Hallo Boarders,

bin gerade dabei, eine GPO zu fummeln, mit welcher ich die Windows-Spiele und dann allenfalls auch noch andere Programme sperren möchte.

Nun habe ich eine neue GPO erstellt, im Register Sicherheitseinst/Richtl für SW-Einschränkung "Richtlinien für Softwareeinschränkungen erstellen" ausgewählt und nun unter Zusätzliche Regeln mal das Sol.exe gesperrt (siehe Bild).

Nun hat's da auch noch 4 andere "Regeln" mit HKLM/SW.... (siehe Bild).

Nun die Frage(n):
Kann ich diese 4 Teile löschen?
Warum werden die automatisch erstellt?
Nutzen der 4 Teile?

Danke für Eure Inputs
...und en schöööne Tag!
Sumo

hoppla... bild vergessen... Sorry!

Wenn Du an den SRPs rumspielst, solltest Du Dir vorher wirklich im Klaren sein, was Du da machst. Dann sind sie allerdings sehr effektiv, und man muß sich nicht mehr mit so komischen Virenscannern rumschlagen.

Dann wirst Du auch verstehen, warum diese vier Regeln da drin sind und auch drin bleiben müssen. Und vielleicht wirst Du auch zum Schluß kommen, daß die Standardregeln viel zu lasch sind für einen effektiven Schutz.

Wenn man .lnk aus den Dateierweiterungen raus- und .msh (das sind die neuen Monad-Shell-Script-Dateien) reinnimmt, dann die Sicherheitsebene auf "Nicht erlaubt" stellt und ggf. die Spiele und die anderen unerwünschten Sachen per Hash- oder Pfadregel rausnimmt, kommt man einem "dichten" PC schon recht nahe. Nun noch im Office die Makros beschränken, und ein paar andere Kleinigkeiten, und man hat Ruhe vor nervigen vom USB-Stick ausgeführten Virenspielchen u.ä. Auch kann dann niemand mehr was vom Desktop aus starten oder in .doc eingebette Programme.

Siehe auch Microsofts Anleitung.

@ amontillado
Kannst Du mir mal erklären was an Monad so toll sein soll.
Ich habe leider bei MS noch nix gefunden, was mir die Vorteile von Monad aufzeigt.

grz zer00

So tief bin ich da auch nicht eingestiegen. Was mich aber überzeugt, ist das in sich schlüssige Gesamtkonzept. Desweiteren wird nicht mehr auf Textausgaben operiert sondern mit Objekten. Das ganze ist mehr an einer Programmiersprache denn an einer Skriptsprache orientiert. Betriebssystemspezifische cmdlets gibt es schon in reichlicher Menge und sie kann relativ einfach erweitert werden.

Links:

• Dokumentation, DDL
• Download-Seite, DDL (ist aktuell die Beta 3)
• Beispiele und Ressourcen
• Zeit zum Starten verkürzen

In der Doku ist ein GettingStarted drin, da kann man sich das alles gut ansehen. In der C't 26/05 ist noch ein Artikel drin dazu.

Danke amontillado
Werde mich da mal ein bisschen reinlesen.

grz zer00

ein sehr belehrender und unangenehmer ton..
...das hilft mir nicht wirklich weiter.

vielleicht verstehe ich ja einestages warum die 4 standart regeln drin sind.

merci!
sumo

Hi,

sollte nicht so rüberkommen. Sry 4 that.

Die vier Regeln erlauben nur die Ausführung von Software, die zur Benutzung von Windows nötig ist. Das sind (bei einer Standardinstallation) in Reihenfolge der Liste auf dem Screenshot:

1. C:\Windows und Unterverzeichnisse
2. daraus die Dateien mit .exe
3. C:\Windows\System32 und Unterverzeichnisse, daraus die .exe
4. C:\Programme und Unterverzeichnisse

Da die einzelnen Verzeichnisse durchaus auch auf anderen Partitionen liegen können, wird der Pfad aus den entsprechenden Registry-Einträgen geholt. Die .exe-Dateien sind gesondert aufgeführt, damit man im Bedarf (bspw. nach einem Startverbot aus c:\windows\system32) minimal noch an die von Win benötigten Programme kommt.

In der von Dir vorgeschlagenen Kombination hast Du das Problem, daß jeder die sol.exe aus Win2K weiterhin starten kann, da sie ja einen anderen Hash hat. Einschränkungen dieser Art unter gleichzeitiger genereller Erlaubnis sind relativ sinnlos. Eine Änderung eines Strings in der ausführbaren Datei oder (bei Pfadregeln) eine Änderung des Namens umgehen diese Sperren.

CU

hi amontillado,

danke für den input.

