carnivore 10 Geschrieben 19. April 2016 Melden Geschrieben 19. April 2016 (bearbeitet) Hallo, Ich versuche auf meinem Windows7-client die SRP-Regel einzufügen, dass C:\temp\ und darunter keine *.bat Dateien mehr ausgeführt werden dürfen. Pfadregel: "c:\temp\*.bat" Das funktioniert auch, aber im Gegensatz zu etlichen Artikeln kann in ich den Unterverzeichnissen von c:\temp nach wie vor *.bat starten. z.B. https://technet.microsoft.com/en-us/library/cc507878.aspx Die Pfadregel "c:\temp\*\*.bat blockiert die Ausführung in der nächsten Ebene, aber nicht tiefer. Habt jemand einen Kniff? Merci Carnivore bearbeitet 19. April 2016 von carnivore
zahni 587 Geschrieben 19. April 2016 Melden Geschrieben 19. April 2016 Ich kann immer nur wieder empfehlen Whitelisting zu machen, also das Gegenteil von Deinen Versuchen.
carnivore 10 Geschrieben 19. April 2016 Autor Melden Geschrieben 19. April 2016 gerne auch mit "unrestricted". Wie ist dann die Pfadangabe? *.bat darf nur in einem bestimmten Ast erlaubt sein,
zahni 587 Geschrieben 19. April 2016 Melden Geschrieben 19. April 2016 Habe ich nie getestet, ist viel zu umständlich. Daher...
carnivore 10 Geschrieben 19. April 2016 Autor Melden Geschrieben 19. April 2016 ja... aber ich wollte eigentlich nicht wissen, wem das zu umständlich ist, sondern ob zufällig jemand die korrekte Pfadsyntax für Subdirectories bei dieser Art von Policies kennt.
zahni 587 Geschrieben 19. April 2016 Melden Geschrieben 19. April 2016 So ist es aber nun mal. Soweit ich das sehe funktionieren Path Rules mit Extension nicht in Unterverzeichnissen. Das kannst Du nur mit der anderen Variante (mit dem Whitelisting) lösen und beherrschen. Daher empfiehlt auch die NSA das so zu machen: https://www.nsa.gov/ia/_files/os/win2k/application_whitelisting_using_srp.pdf Glaube mir einfach, dass die Variante sicherer und übersichtlicher ist.
daabm 1.429 Geschrieben 23. April 2016 Melden Geschrieben 23. April 2016 Ich zitier mich mal: Wenn Sie in einer Pfadregel einen Ordner angeben (also der Pfad nicht mit .Erweiterung endet), dann gilt diese Regel für alle Dateien in diesem Ordner und in allen Unterordnern. Das gilt auch umgekehrt - wenn der Pfad mit einer Erweiterung endet (also nicht für einen Ordner gilt, sondern für Dateien), gilt die Regel NICHT für Unterordner. Grundsätzlich solltest Du ohnehin alle Orte sperren, an denen der Benutzer schreiben kann :) Der Vollständigkeit halber hier noch die Ermittlungsrangfolge bei Pfadregeln: Wenn mehrere Pfadregeln zutreffen, hat eine spezifische Pfadregel Vorrang vor einer allgemeinen Pfadregel. So ist C:\Windows\System32\cmd.exe spezifischer als C:\Windows. Die Ermittlung der ausschlaggebenden Pfadregel hat folgende Priorität: Laufwerk:\Ordner1\Ordner2\Dateiname.Erweiterung (höchste Priorität) Laufwerk:\Ordner1\Ordner2\*.Erweiterung *.Erweiterung Laufwerk\Ordner1\Ordner2 Laufwerk\Ordner1 (niedrigste Priorität)
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden