nef 10 Geschrieben 5. Februar 2006 Melden Teilen Geschrieben 5. Februar 2006 Hallo! Ich möchte per GPO das Ausführen des VPN-Clients von Cisco für eine Bestimmte OU unterbinden. Windows 2003 Server DC, WinXP SP2 Clients RTFM! Ich weiss -> bin leider sehr unter Zeitdruck. Danke für Eure Tips! nef Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 5. Februar 2006 Melden Teilen Geschrieben 5. Februar 2006 Hm, da fällt mir eigentlich nur eine Einschränkung via Softwareeinschränkungsrichtlinie ein, ob man damit den sehr tief liegenden Client zügeln kann weiss ich nicht, man kann aber sicher die GUI verbieten ... Zitieren Link zu diesem Kommentar
Hirgelzwift 10 Geschrieben 5. Februar 2006 Melden Teilen Geschrieben 5. Februar 2006 es gibt doch irgendwo die einstellung ausführen folgender programme verbieten und da kann man explizit die exe datei eintragen die nicht ausgeführt werden darf. das sollte funzen! oder irre ich mich? Zitieren Link zu diesem Kommentar
Gadget 37 Geschrieben 5. Februar 2006 Melden Teilen Geschrieben 5. Februar 2006 @Hirgelzwift: Was meinst du damit, dafür sind doch die "Software restriction Policies" oder redest du von ner lokalen Einstellung? LG Gadget Zitieren Link zu diesem Kommentar
Hirgelzwift 10 Geschrieben 5. Februar 2006 Melden Teilen Geschrieben 5. Februar 2006 Benutzerkonfiguration/Administrative Vorlagen/System Angegebene Windows-Anwendungen nicht ausführen Verhindert, dass die in dieser Einstellung festgelegten Programme von Windows ausgeführt werden. Erklärung: Durch Aktivieren dieser Einstellung können Benutzer Programme, die Sie der Liste der nicht zugelassenen Anwendungen hinzugefügt haben, nicht ausführen. Diese Einstellung verhindert nur die Ausführung von Programmen, die durch den Windows Explorer-Prozess gestartet werden. Sie hindert Benutzer nicht, Programme, wie z. B. Task-Manager, der mit dem Systemprozess oder anderen Prozessen gestartet wird, auszuführen. Außerdem verhindert diese Einstellung nicht, dass Benutzer Programme in der Eingabeaufforderung (falls Sie die Verwendung der Eingabeaufforderung zulassen) starten, die sie andernfalls nicht in Windows Explorer starten dürften. Hinweis: Klicken Sie auf "Anzeigen", "Hinzufügen" und geben Sie den Dateinamen der ausführbaren Datei ein (z. B. Winword.exe, Poledit.exe, Powerpnt.exe), um eine Liste nicht zugelassener ausführbarer Dateien zu erstellen. Quelle: GPMC vielleicht hilft es ja. wir haben da auf alle fälle ein paar programme auf unseren TS gesperrt damit ein "normaler" benutzer z.B. dubug.exe nicht ausführen kann. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 5. Februar 2006 Melden Teilen Geschrieben 5. Februar 2006 Damit kann man die GUI wohl auch verbieten, allerdings wäre es schön zu erfahren, was der eigentliche Zweck dieser Aktion ist. Wenn der Cisco Client nicht ausgeführt werden soll, warum ist er drauf ? Oder sind das Laptops, die von aussen zugreifen und wenn sie im internen Netz sind, soll die Security Policy des Clients deaktiviert werden, da sie sonst nicht auf die internen Ressourcen zugreifen können (das Ziel, welches das interne Netzwerk ist, soll verschlüsselt erreicht werden über das Cisco-Gateway)? Zitieren Link zu diesem Kommentar
Hirgelzwift 10 Geschrieben 5. Februar 2006 Melden Teilen Geschrieben 5. Februar 2006 wenn die GUI ein ausführbares programm darstellt wahrscheinlich schon. wenn es ein snap-in z.B. für mmc ist dann wird die GUI nach wie vor funktionieren. das problem (workaround) bei ausführbaren programmen ist ja in der erklärung geliefert. man kann es wohl noch über start-> ausführen starten. deswegen haben wir das bei den TS auch verboten :D ;) in 99% der fälle gehe ich davon aus das die policy reichen sollte wenn nicht jemand von den benutzern zu "hacken" beginnt. edit: leider kenne ich den tiefern hintergrund noch nicht, aber ich gehe davon aus das evtl. das selbe problem auftritt wie in meiner alten fa. wenn der VPN client läuft dann ist es u.U. im LAN ein problem. Zitieren Link zu diesem Kommentar
