welche Software-Restriction-Policies setzt ihr in eurer Umgebung ein?

[bks 0]

Hallo zusammen.

 

welche Software-Restriction-Policies setzt ihr in eurer Umgebung ein?

a) Windows 7 x64 mit Office 2010 x32, jeweils profess. Edition

b) Windows 10 x64 mit Office 2013 x32, jeweils profess. Edition

 

Also Windows- und Office-Policies

 

Tschüss

 

[Jim di Griz 13]

Hallo,

innerhalb meiner Arbeitsstelle dürfen Programme auf Workstations Win7 nur unter "c:\Proram Files" und "c:\Program files (x85)" ausgeführt werden, alles andere ist fürs Ausführen dicht.

Schreiben in program files nur für lokale Admins.

in meiner eigenen Umgebung ist da nichts gesetzt.

[bks 0]

fast 300 Aufrufe und 1 Antwort, diese ohne ein einzige SRP-GPO?

[Sunny61 806]

fast 300 Aufrufe und 1 Antwort, diese ohne ein einzige SRP-GPO?

Hier gibt es keine Garantie auf Antwort, die gibt es nirgends. Lies doch mal selbst: https://www.frankysweb.de/clients-vor-infektion-mit-ransomware-schuetzen-locky-cryptolocker/

[bks 0]

Diese "Antwort" ist keine Antwort.Hauptsache, auf dicke Hose gemacht in einem Internetforum?

[mba 133]

Kekse sind leider aus.

[TheLeader 61]

Hallo,

innerhalb meiner Arbeitsstelle dürfen Programme auf Workstations Win7 nur unter "c:\Proram Files" und "c:\Program files (x85)" ausgeführt werden, alles andere ist fürs Ausführen dicht.

 

ihr habt x85???? :D

[daabm 1.334]

Da gibt es nicht viel zu sagen... AppLocker, WhiteListing mit den Standardregeln sowie ein paar anwendungsspezifischen Ausnahmen. Ganz einfach eigentlich

 

Ach ja: Domänen-Admins können sich bei uns nicht auf Workstations anmelden (explizit Deny Logon Locally). Auch so ne Sache für PtH. Und die Builtin Admins sind generell deaktiviert und haben ein Zufallskennwort, das niemand kennt.

[lefg 276]

Ich werde einen Teufel tun, über meine Umgebung etwas in die Welt posauenen.

[zahni 550]

Ich finde das NSA-Dokument klasse. Alles gut erklärt:

 

https://www.nsa.gov/ia/_files/os/win2k/application_whitelisting_using_srp.pdf

[willy-goergen 0]

Diese "Antwort" ist keine Antwort.Hauptsache, auf dicke Hose gemacht in einem Internetforum?

 

Die Antwort war doch in Ordnung. Da steht genau zu deiner Frage etwas dort. Lesen musst du schon noch selber.

 

Wenn du eine bessere Antwort haben willst, solltest du vielleicht auch deine Fragen besser / gezielter stellen.

 

@Zahni: Ihhh... das ist ja Englisch. :D

bearbeitet 26. Februar 2016 von willy-goergen

[ChrisRa 42]

Hier gibt es keine Garantie auf Antwort, die gibt es nirgends. Lies doch mal selbst: https://www.frankysweb.de/clients-vor-infektion-mit-ransomware-schuetzen-locky-cryptolocker/

 

Die Pfadregeln sind leider nicht so gut.

• %localappdata%\*.exe

%localappdata%\*\*.exe würde bspw. laufen. Keine Ahnung, wie tief sich die Ransomware einnistet.

 

Ich würde auch eher mit whitelisting arbeiten.

bearbeitet 26. Februar 2016 von ChrisRa

[zahni 550]

Die sollte man eh umgekehrt Bereitstellen, also alles verbieten und dann Ausnahmen definieren.

[Sunny61 806]

Die Antwort war doch in Ordnung. Da steht genau zu deiner Frage etwas dort. Lesen musst du schon noch selber.

Einfach ignorieren, er hat das Ignorieren verdient. ;)