Lord_x 10 Geschrieben 6. Juli 2006 Melden Teilen Geschrieben 6. Juli 2006 Hallo zusammen :) Ich habe hier einen Win2003 Dom. mit ca. 40 Clients. Darunter 2 Stück die mich z.Z ziemilch nerven ;) Den Usern wurde schon ziemlich viele Rechte per GP genommen. Klappt auch wunderbar. Auch habe ich ein Kontigent auf dem Laufwerk eingerichtet. Klappt auch. So jetzt mein Problem: Eben diese 2 User habe sich Firefox als USB Version in die Eigenen Dateien gezogen und können von dort jetzt mit ihm im Netz surfen... Wie kann ich es verhindern, dass User *.exe Dateien starten können, die nicht auf dem System schon installiert sind? Die entpacken das Zip File und surfen los... Besten Dank Lord_x PS: Bitte verschieben nach "Windows Forum – MS Backoffice " Danke Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 6. Juli 2006 Melden Teilen Geschrieben 6. Juli 2006 Stichwort ist "Richtlinien zur Softwareeeinschränkung". Dort kann man wunderbar definieren, aus welchen Verzeichnissen und Laufwerken der User Programme starten darf . Das gibt dann aufschlußreiche Event-ID's 865 im Anwendungsprotokoll ;) USB Storage kann man übrigens auch deaktivieren. -Zahni Zitieren Link zu diesem Kommentar
GregorBHV 10 Geschrieben 6. Juli 2006 Melden Teilen Geschrieben 6. Juli 2006 Irgendwo kann man die Ausführung von Programmen grundsätzlich unterbinden. Mit Hash- oder auch Pfadregeln kann man dann die gewünschten Programme den usern "entsperren", wobei Hashregeln aus Sicherheitsgründen den Vorzug erhalten sollten. Zitieren Link zu diesem Kommentar
carlito 10 Geschrieben 6. Juli 2006 Melden Teilen Geschrieben 6. Juli 2006 Irgendwo kann man die Ausführung von Programmen grundsätzlich unterbinden. Mit Hash- oder auch Pfadregeln kann man dann die gewünschten Programme den usern "entsperren", wobei Hashregeln aus Sicherheitsgründen den Vorzug erhalten sollten. Kleine Anmerkung: umgekehrt ist es oft einfacher. :) Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 6. Juli 2006 Melden Teilen Geschrieben 6. Juli 2006 Schrieb ich das "irgendwo" nicht ? -Zahni Zitieren Link zu diesem Kommentar
Tschiki 10 Geschrieben 6. Juli 2006 Melden Teilen Geschrieben 6. Juli 2006 Solltest du es einmal die Idee haben grundsätzlich Zugriffe auf Exteren Medien zu unterbinden solltest dir einmal dies SW anschauen - ob es sich für dein Unternehmen rentiert liegt natürlich in deinem ermessen. Siehe: http://www.gfisoftware.de/de/endpointsecurity/ Mit Hash- oder auch Pfadregeln ... Wobei eine Hashregel nicht unbedingt viel sinn macht - sollte sich der FF ändern, was dieser auch öfter tut, musst du diese auch immer wieder anpassen. Und ein Pfadregel auf einen USB-Stick? Braucht doch nur den Stick an einen anderen USB-Port anstecken - schon hat man einen anderen Pfad bzw. eine anderen Ext. Medium nehmen zB Digicam. Das solltest du eher wie Zahni schon gesagt hast, Ext. Speichermedien grundsätzlich unterbinden bzw. per Unternehmensausschreibung eine Meldung machen das FF bzw. Ext Medien am PC nicht erlaubt sind. Zitieren Link zu diesem Kommentar
carlito 10 Geschrieben 6. Juli 2006 Melden Teilen Geschrieben 6. Juli 2006 Bitte löschen. Zitieren Link zu diesem Kommentar
GregorBHV 10 Geschrieben 6. Juli 2006 Melden Teilen Geschrieben 6. Juli 2006 Kleine Anmerkung: umgekehrt ist es oft einfacher. Kleinere Anmerkung: aber unsicherer. Schrieb ich das "irgendwo" nicht ? ja... beim Nächsten Mal mach ich meine Augen etwas mehr auf... :D Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 6. Juli 2006 Melden Teilen Geschrieben 6. Juli 2006 Ich bin für die Variante alles zu verbieten (also dies Default-Regel aktivieren) und nur das zu erlauben, was ich will. Dann kann auch von neuen USB-Laufwerken o.ä. nichts gestartet werden. Ist aber ein bissel Testaufwand nötig. In den Verzeichnissen wor der User Programme starten darf, darf er natürlich kein Schreibrecht haben (z.B. C:\Windows, C:\Programme usw.) -Zahni Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.