Dimario 10 Geschrieben 19. Februar 2006 Melden Teilen Geschrieben 19. Februar 2006 Selbst wenn er keine Domäne hat, gibt es doch die möglichkeit in den Sicherheitseintellungen unter Richtlinien für Softwareeinschränkungen nur Software ausführen zu lassen die er freigibt. oder gibt es bei Einzelplatzrechnern da schwierigkeiten, die es in éiner Domäne nicht gibt??? Zitieren Link zu diesem Kommentar
Christopher 10 Geschrieben 19. Februar 2006 Autor Melden Teilen Geschrieben 19. Februar 2006 Hallo. Damit habe ich bisher noch nicht gearbeitet, werde es mir allerdings nachher mal in Ruhe anschauen. Kann ich damit denn auch Software verweigern die KEINER Installationen bedürfen? Das Problem ist eigentlich derweil das eine Handvoll von den Kids Spaß daran gefunden hat nur noch irgendwelche Schwachstellen im System zu finden, anstatt, wie die anderen, "einfach nur zu surfen". Was mich auf dem Wege noch interessiert: Gibt es eigentlich eine Möglichkeit den Benutzer das Speichern von Dateien auf dem Desktop und in den eigenen Dateien (respektive eigene Bilder und Musik). Hatte es zwar mal mt ntuser.man (oder .dat?) versucht, hat allerdings nicht den gewünschten Erfolg gebracht. Einzige Idee wäre, ich leite deren Eigene Dateien auf einen Ordner um auf dem sie nur Leserechte haben. Zitieren Link zu diesem Kommentar
Gadget 37 Geschrieben 19. Februar 2006 Melden Teilen Geschrieben 19. Februar 2006 Hi Christopher, die Umgebung ist doch prädestiniert für den Einsatz des Shared Computer Toolkits u. der Windows Disk Protection mit der, die Speicherung jeglicher Daten auf dem lokalen Computer unterbunden werden kann. Stellt im Prinzip die Funktion einer Wächterkarte (HD Sherrif o. PC Wächter) softwaretechnisch dar. Microsoft Shared Computer Toolkit für Windows XP - Absicherung eines öffenlichen PC´s http://www.mcseboard.de/showthread.php?t=67913 Kann ich damit denn auch Software verweigern die KEINER Installationen bedürfen? Ja das ist kein Problem, mit den "Richtlinien für Softwareeinschränkung" werden die ausführbaren Dateien gesteuert (exe, bat, com usw) die am Client gestartet werden können. Das ganze kann über Pfadregeln o. Hashwerte gesteuert werden: SO WIRD'S GEMACHT: Verwendung von Richtlinien für Softwareeinschränkung in Windows Server 2003: http://support.microsoft.com/default.aspx?scid=kb;de;324036 Richtlinien für Softwareeinschränkung: http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/library/ServerHelp/697cf804-36ae-4925-a56a-bc91b44dfcd9.mspx BTW: Die Richtlinien funktioniert auch über die lokale Richtlinie, wobei man natürlich vorsichtig sein sollte, dass man sich nicht selber aussperrt. LG Gadget Zitieren Link zu diesem Kommentar
Christopher 10 Geschrieben 19. Februar 2006 Autor Melden Teilen Geschrieben 19. Februar 2006 Super Sache mit der Softwareeinschränkung! Hab dazu noch schnell eine Frage. Hab das jetzt mit Pfadregeln gebastelt, indem ich einfach auf den Pfaden auf die sie schreiben können das ausführen von exes speere. Der Pfad in der Pfadregel sieht dann ungefähr so aus: \\server\profile\*\Desktop\*.exe Das erste * ist für den Benutzernamen und das zweite * für den Dateinamen. Jetzt lege ich allerdings einfach noch einen Ordner auf dem Desktop an und schon kann ich wieder dort die Datei ausführen... Kann ich irgendwie in den Dateipfad noch eine Variabel einbauen das es egal ist wie viele Unterordner an der Stelle noch sind? Die Alternative wäre natürlich dass ich alle Pfade manuell freigebe und den Rest einfach auf Verboten setze... Schon einmal vielen Dank! Das SCTool wirkt interessant, ist das denn auch für eine Serverumgebung gedacht oder nur für Clienten mit lokalen Benutzern? Zitieren Link zu diesem Kommentar
Gadget 37 Geschrieben 19. Februar 2006 Melden Teilen Geschrieben 19. Februar 2006 Hi, kurz nachgeschaut u. gleich gefunden, du musst nur die Variable "?" nutzen dann gehts: %userprofile%\desktop\?\*.exe oder restriktiver: %userprofile%\desktop\?\*.* EDIT: Hier hab ich noch ne ausführliche Erklärung zu den möglichen Variablen u. Regeln gefunden: http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/rstrplcy.mspx zwecks Shared Computer Tookit, ja das kann auch für Domänen-Clients verwendet werden, hatten wir vor kurzem erst: http://www.mcseboard.de/showthread.php?t=82234 LG Gadget Zitieren Link zu diesem Kommentar
Christopher 10 Geschrieben 19. Februar 2006 Autor Melden Teilen Geschrieben 19. Februar 2006 Ah wunderbar das läuft soweit! Ausser bei zip Dateien. Wenn ich also aus Zip Dateien, ohne sie zu extrahieren, eine exe starte, greift dafür die Richtlinie nicht. Hab zwar bereits versucht zip Dateien mit zu sperren, aber das läuft nicht. Und das Ausschalten der zip Funktion via "regsvr32 /u zipfldr.dll" erzielt auch nicht umbedingt den gewünschten Erfolg. Woraus wird die Anwendung dann gestartet wenn si eim Zip liegt? Aus einem Temp? Wenn ja aus welchem? Zitieren Link zu diesem Kommentar
Gadget 37 Geschrieben 19. Februar 2006 Melden Teilen Geschrieben 19. Februar 2006 Weis ich gerade auch nicht auswendig, ne Untersuchung mit Filemon sollte hier helfen: http://www.sysinternals.com/Utilities/Filemon.html LG Gadget Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.