nef 10 Geschrieben 5. Februar 2006 Autor Melden Teilen Geschrieben 5. Februar 2006 Der erste Test verlief beinahe erfolgreich... mal abgesehen, dass der client vom cmd noch gestartet werden kann... (wie zu erwarten). @ITHome: Zweck der Aktion Das Netzwerk befindet sich an einer Schule. 3VLANS mit versch. Security-Standards. Wenn ein Lehrer beispielsweise von VLAN1 ins VLAN2 möchte, so macht er ein VPN zur ASA auf und hat Access ins VLAN2(nur Lehrer) und ins VLAN1(Lehrer und Schüler). Da sich auch Schüler an diesem Client anmelden können, möchten wir die Ausführung des Clients per GPO unterbinden. Thx für Eure Hilfe. Poste die def. Lösung später noch rein. Nef Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 5. Februar 2006 Melden Teilen Geschrieben 5. Februar 2006 Jatzt verstehe ich den Zweck, warum haste das nicht gleich erzählt ? ;) Wenn Du die entsprechende Datei über eine Softwareeinschränkungspolicy (Pfadregel oder Hashregel) verbietest, kann er das auch über die Eingabeaufforderung nicht mehr. edit: funktioniert eigentlich auch beides ? So würde das Verbieten der EXE die Nachteile der Softwareeinschränkungsrichtlinie kompensieren und umgedreht würde die Softwareeinschränkungsrichtlinie verhindern, dass über die Kommandozeile z.B. ausgeführt wird ... Zitieren Link zu diesem Kommentar
Hirgelzwift 10 Geschrieben 5. Februar 2006 Melden Teilen Geschrieben 5. Februar 2006 Jatzt verstehe ich den Zweck, warum haste das nicht gleich erzählt ? ;) Wenn Du die entsprechende Datei über eine Softwareeinschränkungspolicy (Pfadregel oder Hashregel) verbietest, kann er das auch über die Eingabeaufforderung nicht mehr. Off-Topic:ich kenne den key finde ihn aber gerade nicht, kannst du mir mal bitte kurz geben? edit: hat sich erledigt. hab ihn. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 5. Februar 2006 Melden Teilen Geschrieben 5. Februar 2006 Den gibt es in der Computer und Benutzerkonfiguration jeweils Windowseinstellungen - Sicherheitseinstellungen - Richtlinien für Softwareeinschränkung Lies noch mal den Nachtrag in #9 Zitieren Link zu diesem Kommentar
Hirgelzwift 10 Geschrieben 5. Februar 2006 Melden Teilen Geschrieben 5. Februar 2006 da gibt es aber auch ein problem.... nur der vollständigkeit halber..... pfadregel: du kannst das programm aus einem anderen pfad heraus ausrufen wenn es dort auch liegt. z.b. datenträger wie CD, Floppy oder Stick. hashregel: du kannst das programm mit einer anderen version also z.B. älter oder neuer ist auch aufrufen. die 100% lösung wird es hier wohl nicht geben. ;) ausser du nimmst daumenschrauben :D Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 5. Februar 2006 Melden Teilen Geschrieben 5. Februar 2006 Deswegen ja die Frage, ob beides geht, werde ich mal probieren ... Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 5. Februar 2006 Melden Teilen Geschrieben 5. Februar 2006 Habs mal mit der notepad.exe probiert. Wenn ich in der Pfadregel nur notepad.exe schreibe, kann ich es nirgendwo ausführen, die Einstellung, die Du beschrieben hast, habe ich gar nicht vorgenommen. Jetzt noch ne Hashregel dazu (die gepflegt werden muss) und ich kann die Datei auch umbenennen wie ich will ... edit: oh, sorry, hätte es in den vorigen Post schreiben sollen ... Zitieren Link zu diesem Kommentar
Hirgelzwift 10 Geschrieben 5. Februar 2006 Melden Teilen Geschrieben 5. Februar 2006 hmmm, mal zusammenfassen: mein vorschlag hat das problem das man es über ausführen immer noch ausführen kann. dabei ist aber nur der programmname ausschlaggebend. wenn man es umbennt geht es wieder. pfad: anderer pfad geht hash: anderer hash geht kombination wird auch nicht viel bringen. es gibt für alles einen workaround wenn man will, egal wie du kombinierst. wobei ich meinen vorschlag mit der zusätzlichen kombination mit "ausführen verbieten" und "verbieten das man die laufwerk sieht" noch am sichersten halte. das hat ein systemhaus für unsere TS so ausgearbeitet und funzt wunderbar. leider kann ich nicht beurteilen ob dann die schüler noch arbeiten können. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.