WinFuture-Forum.de: .EXE blockieren per GPO - WinFuture-Forum.de

Zum Inhalt wechseln

Seite 1 von 1

.EXE blockieren per GPO Anwendungen per GPO blockieren (nicht AppLocker)


#1 Mitglied ist offline   Reggie 

  • Gruppe: Mitglieder
  • Beiträge: 1
  • Beigetreten: 19. Mai 22
  • Reputation: 0

geschrieben 19. Mai 2022 - 15:31

Hallo Zusammen :)

Ich muss eine GPO erstellen, welche das starten von gewissen Anwendungen verhindert/blockiert!
Z. B. TeamViewer.exe

Die GPO ist bereits erstellt und funktioniert eigentlich auch. Allerdings können die Anwendungen weiterhin per CMD oder PowerShell gestartet werden. Über den FileExplorer können die Anwendungen nicht mehr gestaret werden. CMD und PowerShell sollen selber nicht blockiert werden, aber das starten von Anwendungen aus der CMD oder PowerShell. Nicht wundern ich musste das Loopback aktivieren, da wir keine User Konfiguraitonen auf dem Server haben, die User beziehen ihre Rechte über die GPO der OU.

Bei Rückfragen gerne auf mich zukommen.
Zwei Bilder befinden sich im Anhang.

Angehängte Miniaturbilder

  • Angehängtes Bild: 2022-05-19 16_19_40.png
  • Angehängtes Bild: 2022-05-19 16_24_10.png

0

Anzeige



#2 Mitglied ist offline   Stefan_der_held 

  • Gruppe: Offizieller Support
  • Beiträge: 14.001
  • Beigetreten: 08. April 06
  • Reputation: 788
  • Geschlecht:Männlich
  • Wohnort:Dortmund NRW
  • Interessen:Alles wo irgendwie Strom durchfließt fasziniert mich einfach weswegen ich halt Elektroinstallateur geworden bin :)

geschrieben 19. Mai 2022 - 17:45

Watt spricht dagegen, dass die genannten "umgehungsmöglichkeiten" ebenso gesperrt werden?

Im allgemeinen würde ich sowas nicht wirklich über selbstkonfigurierte GPOs machen sondern auf eine Firmen-AV-Lösung zurückgreifen die dies unterstützt.

Glaube mir: Das macht vieles einfacher. Auch wenn später mal irgendwas modifiziert werden muss.
0

#3 Mitglied ist offline   Stef4n 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.003
  • Beigetreten: 20. August 18
  • Reputation: 196
  • Geschlecht:Männlich
  • Wohnort:RLP ~Mainz
  • Interessen:pc

geschrieben 19. Mai 2022 - 20:17

Ich stimme hier Stefan dem Helden uneingeschränkt zu. AV Lösungen können das etwas besser, weil die ja in der Regel im Hintergrund laufen und entsprechende Wächter laufen haben. Als ich noch ESET im Business betreut habe wäre das ohne weiteres möglich gewesen und hätte auch an zentraler Stelle eingerichtet werden können, ähnlich wie ein GPO im AD.

Vielleicht sollte man hier noch die Frage stellen wieso Teamviewer denn überhaupt auf den Rechnern ist, wenn es nicht ausgeführt werden darf. Und welche User sind so pfiffig Teamviewer über die CMD/PS aufzurufen? Da muss ja schon eine gewisse Energie bei den Anwendern stecken, dass es ihnen so wichtig ist das Programm zu nutzen. :-D
... aber bitte vorher ein Backup machen! ;-)
0

#4 Mitglied ist offline   CaNNoN 

  • Gruppe: aktive Mitglieder
  • Beiträge: 409
  • Beigetreten: 16. November 05
  • Reputation: 61

geschrieben 19. Mai 2022 - 21:43

um die sache mit der cmd zu umgehen.. was ist wenn wir uns eines kleinen hacks bedienen? ich denke da an die image file execution options..

erstell folgenden schluessel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\teamviewer.exe


dort dann den key "Debugger" erstellen und dessen wert setzt du z.b. auf notepad.exe

im grunde muesste sich dann notepad oeffnen wenn jemand versucht teamviewer.exe auszufuehren.

ist nur die frage ob dich dein AV das ueberhaupt setzen laesst.

ansonsten noch ein paar ideen, die vllt. funktionieren:
a) du blockierst die teamviewer ip adressen auf der firewall
b) du deaktivierst den teamviewer windows-dienst
c) du loescht und sperrst die registry-schluessel von teamviewer
d) du legst einen automatischen task an der alle x minuten ein pskill teamviewer.exe ausfuehrt
e) du entziehst dem teamviewer-installationsverzeichnis alle ausfuehrungsrechte
f) du installierst teamviewer bewusst, deaktivierst das random password und setzt ein eigenes

Dieser Beitrag wurde von CaNNoN bearbeitet: 19. Mai 2022 - 21:51

0

Thema verteilen:


Seite 1 von 1

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0