golf16v 10 Geschrieben 7. August 2012 Melden Teilen Geschrieben 7. August 2012 Hallo Leute, ich möchte auf einem Windows XP System eine Software Whitelist erstellen. Dazu möchte ich wenn möglich mit einem Skript automatisch den Rechner nach ausführbaren Dateien scannen (z.B. direkt nach der Neuinstallation) und dann die Regeln in die Registry und Group Polices schreiben. Per Hand macht man es ja über gpedit.msc? Ist dies irgendwie möglich zu automatisieren? Wo liegt dort die Schnittstelle? Gibt es dafür eine Doku ? Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 7. August 2012 Melden Teilen Geschrieben 7. August 2012 Vielleicht hilft dir dies hier etwas: Me, myself and I Zitieren Link zu diesem Kommentar
golf16v 10 Geschrieben 7. August 2012 Autor Melden Teilen Geschrieben 7. August 2012 Hi Sunny, Danke diesen Beitrag kenne ich werd aber nicht in allen Punkten so richtig schlau drauss. z.B. Wie scanne ich den Rechner auf gewünschte Inhalte und erstelle dann automatisch meine Regeln? Wie bring ich diese Regeln dann auf dem PC unter? Es sollte eben alles ohne grossen Aufwand (für einen neu aufgesetzten PC) automatisiert von statten gehen. Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 7. August 2012 Melden Teilen Geschrieben 7. August 2012 z.B. Wie scanne ich den Rechner auf gewünschte Inhalte und erstelle dann automatisch meine Regeln? Weshalb willst Du das? In SAFER dürfen nur Programme ausgeführt werden, die in %WINDIR% oder %PROGRAMFILES% installiert sind. Und neue Programme darf nur ein Admin installieren. Du könntest ein Programm mit z.B. VB6 erstellen und die HDD nach *.EXE scannen, die trägst Du dann in das o.g. Script ein. Wie bring ich diese Regeln dann auf dem PC unter? Es sollte eben alles ohne grossen Aufwand (für einen neu aufgesetzten PC) automatisiert von statten gehen. Gibt es auch einen besonderen Grund für diese Vorgehensweise? Zitieren Link zu diesem Kommentar
golf16v 10 Geschrieben 8. August 2012 Autor Melden Teilen Geschrieben 8. August 2012 Hi, ich möchte Whitelisting anstatt einem Virenscanner einsetzen. Mein Gedanke war eben, dass auf einem frisch installierten System erst mal alles nach den Kriterien die ich angebe gescannt wird und dann dafür "erlaubt" Regeln erstellt werden. Alles andere soll blockiert werden. Wenn jetzt ein Update kommt oder eine Softwareänderung muss diese nachträglich auch eingespielt werden können. Desweiteren möchte ich genau diese Einstellungen auf mehreren PCs unterbringen und handeln. Jetzt ist eben meine Frage wo genau setze ich bei meinen Problemen an? Ist es möglich für diese Vorgehensweise ein Skript oder ähnliches zu schreiben? Wie erstellt man die Policys, gibts ne Schnittstelle über die PowerShell? Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 8. August 2012 Melden Teilen Geschrieben 8. August 2012 ich möchte Whitelisting anstatt einem Virenscanner einsetzen. Mein Gedanke war eben, dass auf einem frisch installierten System erst mal alles nach den Kriterien die ich angebe gescannt wird und dann dafür "erlaubt" Regeln erstellt werden. Alles andere soll blockiert werden. Wenn jetzt ein Update kommt oder eine Softwareänderung muss diese nachträglich auch eingespielt werden können. Desweiteren möchte ich genau diese Einstellungen auf mehreren PCs unterbringen und handeln. Die Basis könnte IMHO das Script von Stefan Kanthak darstellen. Die Aktualisierungen muss sowieso der Admin vornehmen und es ist nur alles erlaubt was in %WINDIR% und %PROGRAMFILES% sowie auf 64 Bit Systemen, in %ProgramFiles(x86)%. Jetzt ist eben meine Frage wo genau setze ich bei meinen Problemen an? Ist es möglich für diese Vorgehensweise ein Skript oder ähnliches zu schreiben? Wie erstellt man die Policys, gibts ne Schnittstelle über die PowerShell? Du könntest einen Client als Referenz aufsetzen und dann exportieren: Importieren und Exportieren von Sicherheitsvorlagen Zitieren Link zu diesem Kommentar