...verstehe ich das dann richtig, dass alles was nicht xp ist, sol.exe weiterhin ausführen kann.. ?
(..und somit mit meinem ansatz das sol.exe aus allen im einsatz stehenden os einzeln gesperrt werden müsst... )

nun habe ich glücklicherweise eine reinrassige xp umgebung. demnach sollte das aber mit der hash regel funzen oder?

wie würdest du das ganze anstellen?

grüessli und en schöne, verschneite nachmittag
sumo

Jein. Alles vor XP kennt die Softwareeinschränkungsrichtlinien nicht. Da kann man also nichts reißen. Trifft Dich ja aber nicht. Mit der von Dir angezeigten Regel kannst Du genau die sol.exe nicht ausführen, die mit XP geliefert wurde. Dabei ist es egal, wo die sol.exe liegt. Bringt nun aber ein Nutzer die sol.exe von seinem Windows 2000-Rechner mit, dann kann er sie wieder ausführen, da der Hashwert (SRPs berechnen standardmäßig den MD5-Hash; das kannst Du auch selber machen mit dem MD5-Summer oder auf der Kommandozeile mit dem MS File Checksum Integrity Verifier utility oder mit dem hier, zu MD5 allgemein siehe Wikipedia).

Auch das kann noch umgangen werden. Ich kann z.B. mit dem Resource Hacker die Datei einzigartig manipulieren (z.B. ein Icon austauschen). Dann hat man wieder eine ganz andere Datei. Wenn nun der clevere "Nutzer" die Datei noch mit ModifyPE bearbeitet, hat man gute Chancen, daß Windows die Datei als echt ansieht. Zur Lösung siehe meinen Vorschlag unten.

Nö, da ich ja eine andere sol.exe (bspw. die von Windows 2000 oder eine manipulierte) von Floppy/Stick auf den Desktop kopieren und von da ausführen kann.

Also, das ist schon etwas umfangreicher. Dafür hat es noch keiner meiner "Experten" geschafft, was auszuführen, was ich nicht wollte.

1. Eine Batchdatei schreiben, die via cacls (oder subinacl oder setacl) die Rechte auf NTFS-Ebene so umbiegt, daß die betreffenden Nutzer oder Gruppen keine Rechte zur Ausführung bekommen. Damit hast Du erstmal eine Sofortmaßnahme drin. Später dann kannst Du immer noch Hash-Regeln für die Programme (z.B. sol.exe) setzen, da dann auch kein Ersatzprogramm mehr gestartet werden kann.
   
2. Richtlinien für Softwareeinschränkung (SRP) -> Erzwingen (Wichtig):
   
   
   
3. SRP -> Designierte Dateitypen: .lnk entfernen und für alle Fälle .msh reinsetzen.
   
   [IIMG]http://img221.imageshack.us/img221/6721/27zs.png[/IMG]
   
4. SRP -> Sicherheitsebenen -> Nicht erlaubt doppelt klicken, als Standard wählen, Meldung bestätigen
   
   [IIMG]http://img221.imageshack.us/img221/3323/37me.png[/IMG]
   
5. Prinzipiell fertig. Zur Überprüfung kannst Du ja mal irgendeine .exe-Datei auf einen Stick kopieren und von dort aus mal versuchen zu starten (als Nichtadministrator)

Jetzt gibt es noch Probleme mit Programmen, die Schreibzugriff in ihren Programmverzeichnissen brauchen (Map & Guide 11 ist so ein Kandidat, die Programmierer haben noch nichts von Mehrbenutzerbetrieb gehört und setzen Hauptbenutzerrechte voraus, womit man sich dann jedes Sicherheitskonzept zerschießt). In diesen Verzeichnissen sind dann oft auch für Anwender Schreibrechte vorgesehen, über den Standardregelsatz dürfen Anwender auch Programme daraus starten. Das ist natürlich fatal, denn ein findiger Anwender wird das möglicherweise schnell umgehen. Abhilfe: Die Programmverzeichnisse, für die generell eine Schreiberlaubnis gesetzt ist, werden in den Zusätzlichen Regeln auf "Nicht Erlaubt" gesetzt. Die Programmdateien darin werden per Hash-Regel explizipt auf "Nicht Eingeschränkt" gesetzt.

!!! Teste das auf einem Computer, der nicht produktiv eingesetzt wird (am Besten auf einem nicht über eine Domäne angebunde Workstation) !!!

Äh, bei uns hier regnet es schon den ganzen Tag, dazu so ein häßliches Tauwetter.

Gruß

PS: Wenn ein Administrator hier so nett sein könnte und die "zuvielen" Grafiken aktivieren könnte, würde ich mich freuen

wow...

...ok, ich werde mich da mal einige zeit in meinem "sandkasten" austoben.

vielen herzlichen dank für all die tipps!

grüessli
sumo