WinFuture-Forum.de: Batch-Script von Gruppenrichtlinen-Blockade ausschließen - WinFuture-Forum.de

Zum Inhalt wechseln

Alle Informationen zum Thema Windows 7 in unserem Special. Windows 7 Download, FAQ und neue Funktionen im Überblick.
Seite 1 von 1

Batch-Script von Gruppenrichtlinen-Blockade ausschließen Batch-Script von Gruppenrichtlinen-Blockade ausschließen


#1 Mitglied ist offline   Joshua123 

  • Gruppe: aktive Mitglieder
  • Beiträge: 30
  • Beigetreten: 29. Juli 10
  • Reputation: 0

geschrieben 02. Mai 2017 - 22:19

Ich versuche gerade, mein Win7 Ultimate mit Hilfe des Programms SoftwarePolicy gegen Maleware zusätzlich abzudichten. "Windows härten" war seit langem davor umgesetzt, folgende Dienste ab- oder auf "manuel" geschaltet: s. Bildanhang

Nun ist es so, dass ich ein paar Scripte habe, deren Ausführung die neue Software leider gleich mit unterdrückt. Als Erklärung erscheint die Fehlermeldung "Dieses Programm wird durch eine Gruppenlinie blockiert." Dies ist auch der Fall, wenn der Aufgabenplaner ein Script (oder dessen fensterlos das gleiche leistende Bat to Exe-Konvertit) initiieren sollte. Die im Planer aktivierte Option "Mit den höchsten Previlegien ausführen" ändert nichts; auch Googlen macht mich nicht schlauer.

Weiß jemand von Euch, an welcher Stelle man was ändern muß, damit die Scripts und ihre to-Exe-Konverts trotz der SoftwarePolicy laufen?

Vielen Dank im voraus für jede Hilfe!

Angehängte Miniaturbilder

  • Angehängtes Bild: DienstePhoto Mai 2017.png

Dieser Beitrag wurde von Joshua123 bearbeitet: 02. Mai 2017 - 22:20

0

Anzeige



#2 _d4rkn3ss4ev3r_

  • Gruppe: Gäste

geschrieben 04. Mai 2017 - 20:21

Dann nimm halt Administratoren aus den Gruppenrichtlinien raus und/ oder setze die Pfade auf die Whitelist
0

#3 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 8.895
  • Beigetreten: 20. Juli 07
  • Reputation: 1.126
  • Geschlecht:Männlich
  • Wohnort:Zuhause
  • Interessen:Ja

geschrieben 04. Mai 2017 - 20:31

Ohne zu wissen, was da festgelegt ist in den Gruppenrichtlinien, kann man auch nicht sagen was da geändert werden muß.

Daher, Vorschlag 1:

- Eventlog befragen, ob und was das Sinnvolles zu sagen hat.

Wenn nicht, Vorschlag 2:

- Einstellungen des GP-Objekts in ein mehr oder weniger lesbares Format exportieren
- GPO(s) zurücksetzen (falls lokal, wovon ich grad ausgehe) oder die Zuweisung trennen (falls nicht)
- Neue GPO aufmachen
- Nach und nach die Einstellungen der alten in die neue GPO übertragen und drei Augen drauf halten, welche depperte Einstellung ZU restriktiv ist.


Und wenn ich mir die Diensteliste so anschau... stell ich zusätzlich noch in Frage, ob das Problem tatsächlich GPO-verursacht ist.

Vollständige Neuinstallation wäre evtl der praktikablere Weg.

Dieser Beitrag wurde von RalphS bearbeitet: 04. Mai 2017 - 20:33

"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
0

#4 Mitglied ist offline   Joshua123 

  • Gruppe: aktive Mitglieder
  • Beiträge: 30
  • Beigetreten: 29. Juli 10
  • Reputation: 0

geschrieben 05. Mai 2017 - 12:23

Vielen Dank für Eure Unterstützung!

Ich werde versuchen, mich zunächst in (1) einzuarbeiten, muß dazu anmerken, noch keinerlei Ahnung zu haben.