golf16v 10 Geschrieben 8. August 2012 Autor Melden Teilen Geschrieben 8. August 2012 Die Basis könnte IMHO das Script von Stefan Kanthak darstellen. Die Aktualisierungen muss sowieso der Admin vornehmen und es ist nur alles erlaubt was in %WINDIR% und %PROGRAMFILES% sowie auf 64 Bit Systemen, in %ProgramFiles(x86)%. Jo, aber ich würde zusätzlich gerne haben dass man das System scannen kann und dann für die Kriterien REgeln schreiben. Bei unserem System liegen die Programme nicht nur in den von dir genannten sondern auch in anderen Verzeichnissen. Es muss ständig erweiterbar sein, anwendbar und übersichtlich. Du könntest einen Client als Referenz aufsetzen und dann exportieren: Importieren und Exportieren von Sicherheitsvorlagen Der Gedanke ist nicht schlecht, wenn es aber die Möglichkeit gäbe alles auf den jeweiligen Maschinen individuell zu machen wäre es noch praktischer. Es gibt ein paar Clienten die verschiedene Konfigurationen haben. Irgendwie hab ich auch die letzten Tage durch die ganzen verschiedenen Sachen den Überblick verloren wo genau ich ansetzen muss, warum es trotz StandAlone Systemen ohne AD über Group Policys geht. Hast Du mir nen Tip wo ich genau zu meinem Problem noch paar Hintergrundinfos bekomme ? Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 8. August 2012 Melden Teilen Geschrieben 8. August 2012 Jo, aber ich würde zusätzlich gerne haben dass man das System scannen kann und dann für die Kriterien REgeln schreiben. Bei unserem System liegen die Programme nicht nur in den von dir genannten sondern auch in anderen Verzeichnissen. Es muss ständig erweiterbar sein, anwendbar und übersichtlich. Dann schreib dir ein Programm das Du dafür nutzen kannst. Ich kenne so etwas nicht. Der Gedanke ist nicht schlecht, wenn es aber die Möglichkeit gäbe alles auf den jeweiligen Maschinen individuell zu machen wäre es noch praktischer. Es gibt ein paar Clienten die verschiedene Konfigurationen haben. Dann wirst Du wohl die Clients einzeln anfassen müssen oder Du schreibst dir ein Programm. Irgendwie hab ich auch die letzten Tage durch die ganzen verschiedenen Sachen den Überblick verloren wo genau ich ansetzen muss, warum es trotz StandAlone Systemen ohne AD über Group Policys geht. Hast Du mir nen Tip wo ich genau zu meinem Problem noch paar Hintergrundinfos bekomme ? Group Policys sind ja nur Registry Einstellungen. Und Systeme ohne AD greifen ebenfalls auf die Registry zu. Nein, ich weiß nicht wo Du noch nachsehen könntest, ausser bei MS im Technet. Zitieren Link zu diesem Kommentar
golf16v 10 Geschrieben 10. August 2012 Autor Melden Teilen Geschrieben 10. August 2012 Hi leute, kann mir jemand sagen ob es möglich ist über die PowerShell und Skripting die SRPs zu steuern und definieren? Wie ist eigentlich diese Registry.pol aufgebaut diese ja auch benutzt werden muss? Wenn ich nur die SAFER Einträge in der Registry ändere funktioniert das ja nicht , oder ? Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 10. August 2012 Melden Teilen Geschrieben 10. August 2012 Gibt es einen Grund, warum Du das mit Powershell machen willst ? Zitieren Link zu diesem Kommentar
golf16v 10 Geschrieben 10. August 2012 Autor Melden Teilen Geschrieben 10. August 2012 (bearbeitet) Ich möchte einfach verstehen wie das ganze abläuft und ob und wie es möglich ist dafür Skripte oder ein Tool zu bekommen oder zu schreiben um es zu automatisieren, handlebar und updatefähig zu machen bearbeitet 10. August 2012 von golf16v Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.