Archiv der Kategorie: Gruppenrichtlinien

Gruppenrichtlinien

Teil 25a: Mit AppLocker Browser von Drittanbietern blockieren

Veröffentlicht am von
Antworten

Im Unternehmen möchte ich erreichen, dass der Internet Explorer aufgrund seiner Verwaltbarkeit mittels Gruppenrichtlinien und der raschen Reaktionszeit von Microsoft für Sicherheitsupdates als einziger Browser eingesetzt wird. Die einzige Ausnahme soll Mozilla Firefox ab Version 33.0.0.0 sein. Sonst möchte ich mit AppLocker Browser von Drittanbietern blockieren.

Meine Konfiguration und Ausgangspunkt für diesen Teil ist Teil 25.

Auf CLIENT001 sind folgende Browser installiert:

  • Google Chrome
  • Apple Safari
  • Mozilla Firefox 33.0.1
  • Opera

Auf CLIENT002 sind folgende Browser installiert:

  • Mozilla Firefox 30.0
  • Opera

Mit AppLocker Browser von Drittanbietern blockieren – Schritte:

  • AppLocker-Regeln auf CLIENT001 erstellen und exportieren
  • Richtlinie auf SERVER02 importieren und auf CLIENT002 testen

AppLocker-Regeln auf CLIENT001 erstellen und exportieren

  1. Als Administrator an CLIENT001 anmelden
  2. Start > Suche: Secpol.msc > als Administrator starten
  3. Anwendungssteuerungsrichtlinien\AppLocker erweitern
  4. Ausführbare Regeln rechts anklicken > Neue Regel erstellen…
    APPLOCKER_BROWSER-001
  5. Ausführbare Regeln erstellen
    1. Berechtigungen
      1. Aktion: Verweigern > Weiter
        APPLOCKER_BROWSER-002
        Weiterlesen

Teil 25: AppLocker konfigurieren und verwalten

Veröffentlicht am von
Antworten

Ab Windows 7 Enterprise kann man AppLocker konfigurieren, um das Ausführen unerwünschter Software im Unternehmen zu verhindern. Unerwünscht hat in diesem Zusammenhang unterschiedliche Bedeutungen:

  • Schutz gegen unerwünschte Software: AppLocker verhindert das Ausführen unerwünschter Software.
  • Einhaltung von Lizenzbestimmungen: Das Ausführen einer Software für die Mitglieder einer Sicherheitsgruppe in Active Directory erlauben, allen anderen verbieten.
  • Softwarestandardisierung: Eine bestimmte Software ab einer bestimmten Version erlauben, andere Versionen verbieten.

In sicheren Umgebungen wird auf einem Referenzrechner die gesamte benötigte Software installiert und eine Art Snapshot erzeugt. Diese Software wird erlaubt und alles andere verboten. Mittels whitelisting werden dann weitere Produkte hinzugefügt. Diese Vorgehensweise finde ich sehr aufwendig.

Anders wird (fast) alles erlaubt, mittels blacklisting bestimmte Software verboten. Genau dieses Szenario werde ich im Folgenden beschreiben. Als Grundlage für die Konfiguration verwende ich Microsoft TechNet: AppLocker.

Meine Vorgabe: Das Ausführen von P2P- (Peer to Peer) Software ist im Unternehmen ein (Sicherheits-) Problem. Ich möchte AppLocker konfigurieren und verhindern, dass diese Programme verwendet werden.

AppLocker konfigurieren und verwalten – Schritte:

  • Eine Liste der unerwünschten P2P-Software erstellen
  • AppLocker Policy auf CLIENT001 erstellen und exportieren
  • Die Funktion der AppLocker-Regeln auf CLIENT001 überprüfen
  • Die AppLocker-Policy auf SERVER02 importieren und verteilen
  • Ausführbare Regeln erzwingen

Eine Liste der unerwünschten P2P-Software erstellen

  1. Für diesen Artikel habe ich mir drei bekannte P2P-Programme herausgesucht und heruntergeladen
    1. BitTorrent von der Firma BitTorrent
    2. μTorrent von der Firma BitTorrent
    3. Vuze von Azureus Software
  2. BitTorrent habe ich auf CLIENT002 bereits installiert

AppLocker Policy auf CLIENT001 erstellen und exportieren

  1. Als Administrator an CLIENT001 anmelden
  2. Start > Suche: secpol.msc > Als Administrator ausführen
  3. Anwendungsrichtlinien\AppLocker erweitern
  4. AppLocker rechts anklicken > Eigenschaften
    APPLOCKER-001
  5. Eigenschaften von AppLocker
    1. Ausführbare Regeln
      1. Konfiguriert aktivieren
      2. Nur überwachen > OK
        APPLOCKER-002
        Weiterlesen

Unternehmensmodus für Internet Explorer 11 konfigurieren

Veröffentlicht am von
Antworten

Mit dem Sicherheitsupdate MS14-018 für den Internet Explorer 11 hat Microsoft den Unternehmensmodus (Enterprise Mode for Internet Explorer, EMIE) für die Abwärtskompatibilität eingeführt. Damit soll der Umstieg auf den aktuellen Browser leichter gelingen. Für uns war der Zeitpunkt genial. Fast hätten wir die Einführung von Internet Explorer 11 (auf Windows 7) auf unbestimmte Zeit verschieben müssen. Mit dem EMIE ist uns das aber erspart geblieben, die Arbeit war nicht umsonst und der Internet Explorer 11 hat seinen Weg in unser Golden Image gefunden (Ein einfaches Netzwerk, Teil 19ff). Der Unternehmensmodus ist recht schnell eingerichtet und mit dem Enterprise Mode Site List Manager lassen sich die Seiten einfach verwalten.

Habt Ihr schon auf den Internet Explorer 11 umgestellt? Setzt Ihr den EMIE schon länger ein? Welche Erfahrungen habt Ihr damit gemacht? Hinterlasst einfach einen Kommentar am Ende des Artikels!

Unternehmensmodus für Internet Explorer 11 konfigurieren – Schritte:

  • Einen Ordner anlegen und freigeben
  • ASP und HTTP Logging installieren
  • Im IIS Manager ein virtuelles Verzeichnis anlegen und Logging aktivieren
  • Im DNS einen Alias-Eintrag für EMIE anlegen
  • Den Enterprise Mode Site List Manager installieren und aktuelle admx/adml-Dateien in den zentralen Speicher kopieren
  • Die Datei SiteList.xml erstellen
  • Gruppenrichtlinien konfigurieren
  • Einstellungen am Client und am Webserver testen

Auf den (Windows 7) Clients müssen mindestens die Updates KB2936068 und KB2929437 installiert sein. Wobei KB2936068 bereits von mehreren Updates abgelöst worden ist (siehe MS14-052, KB2977629). Wer seine Rechner mit WSUS mit Updates versorgt (Ein einfaches Netzwerk, Teil 12ff) erfüllt diese Anforderung ;-).

Einen Ordner anlegen und freigeben

  1. Als Administrator an SERVER02 anmelden
  2. Windows Explorer starten
  3. Den Ordner C:\EMIE erstellen
    EMIE-001
  4. Den Ordner als EMIE$ freigeben
    EMIE-002
  5. Folgende Freigabeberechtigungen vergeben
    1. Everyone > Allow > Read
      EMIE-003
      Weiterlesen