Ok, Ereignisanzeige habe ich aufgerufen; dem steht also kein abgeschalteter Dienst im Wege (falls Du das gemeint hattest). Auch läuft der PC seit langem ohne jegliche Störung. Einziges (derzeit bekanntes) Problem ist also, dass die SoftwarePolicy bestimmte Scripte an der Ausführung hindert. (Unter anderem wird die scriptgesteuerte Ausführung und Beendigung des Acronis Scheduler Service unterbunden.)

Welche Ansichten oder Protokolle sollten auf welche Ereignisse hin kontrolliert werden?

SoftwarePolicy muß während des Protokollierens angeschaltet sein? Wahrscheinlich. Derzeit ist sie off.


Zu (2): Bei den GPOs wird unter "Administrative Vorlagen/ Alte Einstellungen" überall ein NICHT KONFIGURIERT angezeigt. Auch in der Benutzerkonfiguration. Bin ich da richtig?
Die Listen ließen sich als *.txt exportieren.

Dieser Beitrag wurde von Joshua123 bearbeitet: 05. Mai 2017 - 12:49

0

#5 _d4rkn3ss4ev3r_

  • Gruppe: Gäste

geschrieben 05. Mai 2017 - 14:57

Meinst du mit SoftwarePolicy, http://iwrconsultanc.../softwarepolicy ?
Wenn ja, solltest du dir im Klaren sein das dieses Tool eingestellt wurde.
Weiterhin werden die dort vorgenommen Policys nicht in den GPOs von Windows angezeigt.

Informier dich erstmal bevor du mit solchen Einstellungen rum hantierst.
0

#6 Mitglied ist offline   Joshua123 

  • Gruppe: aktive Mitglieder
  • Beiträge: 30
  • Beigetreten: 29. Juli 10
  • Reputation: 0

geschrieben 05. Mai 2017 - 17:57

Zitat

Meinst du mit SoftwarePolicy, http://iwrconsultanc.../softwarepolicy ?

Ja, das ist das Tool. Tauchte vor ein paar Tagen bei einer Diskussion auf Heise auf, als jemand nach einer Opensourcealternative für den neuen Restric'tor von c't fragte.


Zitat

Wenn ja, solltest du dir im Klaren sein das dieses Tool eingestellt wurde.
Weiterhin werden die dort vorgenommen Policys nicht in den GPOs von Windows angezeigt.

Informier dich erstmal bevor du mit solchen Einstellungen rum hantierst.

Hatte mir vorher schon ein Backup gemacht.
Du würdest eher das Tool von c't empfehlen, bzw. händische Einstellung der GPO (falls Win7 Ultimate an Bord)? In der Disk gibt es Leute die sagen: Das bringt alles nix an zusätzlicher Sicherheit, wenn der Nutzer sowieso jemand ist, der nicht irgendwas blind drauflosinstalliert oder auf Links in mails klickt.
0

#7 _d4rkn3ss4ev3r_

  • Gruppe: Gäste

geschrieben 05. Mai 2017 - 18:30

Benutze lieber das Heise Tool.
Das bietet dir mehr Sicherheit und ist für aktuelle Systeme besser geeignet.

Zumal softwarepolicy einige Probleme mit sich bringt und dir dann eine Scheinsicherheit bietet.

Wenn du es am sichersten haben willst, nutze die Windows GPO Einstellungen. Dann musst du auch keinen fremden Code vertrauen
0

#8 Mitglied ist offline   Joshua123 

  • Gruppe: aktive Mitglieder
  • Beiträge: 30
  • Beigetreten: 29. Juli 10
  • Reputation: 0

geschrieben 05. Mai 2017 - 19:18

Hm, also weder das c't-tool, noch die SoftwarePolicy, weil beide fremder Code. Wie geht man denn vor, um anhand der Windows GPO Einstellungen alle aktuell nicht-installierte Fremdsoftware an der Ausführung zu hindern, bzw. nur die installierte zuzulassen?
0

#9 _d4rkn3ss4ev3r_

  • Gruppe: Gäste

geschrieben 05. Mai 2017 - 22:17

Einfach im Internet lesen. Gibt genug Anleitungen und Empfehlungen
0

Thema verteilen:


Seite 1 von 1

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0