Jump to content
Sign in to follow this  
nef

Ausführen von Cisco VPN Client per GPO verhindern

Recommended Posts

Hallo!

 

Ich möchte per GPO das Ausführen des VPN-Clients von Cisco für eine Bestimmte OU unterbinden.

 

Windows 2003 Server DC, WinXP SP2 Clients

 

RTFM! Ich weiss -> bin leider sehr unter Zeitdruck.

 

Danke für Eure Tips!

 

nef

Share this post


Link to post
Share on other sites

Hm, da fällt mir eigentlich nur eine Einschränkung via Softwareeinschränkungsrichtlinie ein, ob man damit den sehr tief liegenden Client zügeln kann weiss ich nicht, man kann aber sicher die GUI verbieten ...

Share this post


Link to post
Share on other sites

es gibt doch irgendwo die einstellung ausführen folgender programme verbieten und da kann man explizit die exe datei eintragen die nicht ausgeführt werden darf. das sollte funzen! oder irre ich mich?

Share this post


Link to post
Share on other sites

Benutzerkonfiguration/Administrative Vorlagen/System

 

Angegebene Windows-Anwendungen nicht ausführen

 

Verhindert, dass die in dieser Einstellung festgelegten Programme von Windows ausgeführt werden.

 

Erklärung:

Durch Aktivieren dieser Einstellung können Benutzer Programme, die Sie der Liste der nicht zugelassenen Anwendungen hinzugefügt haben, nicht ausführen.

 

Diese Einstellung verhindert nur die Ausführung von Programmen, die durch den Windows Explorer-Prozess gestartet werden. Sie hindert Benutzer nicht, Programme, wie z. B. Task-Manager, der mit dem Systemprozess oder anderen Prozessen gestartet wird, auszuführen. Außerdem verhindert diese Einstellung nicht, dass Benutzer Programme in der Eingabeaufforderung (falls Sie die Verwendung der Eingabeaufforderung zulassen) starten, die sie andernfalls nicht in Windows Explorer starten dürften. Hinweis: Klicken Sie auf "Anzeigen", "Hinzufügen" und geben Sie den Dateinamen der ausführbaren Datei ein (z. B. Winword.exe, Poledit.exe, Powerpnt.exe), um eine Liste nicht zugelassener ausführbarer Dateien zu erstellen.

 

Quelle: GPMC

 

vielleicht hilft es ja. wir haben da auf alle fälle ein paar programme auf unseren TS gesperrt damit ein "normaler" benutzer z.B. dubug.exe nicht ausführen kann.

Share this post


Link to post
Share on other sites

Damit kann man die GUI wohl auch verbieten, allerdings wäre es schön zu erfahren, was der eigentliche Zweck dieser Aktion ist. Wenn der Cisco Client nicht ausgeführt werden soll, warum ist er drauf ? Oder sind das Laptops, die von aussen zugreifen und wenn sie im internen Netz sind, soll die Security Policy des Clients deaktiviert werden, da sie sonst nicht auf die internen Ressourcen zugreifen können (das Ziel, welches das interne Netzwerk ist, soll verschlüsselt erreicht werden über das Cisco-Gateway)?

Share this post


Link to post
Share on other sites

wenn die GUI ein ausführbares programm darstellt wahrscheinlich schon. wenn es ein snap-in z.B. für mmc ist dann wird die GUI nach wie vor funktionieren. das problem (workaround) bei ausführbaren programmen ist ja in der erklärung geliefert. man kann es wohl noch über start-> ausführen starten. deswegen haben wir das bei den TS auch verboten :D ;)

 

in 99% der fälle gehe ich davon aus das die policy reichen sollte wenn nicht jemand von den benutzern zu "hacken" beginnt.

 

edit: leider kenne ich den tiefern hintergrund noch nicht, aber ich gehe davon aus das evtl. das selbe problem auftritt wie in meiner alten fa. wenn der VPN client läuft dann ist es u.U. im LAN ein problem.

