Lord_x 10 Geschrieben 6. Juli 2006 Melden Geschrieben 6. Juli 2006 Hallo zusammen :) Ich habe hier einen Win2003 Dom. mit ca. 40 Clients. Darunter 2 Stück die mich z.Z ziemilch nerven ;) Den Usern wurde schon ziemlich viele Rechte per GP genommen. Klappt auch wunderbar. Auch habe ich ein Kontigent auf dem Laufwerk eingerichtet. Klappt auch. So jetzt mein Problem: Eben diese 2 User habe sich Firefox als USB Version in die Eigenen Dateien gezogen und können von dort jetzt mit ihm im Netz surfen... Wie kann ich es verhindern, dass User *.exe Dateien starten können, die nicht auf dem System schon installiert sind? Die entpacken das Zip File und surfen los... Besten Dank Lord_x PS: Bitte verschieben nach "Windows Forum – MS Backoffice " Danke
zahni 587 Geschrieben 6. Juli 2006 Melden Geschrieben 6. Juli 2006 Stichwort ist "Richtlinien zur Softwareeeinschränkung". Dort kann man wunderbar definieren, aus welchen Verzeichnissen und Laufwerken der User Programme starten darf . Das gibt dann aufschlußreiche Event-ID's 865 im Anwendungsprotokoll ;) USB Storage kann man übrigens auch deaktivieren. -Zahni
GregorBHV 10 Geschrieben 6. Juli 2006 Melden Geschrieben 6. Juli 2006 Irgendwo kann man die Ausführung von Programmen grundsätzlich unterbinden. Mit Hash- oder auch Pfadregeln kann man dann die gewünschten Programme den usern "entsperren", wobei Hashregeln aus Sicherheitsgründen den Vorzug erhalten sollten.
carlito 10 Geschrieben 6. Juli 2006 Melden Geschrieben 6. Juli 2006 Irgendwo kann man die Ausführung von Programmen grundsätzlich unterbinden. Mit Hash- oder auch Pfadregeln kann man dann die gewünschten Programme den usern "entsperren", wobei Hashregeln aus Sicherheitsgründen den Vorzug erhalten sollten. Kleine Anmerkung: umgekehrt ist es oft einfacher. :)
zahni 587 Geschrieben 6. Juli 2006 Melden Geschrieben 6. Juli 2006 Schrieb ich das "irgendwo" nicht ? -Zahni
Tschiki 10 Geschrieben 6. Juli 2006 Melden Geschrieben 6. Juli 2006 Solltest du es einmal die Idee haben grundsätzlich Zugriffe auf Exteren Medien zu unterbinden solltest dir einmal dies SW anschauen - ob es sich für dein Unternehmen rentiert liegt natürlich in deinem ermessen. Siehe: http://www.gfisoftware.de/de/endpointsecurity/ Mit Hash- oder auch Pfadregeln ... Wobei eine Hashregel nicht unbedingt viel sinn macht - sollte sich der FF ändern, was dieser auch öfter tut, musst du diese auch immer wieder anpassen. Und ein Pfadregel auf einen USB-Stick? Braucht doch nur den Stick an einen anderen USB-Port anstecken - schon hat man einen anderen Pfad bzw. eine anderen Ext. Medium nehmen zB Digicam. Das solltest du eher wie Zahni schon gesagt hast, Ext. Speichermedien grundsätzlich unterbinden bzw. per Unternehmensausschreibung eine Meldung machen das FF bzw. Ext Medien am PC nicht erlaubt sind.
GregorBHV 10 Geschrieben 6. Juli 2006 Melden Geschrieben 6. Juli 2006 Kleine Anmerkung: umgekehrt ist es oft einfacher. Kleinere Anmerkung: aber unsicherer. Schrieb ich das "irgendwo" nicht ? ja... beim Nächsten Mal mach ich meine Augen etwas mehr auf... :D
zahni 587 Geschrieben 6. Juli 2006 Melden Geschrieben 6. Juli 2006 Ich bin für die Variante alles zu verbieten (also dies Default-Regel aktivieren) und nur das zu erlauben, was ich will. Dann kann auch von neuen USB-Laufwerken o.ä. nichts gestartet werden. Ist aber ein bissel Testaufwand nötig. In den Verzeichnissen wor der User Programme starten darf, darf er natürlich kein Schreibrecht haben (z.B. C:\Windows, C:\Programme usw.) -Zahni
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden