WinFuture-Forum.de: .EXE blockieren per GPO - WinFuture-Forum.de

Hallo Zusammen

Ich muss eine GPO erstellen, welche das starten von gewissen Anwendungen verhindert/blockiert!
Z. B. TeamViewer.exe

Die GPO ist bereits erstellt und funktioniert eigentlich auch. Allerdings können die Anwendungen weiterhin per CMD oder PowerShell gestartet werden. Über den FileExplorer können die Anwendungen nicht mehr gestaret werden. CMD und PowerShell sollen selber nicht blockiert werden, aber das starten von Anwendungen aus der CMD oder PowerShell. Nicht wundern ich musste das Loopback aktivieren, da wir keine User Konfiguraitonen auf dem Server haben, die User beziehen ihre Rechte über die GPO der OU.

Bei Rückfragen gerne auf mich zukommen.
Zwei Bilder befinden sich im Anhang.

Watt spricht dagegen, dass die genannten "umgehungsmöglichkeiten" ebenso gesperrt werden?

Im allgemeinen würde ich sowas nicht wirklich über selbstkonfigurierte GPOs machen sondern auf eine Firmen-AV-Lösung zurückgreifen die dies unterstützt.

Glaube mir: Das macht vieles einfacher. Auch wenn später mal irgendwas modifiziert werden muss.

Ich stimme hier Stefan dem Helden uneingeschränkt zu. AV Lösungen können das etwas besser, weil die ja in der Regel im Hintergrund laufen und entsprechende Wächter laufen haben. Als ich noch ESET im Business betreut habe wäre das ohne weiteres möglich gewesen und hätte auch an zentraler Stelle eingerichtet werden können, ähnlich wie ein GPO im AD.

Vielleicht sollte man hier noch die Frage stellen wieso Teamviewer denn überhaupt auf den Rechnern ist, wenn es nicht ausgeführt werden darf. Und welche User sind so pfiffig Teamviewer über die CMD/PS aufzurufen? Da muss ja schon eine gewisse Energie bei den Anwendern stecken, dass es ihnen so wichtig ist das Programm zu nutzen. :-D

um die sache mit der cmd zu umgehen.. was ist wenn wir uns eines kleinen hacks bedienen? ich denke da an die image file execution options..

erstell folgenden schluessel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\teamviewer.exe

dort dann den key "Debugger" erstellen und dessen wert setzt du z.b. auf notepad.exe

im grunde muesste sich dann notepad oeffnen wenn jemand versucht teamviewer.exe auszufuehren.

ist nur die frage ob dich dein AV das ueberhaupt setzen laesst.

ansonsten noch ein paar ideen, die vllt. funktionieren:
a) du blockierst die teamviewer ip adressen auf der firewall
b) du deaktivierst den teamviewer windows-dienst
c) du loescht und sperrst die registry-schluessel von teamviewer
d) du legst einen automatischen task an der alle x minuten ein pskill teamviewer.exe ausfuehrt
e) du entziehst dem teamviewer-installationsverzeichnis alle ausfuehrungsrechte
f) du installierst teamviewer bewusst, deaktivierst das random password und setzt ein eigenes

Dieser Beitrag wurde von CaNNoN bearbeitet: 19. Mai 2022 - 21:51