Share this post


Link to post
Share on other sites

Der erste Test verlief beinahe erfolgreich... mal abgesehen, dass der client vom cmd noch gestartet werden kann... (wie zu erwarten).

 

 

@ITHome: Zweck der Aktion

Das Netzwerk befindet sich an einer Schule. 3VLANS mit versch. Security-Standards. Wenn ein Lehrer beispielsweise von VLAN1 ins VLAN2 möchte, so macht er ein VPN zur ASA auf und hat Access ins VLAN2(nur Lehrer) und ins VLAN1(Lehrer und Schüler).

 

Da sich auch Schüler an diesem Client anmelden können, möchten wir die Ausführung des Clients per GPO unterbinden.

 

Thx für Eure Hilfe. Poste die def. Lösung später noch rein.

 

Nef

Share this post


Link to post
Share on other sites

Jatzt verstehe ich den Zweck, warum haste das nicht gleich erzählt ? ;)

Wenn Du die entsprechende Datei über eine Softwareeinschränkungspolicy (Pfadregel oder Hashregel) verbietest, kann er das auch über die Eingabeaufforderung nicht mehr.

edit:

funktioniert eigentlich auch beides ? So würde das Verbieten der EXE die Nachteile der Softwareeinschränkungsrichtlinie kompensieren und umgedreht würde die Softwareeinschränkungsrichtlinie verhindern, dass über die Kommandozeile z.B. ausgeführt wird ...

Share this post


Link to post
Share on other sites
Jatzt verstehe ich den Zweck, warum haste das nicht gleich erzählt ? ;)

Wenn Du die entsprechende Datei über eine Softwareeinschränkungspolicy (Pfadregel oder Hashregel) verbietest, kann er das auch über die Eingabeaufforderung nicht mehr.

 

Off-Topic:

ich kenne den key finde ihn aber gerade nicht, kannst du mir mal bitte kurz geben?

 

edit: hat sich erledigt. hab ihn.

Share this post


Link to post
Share on other sites

Den gibt es in der Computer und Benutzerkonfiguration

jeweils Windowseinstellungen - Sicherheitseinstellungen - Richtlinien für Softwareeinschränkung

Lies noch mal den Nachtrag in #9

Share this post


Link to post
Share on other sites

da gibt es aber auch ein problem.... nur der vollständigkeit halber.....

 

pfadregel: du kannst das programm aus einem anderen pfad heraus ausrufen wenn es dort auch liegt. z.b. datenträger wie CD, Floppy oder Stick.

 

hashregel: du kannst das programm mit einer anderen version also z.B. älter oder neuer ist auch aufrufen.

 

die 100% lösung wird es hier wohl nicht geben. ;) ausser du nimmst daumenschrauben :D

Share this post


Link to post
Share on other sites

Habs mal mit der notepad.exe probiert. Wenn ich in der Pfadregel nur notepad.exe schreibe, kann ich es nirgendwo ausführen, die Einstellung, die Du beschrieben hast, habe ich gar nicht vorgenommen. Jetzt noch ne Hashregel dazu (die gepflegt werden muss) und ich kann die Datei auch umbenennen wie ich will ...

edit: oh, sorry, hätte es in den vorigen Post schreiben sollen ...

Share this post


Link to post
Share on other sites

hmmm, mal zusammenfassen:

 

mein vorschlag hat das problem das man es über ausführen immer noch ausführen kann. dabei ist aber nur der programmname ausschlaggebend. wenn man es umbennt geht es wieder.

pfad: anderer pfad geht

hash: anderer hash geht

 

kombination wird auch nicht viel bringen. es gibt für alles einen workaround wenn man will, egal wie du kombinierst.

 

wobei ich meinen vorschlag mit der zusätzlichen kombination mit "ausführen verbieten" und "verbieten das man die laufwerk sieht" noch am sichersten halte. das hat ein systemhaus für unsere TS so ausgearbeitet und funzt wunderbar. leider kann ich nicht beurteilen ob dann die schüler noch arbeiten können.

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...