michael.s 10 Geschrieben 29. Oktober 2009 Melden Teilen Geschrieben 29. Oktober 2009 Hallo allerseits, dies ist mein erstes Posting hier, ich grüße Euch recht herzlich. SRP ("Software Restriction Policies") unter Windows 7 Professional. Nun ist es ja so, dass Applocker unter Win7Pro zwar vorhanden ist, aber nicht greift. Ich möchte dann also wieder SRP verwenden, wie ich es auch schon unter Vista tat. Einfach auf einem Standalone-Client, nicht in einer Windows-Domäne, angewandt auf ein Benutzerkonto, das zur Gruppe "Gäste" gehört. Letztlich geht es darum, fast einen Kiosk-Mode zu machen. Keine eigenen Executables dürfen laufen (daher SRP), nur IE als Browser zulassen (auch mittels SRP) und IE auch restriktiv laufen zu lassen (daher brauche ich ein Richtlinienobjekt für genau den Nutzer). Problematischer als erwartet! Unter Vista lief es ja prinzipiell so ab: 1. GPMC ("Group Policy Management Console") hernehmen. Einen Gastnutzer anlegen und ein Richtlinienobjekt für selbigen erzeugen. Für den eingebauten "Gast" konnte man IIRC kein Richtlinienobjekt erzeugen. Problem: GPMC für Win7 gibt es nicht. Gerüchteweise sollte es in RSAT sein, das möchte ich mal verneinen. Das hat zwar "Gruppenrichtlinienverwaltungs-Tools", aber nicht die gpmc. 2. SRP anwenden. Sicherheitsstufe auf "Nicht erlaubt", .lnk noch als Ausnahme hinzufügen, Richtlinien anwenden auf "Alle Benutzer ausser Administratoren". So sollte es auch unter Win7 laufen. Na ja, Punkt 1, GPMC und Erzeugung Richtlinienobjekt ist das Problem- gibt es andere Möglichkeiten, Richtlinienobjekte zu erzeugen? Ich möchte Punkt 2 halt nicht so global anwenden. Zudem ist es einfach sauberer, mit zielgerichteten Richtlinienobjekten zu hantieren. Vielleicht fällt dazu noch jemandem etwas ein... Danke Michael Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 29. Oktober 2009 Melden Teilen Geschrieben 29. Oktober 2009 gpedit.msc ? Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 29. Oktober 2009 Melden Teilen Geschrieben 29. Oktober 2009 Moin, deine Annahme unter 1. ist falsch. Wie bisher auch, muss man erst die RSAT installieren und danach in der Systemsteuerung unter “Programme” den Link “Windows-Features aktivieren oder deaktivieren” klicken. Dann die Tools ausdrücklich einschalten. Wobei du auf einem Standalone-Rechner eben auch nicht die GPMC brauchst, wie Dukel schon richtig andeutet, sondern den lokalen Gruppenrichtlinien-Editor. Gruß, Nils Zitieren Link zu diesem Kommentar
michael.s 10 Geschrieben 29. Oktober 2009 Autor Melden Teilen Geschrieben 29. Oktober 2009 Wie bisher auch, muss man erst die RSAT installieren und danach in der Systemsteuerung unter “Programme” den Link “Windows-Features aktivieren oder deaktivieren” klicken. Dann die Tools ausdrücklich einschalten. Danke! Ja, ich hatte unter den Windows-Komponenten alle "Gruppenrichtlinienverwaltungs-Tools" hinzugefügt, ich deutete es an. Aber ich sehe gerade, ich war betriebsblind. Ich habe ja das Snapin "Gruppenrichtlinien-Objekteditor", und das war genau das, wonach ich suche. Also das Problem ist gelöst :) Ich hatte immer nach "Group Policy Management Console" Ausschau gehalten. Aber das Ding war glaube ich eher für GP-Objekte in Domänen da, oder? Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 30. Oktober 2009 Melden Teilen Geschrieben 30. Oktober 2009 Ich hatte immer nach "Group Policy Management Console" Ausschau gehalten. Aber das Ding war glaube ich eher für GP-Objekte in Domänen da, oder? Ganz genau. ;) Zitieren Link zu diesem Kommentar
mcport 10 Geschrieben 9. November 2009 Melden Teilen Geschrieben 9. November 2009 michael.s, kannst du oder kann ein Anderer bitte aus eigener Erfahrung bestätigen, dass SRP unter W7 Professional auf einem Einzel-Platz-PC mittels gpedit.msc / GPO-Snapin für einen bestimmten Benutzer sowohl gesetzt werden können als auch dann auf diesem PC selbst erzwungen werden? Davon hängt nämlich meine Kaufentscheidung zwischen W7 Pro vs. W7 Ultimate ab. (Dass es bei W7 Enterprise Trial geht, habe ich ausprobiert: es geht. Anders als sonst zu lesen ist, halte ich SRP für besser als AppLocker, da man mit SRPs einfacher per Pfadregeln whitelisten kann.) Zitieren Link zu diesem Kommentar
Necron 71 Geschrieben 9. November 2009 Melden Teilen Geschrieben 9. November 2009 Nun ist es ja so, dass Applocker unter Win7Pro zwar vorhanden ist, aber nicht greift. Hi, Applocker kann nur unter Windows Server 2008 R2, Windows 7 Enterprise oder Ultimate angewendet werden! -> What Is AppLocker? Man kann mit den oben genannten Versionen, sowie Windows 7 Professional Applocker Richtlinien erstellen. Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 9. November 2009 Melden Teilen Geschrieben 9. November 2009 SRPs sind jedenfalls mit einer gewissen Vorsicht zu geniessen Mark's Blog : Circumventing Group Policy as a Limited User cu blub Zitieren Link zu diesem Kommentar
mcport 10 Geschrieben 10. November 2009 Melden Teilen Geschrieben 10. November 2009 Die Quintessenz von Mark's Blogartikel scheint zu sein, was als Teil einer Anti-Malware-Strategie eh sinnvoll ist: 1) Als Standardbenutzer arbeiten. 2) Dem Standardbenutzer keinen Schreibzugriff auf die Verzeichnisse mit ausgeführten Programmen geben. 3) Mit SRPs für den Standardbenutzer immer whitelisten (zB C:\Program Files verbieten und nur die Unterverzeichnisse bzw. EXE-Pfade der gewünschten Anwendungsprogramme zulassen). 4) Mit den Programmen keine proprietären Scripts usw. aufrufen, welche von SRPs ggf. nicht überwacht werden. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.