Gu4rdi4n 73 Geschrieben 2. März 2016 Melden Geschrieben 2. März 2016 Hi! Ich hab da mal ein Problem. Und zwar eines, dass jetzt zwar nicht gravierend ist, aber mich beschäftigt. In diesem fall installiert sich Spotify bedingt durch Ninite unter %appdata%. Jetzt würde ich das gerne erlauben, allerdings verweigert er trotzdem die Ausführung! Jemand ne idee? Zitieren
Cybquest 36 Geschrieben 2. März 2016 Melden Geschrieben 2. März 2016 Ich würde ggf. vermuten, dass die Reihenfolge der Regeln ne Rolle spielen könnte? Zitieren
Gu4rdi4n 73 Geschrieben 2. März 2016 Autor Melden Geschrieben 2. März 2016 (bearbeitet) Es gibt keine möglichkeit die regeln "nach oben" oder unten zu schieben :/ ich hab das gefühl dass sich die zweite und die dritte (spotify) regel beißt, weil deny > allow, hab aber keine idee wie ich das umgehen kann! bearbeitet 2. März 2016 von Gu4rdi4n Zitieren
zahni 566 Geschrieben 2. März 2016 Melden Geschrieben 2. März 2016 Einfacher ist es die Sicherheitsstufe "nicht erlaubt" auf "Standard" zu stellen und dann unter "zusätzliche" Regeln alles eintragen, was erlaubt sein soll. So ist es uns. 1 Zitieren
daabm 1.387 Geschrieben 2. März 2016 Melden Geschrieben 2. März 2016 Schau mal hier vorbei: https://technet.microsoft.com/library/cc786941.aspx Da gibt's ne Übersicht, wie SRP die Regeln "auswertet". Ansonsten hat Zahni recht - entweder Whitelisting oder Blacklisting, aber nicht kombinieren... 1 Zitieren
Gu4rdi4n 73 Geschrieben 3. März 2016 Autor Melden Geschrieben 3. März 2016 @ zahni und daabm habs mal so probiert wie ihr gesagt habt. Nach der anleitung von ms: Default Security Level: Disallowed Apply software restriction policies to the following users: All users except administrators // nur ein computer angegeben zum test Path Rules: %WINDIR% Unrestricted %PROGRAMFILES% Unrestricted Jetzt lkann ich kein einziges programm mehr starten ausser cmd. und aus der CMD raus kann ich dann alle programme starten, egal wo sie liegen. Also so wirklich funktionieren tut das nicht Zitieren
zahni 566 Geschrieben 3. März 2016 Melden Geschrieben 3. März 2016 Stelle mal die Default-Einträge wieder her: https://technet.microsoft.com/en-us/library/cc785321(v=ws.10).aspx Für Programme kannst Du auch "C:\Program Files (x86)" und "C:\Program Files" verwenden (beide eintragen). Du solltest diese Einschränkungen übrigens für Benutzer erstellen. Das Computer-Konto einzuschränken macht es deutlich komplizierter. 1 Zitieren
Gu4rdi4n 73 Geschrieben 3. März 2016 Autor Melden Geschrieben 3. März 2016 habs jetzt für den benutzer gemacht und scheint auch einigermaßen zu funktionieren Alles verbieten außer ... (die im Bild) gehe ich richtig der annahme, dass die beiden automatisch erstellten reg key freigaben jeweils %windir% und %programfiles% erlauben? Zitieren
zahni 566 Geschrieben 3. März 2016 Melden Geschrieben 3. März 2016 Vermutlich... Du kannst auch richtige Verzeichnisse dort eintragen. Ob Variablen immer funktionieren, weis ich nicht. Zitieren
Sunny61 816 Geschrieben 3. März 2016 Melden Geschrieben 3. März 2016 habs jetzt für den benutzer gemacht und scheint auch einigermaßen zu funktionieren Alles verbieten außer ... (die im Bild) Und Du kannst auch keine EXE oder .BAT im Tempverzeichnis ausführen? Kann der Benutzer noch ausführbare Dateien, die in den Eigenen Dokumenten liegen, ausführen? Zitieren
zahni 566 Geschrieben 3. März 2016 Melden Geschrieben 3. März 2016 Wenn es so eingerichtet ist, dann nicht. Im Anwendungs-Eventlog nach dem Event 865 suchen. Zitieren
Gu4rdi4n 73 Geschrieben 3. März 2016 Autor Melden Geschrieben 3. März 2016 Danke, nun funktioniert es wie gewollt! @ Sunny Nein, nur in den spezifizierten pfaden! Klappt wunderbar. @ Zahni bisher haben die variablen funktioniert. Wenn ich was finde was nicht klappt werd ich den thread hier nochmal bemühen! Habt ihr noch n paar tips für häufige fehlerquellen, die ich jetzt im startbetrieb noch nicht bemerke? Zitieren
Sunny61 816 Geschrieben 3. März 2016 Melden Geschrieben 3. März 2016 Programme die von Netzlaufwerken gestartet werden, könnten Probleme machen. Oder auch Links aus Mails heraus werfen eine Fehlermeldung, zumindest bei uns ist es so. Zitieren
zahni 566 Geschrieben 3. März 2016 Melden Geschrieben 3. März 2016 (bearbeitet) Programme auf Netzlaufwerken können erlaubt werden, in dem man den UNC-Pfad zum Programm erlaubt. Der verwendete LW-Buchstabe ist nicht relevant. Z.B. kann man hier von allen DCs die Freigabe \\server\netlogon erlauben. Bestimmte Dateitypen muss man u.U. global erlauben, wie *.lnk, *.mdb, etc. Ist bei uns so und es klappt. Was Du für ein Mail-Problem hast, kann ich mit den Informationen leider nicht diagnostizieren Der Event 865 ist hier hilfreich... bearbeitet 3. März 2016 von zahni Zitieren
Sunny61 816 Geschrieben 3. März 2016 Melden Geschrieben 3. März 2016 Programme auf Netzlaufwerken können erlaubt werden, in dem man den UNC-Pfad zum Programm erlaubt. Der verwendete LW-Buchstabe ist nicht relevant. Z.B. kann man hier von allen DCs die Freigabe \\server\netlogon erlauben. Bestimmte Dateitypen muss man u.U. global erlauben, wie *.lnk, *.mdb, etc. Ist mir auch klar, haben wir so konfiguriert. ;) Ist bei uns so und es klappt. Was Du für ein Mail-Problem hast, kann ich mit den Informationen leider nicht diagnostizieren Der Event 865 ist hier hilfreich... Outlook in Kombination mit Exchange. Ist aber nicht weiter dramatisch, die Benutzer kopieren die URL in die Adresszeile vom Browser, das funktioniert dann und die User können damit leben. Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.