carnivore 10 Geschrieben 19. April 2016 Melden Teilen Geschrieben 19. April 2016 (bearbeitet) Hallo, Ich versuche auf meinem Windows7-client die SRP-Regel einzufügen, dass C:\temp\ und darunter keine *.bat Dateien mehr ausgeführt werden dürfen. Pfadregel: "c:\temp\*.bat" Das funktioniert auch, aber im Gegensatz zu etlichen Artikeln kann in ich den Unterverzeichnissen von c:\temp nach wie vor *.bat starten. z.B. https://technet.microsoft.com/en-us/library/cc507878.aspx Die Pfadregel "c:\temp\*\*.bat blockiert die Ausführung in der nächsten Ebene, aber nicht tiefer. Habt jemand einen Kniff? Merci Carnivore bearbeitet 19. April 2016 von carnivore Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 19. April 2016 Melden Teilen Geschrieben 19. April 2016 Ich kann immer nur wieder empfehlen Whitelisting zu machen, also das Gegenteil von Deinen Versuchen. Zitieren Link zu diesem Kommentar
carnivore 10 Geschrieben 19. April 2016 Autor Melden Teilen Geschrieben 19. April 2016 gerne auch mit "unrestricted". Wie ist dann die Pfadangabe? *.bat darf nur in einem bestimmten Ast erlaubt sein, Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 19. April 2016 Melden Teilen Geschrieben 19. April 2016 Habe ich nie getestet, ist viel zu umständlich. Daher... Zitieren Link zu diesem Kommentar
carnivore 10 Geschrieben 19. April 2016 Autor Melden Teilen Geschrieben 19. April 2016 ja... aber ich wollte eigentlich nicht wissen, wem das zu umständlich ist, sondern ob zufällig jemand die korrekte Pfadsyntax für Subdirectories bei dieser Art von Policies kennt. Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 19. April 2016 Melden Teilen Geschrieben 19. April 2016 So ist es aber nun mal. Soweit ich das sehe funktionieren Path Rules mit Extension nicht in Unterverzeichnissen. Das kannst Du nur mit der anderen Variante (mit dem Whitelisting) lösen und beherrschen. Daher empfiehlt auch die NSA das so zu machen: https://www.nsa.gov/ia/_files/os/win2k/application_whitelisting_using_srp.pdf Glaube mir einfach, dass die Variante sicherer und übersichtlicher ist. Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 23. April 2016 Melden Teilen Geschrieben 23. April 2016 Ich zitier mich mal: Wenn Sie in einer Pfadregel einen Ordner angeben (also der Pfad nicht mit .Erweiterung endet), dann gilt diese Regel für alle Dateien in diesem Ordner und in allen Unterordnern. Das gilt auch umgekehrt - wenn der Pfad mit einer Erweiterung endet (also nicht für einen Ordner gilt, sondern für Dateien), gilt die Regel NICHT für Unterordner. Grundsätzlich solltest Du ohnehin alle Orte sperren, an denen der Benutzer schreiben kann :) Der Vollständigkeit halber hier noch die Ermittlungsrangfolge bei Pfadregeln: Wenn mehrere Pfadregeln zutreffen, hat eine spezifische Pfadregel Vorrang vor einer allgemeinen Pfadregel. So ist C:\Windows\System32\cmd.exe spezifischer als C:\Windows. Die Ermittlung der ausschlaggebenden Pfadregel hat folgende Priorität: Laufwerk:\Ordner1\Ordner2\Dateiname.Erweiterung (höchste Priorität) Laufwerk:\Ordner1\Ordner2\*.Erweiterung *.Erweiterung Laufwerk\Ordner1\Ordner2 Laufwerk\Ordner1 (niedrigste Priorität) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.