 Standartausschlussregeln die da automatisch erstellt werden, Windowsmäßig erstmal alles abgedeckt ist? Also ich mein jetzt abgesehen von Office und Co und was sonst so installiert ist, geht erstmal alles weiterhin wie normal mit den 4 Regeln?

 

Was ich außerdem nicht verstehe... ich dachte diese Richtlinie ist dafür da, ausführbare Dateien bzw. Programme zu sperren ... Warum sind dann bei den Beispielen weiter unten auf der Seite folgendes angegeben:

 

Hier einige valide Pfadbeispiele:

 

C:\Programme\meineApplikation\*.doc

diese Pfadangabe wird alle DOC-Dateien im angegebenen Ordner treffen.

 

Warum .doc-Dateien? Das versteh ich nicht so recht...

 

Wäre super wenn Ihr mich etwas aufklären könnt

vielen Dank und noch einen schönen Sonntag

Link zu diesem Kommentar
werner008 Proficient

werner008   10

Geschrieben
Geschrieben

moin,

meiner meinung nach ist nur die "Alles verbieten bis auf Ausnahmen" sinnvoll.

 

aber obacht, wenn du nicht aufpasst gehen dann auch keine anmeldeskripts von den DCs mehr ;-)

 

ich arbeite hauptsächlich mit pfadregeln und gebe die sachen frei wo nur administratoren drinnen schreiben dürfen. ein paar wichtige ausnahmen sind eh von MS dabei und dann halt an deine bedürfnisse angepasst weitere einfügen.

 

hashregeln vermeide ich wenn möglich, weil man bei updates immer nacharbeiten muss.

 

dass man doc dateien sperren kann ist ja nur "valide" - ob es sinnvoll ist sei dahingestellt

 

beste grüße

werner

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...