Jump to content

Ausführen von Cisco VPN Client per GPO verhindern


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Benutzerkonfiguration/Administrative Vorlagen/System

 

Angegebene Windows-Anwendungen nicht ausführen

 

Verhindert, dass die in dieser Einstellung festgelegten Programme von Windows ausgeführt werden.

 

Erklärung:

Durch Aktivieren dieser Einstellung können Benutzer Programme, die Sie der Liste der nicht zugelassenen Anwendungen hinzugefügt haben, nicht ausführen.

 

Diese Einstellung verhindert nur die Ausführung von Programmen, die durch den Windows Explorer-Prozess gestartet werden. Sie hindert Benutzer nicht, Programme, wie z. B. Task-Manager, der mit dem Systemprozess oder anderen Prozessen gestartet wird, auszuführen. Außerdem verhindert diese Einstellung nicht, dass Benutzer Programme in der Eingabeaufforderung (falls Sie die Verwendung der Eingabeaufforderung zulassen) starten, die sie andernfalls nicht in Windows Explorer starten dürften. Hinweis: Klicken Sie auf "Anzeigen", "Hinzufügen" und geben Sie den Dateinamen der ausführbaren Datei ein (z. B. Winword.exe, Poledit.exe, Powerpnt.exe), um eine Liste nicht zugelassener ausführbarer Dateien zu erstellen.

 

Quelle: GPMC

 

vielleicht hilft es ja. wir haben da auf alle fälle ein paar programme auf unseren TS gesperrt damit ein "normaler" benutzer z.B. dubug.exe nicht ausführen kann.

Link zu diesem Kommentar

Damit kann man die GUI wohl auch verbieten, allerdings wäre es schön zu erfahren, was der eigentliche Zweck dieser Aktion ist. Wenn der Cisco Client nicht ausgeführt werden soll, warum ist er drauf ? Oder sind das Laptops, die von aussen zugreifen und wenn sie im internen Netz sind, soll die Security Policy des Clients deaktiviert werden, da sie sonst nicht auf die internen Ressourcen zugreifen können (das Ziel, welches das interne Netzwerk ist, soll verschlüsselt erreicht werden über das Cisco-Gateway)?

Link zu diesem Kommentar

wenn die GUI ein ausführbares programm darstellt wahrscheinlich schon. wenn es ein snap-in z.B. für mmc ist dann wird die GUI nach wie vor funktionieren. das problem (workaround) bei ausführbaren programmen ist ja in der erklärung geliefert. man kann es wohl noch über start-> ausführen starten. deswegen haben wir das bei den TS auch verboten :D ;)

 

in 99% der fälle gehe ich davon aus das die policy reichen sollte wenn nicht jemand von den benutzern zu "hacken" beginnt.

 

edit: leider kenne ich den tiefern hintergrund noch nicht, aber ich gehe davon aus das evtl. das selbe problem auftritt wie in meiner alten fa. wenn der VPN client läuft dann ist es u.U. im LAN ein problem.

Link zu diesem Kommentar

Der erste Test verlief beinahe erfolgreich... mal abgesehen, dass der client vom cmd noch gestartet werden kann... (wie zu erwarten).

 

 

@ITHome: Zweck der Aktion

Das Netzwerk befindet sich an einer Schule. 3VLANS mit versch. Security-Standards. Wenn ein Lehrer beispielsweise von VLAN1 ins VLAN2 möchte, so macht er ein VPN zur ASA auf und hat Access ins VLAN2(nur Lehrer) und ins VLAN1(Lehrer und Schüler).

 

Da sich auch Schüler an diesem Client anmelden können, möchten wir die Ausführung des Clients per GPO unterbinden.

 

Thx für Eure Hilfe. Poste die def. Lösung später noch rein.

 

Nef

Link zu diesem Kommentar

Jatzt verstehe ich den Zweck, warum haste das nicht gleich erzählt ? ;)

Wenn Du die entsprechende Datei über eine Softwareeinschränkungspolicy (Pfadregel oder Hashregel) verbietest, kann er das auch über die Eingabeaufforderung nicht mehr.

edit:

funktioniert eigentlich auch beides ? So würde das Verbieten der EXE die Nachteile der Softwareeinschränkungsrichtlinie kompensieren und umgedreht würde die Softwareeinschränkungsrichtlinie verhindern, dass über die Kommandozeile z.B. ausgeführt wird ...

Link zu diesem Kommentar
Jatzt verstehe ich den Zweck, warum haste das nicht gleich erzählt ? ;)

Wenn Du die entsprechende Datei über eine Softwareeinschränkungspolicy (Pfadregel oder Hashregel) verbietest, kann er das auch über die Eingabeaufforderung nicht mehr.

 

Off-Topic:

ich kenne den key finde ihn aber gerade nicht, kannst du mir mal bitte kurz geben?

 

edit: hat sich erledigt. hab ihn.

Link zu diesem Kommentar

da gibt es aber auch ein problem.... nur der vollständigkeit halber.....

 

pfadregel: du kannst das programm aus einem anderen pfad heraus ausrufen wenn es dort auch liegt. z.b. datenträger wie CD, Floppy oder Stick.

 

hashregel: du kannst das programm mit einer anderen version also z.B. älter oder neuer ist auch aufrufen.

 

die 100% lösung wird es hier wohl nicht geben. ;) ausser du nimmst daumenschrauben :D

Link zu diesem Kommentar

Habs mal mit der notepad.exe probiert. Wenn ich in der Pfadregel nur notepad.exe schreibe, kann ich es nirgendwo ausführen, die Einstellung, die Du beschrieben hast, habe ich gar nicht vorgenommen. Jetzt noch ne Hashregel dazu (die gepflegt werden muss) und ich kann die Datei auch umbenennen wie ich will ...

edit: oh, sorry, hätte es in den vorigen Post schreiben sollen ...

Link zu diesem Kommentar

hmmm, mal zusammenfassen:

 

mein vorschlag hat das problem das man es über ausführen immer noch ausführen kann. dabei ist aber nur der programmname ausschlaggebend. wenn man es umbennt geht es wieder.

pfad: anderer pfad geht

hash: anderer hash geht

 

kombination wird auch nicht viel bringen. es gibt für alles einen workaround wenn man will, egal wie du kombinierst.

 

wobei ich meinen vorschlag mit der zusätzlichen kombination mit "ausführen verbieten" und "verbieten das man die laufwerk sieht" noch am sichersten halte. das hat ein systemhaus für unsere TS so ausgearbeitet und funzt wunderbar. leider kann ich nicht beurteilen ob dann die schüler noch arbeiten können.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...