none
Download von EXE-Dateien verhindern RRS feed

  • Frage

  • Hallo.

    Gibt es ein Möglichkeit zu verhindern das User EXE-Dateien herunterladen und auf dem System speichern können?

    Danke für jeden Hinweis.

    Gruss Ingo

    Montag, 25. April 2016 18:48

Antworten

  • Moin,

    "auf dem System" = "auf dem lokalen Client" + "auf Fileserver-Freigaben". Zweiteres kann man mit FSRM und FileScreen lösen. Ansonsten:

    1. auf dem Proxy /der Firewall blocken. Das ist die sicherste Lösung.
    2. den Client so zumachen, dass der User nur in seinem Profil speichern kann. Das Profil leitet man dann per Folder Redirection um, und auf dem betreffeneden Fileserver läuft FSRM mit einem FileScreen, der EXE blockt.
    3. ein lokal installiertes Produkt wie FolderGuard einsetzen, um das Speichern von EXE-Dateien im Dateisystem durch normale User zu verhindern. Manche Antivirus-Produkte können das auch

    Gruß


    Evgenij Smirnov

    msg services ag, Berlin -> http://www.msg-services.de

    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de

    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    Montag, 25. April 2016 19:04
  • Hi,
     
    Am 25.04.2016 um 20:48 schrieb Ingo Schneider:
    > Gibt es ein Möglichkeit zu verhindern das User EXE-Dateien herunterladen
    > und auf dem System speichern können?
     
    Nein. Nicht OS seitig.
    Du kannst Downloads generell unterbinden pro Zone per GPO, du kannst den
    "Datei speichern"-Dialog per GPO ausblenden.
    Dann können nur "eingebundene" Dateien geöffnet werden, zB PDFs, wenn
    das PDF Plugin entsprechend konfiguriert ist.
     
    Aber es ist kein Ausschluss anhand von Dateiliste möglich. An der Stelle
    ist ein System mit Intelligenz gefragt: Proxy Server inkl. aufbrechen
    der SSL Verbindungen
     Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Dienstag, 26. April 2016 10:41

Alle Antworten

  • Moin,

    "auf dem System" = "auf dem lokalen Client" + "auf Fileserver-Freigaben". Zweiteres kann man mit FSRM und FileScreen lösen. Ansonsten:

    1. auf dem Proxy /der Firewall blocken. Das ist die sicherste Lösung.
    2. den Client so zumachen, dass der User nur in seinem Profil speichern kann. Das Profil leitet man dann per Folder Redirection um, und auf dem betreffeneden Fileserver läuft FSRM mit einem FileScreen, der EXE blockt.
    3. ein lokal installiertes Produkt wie FolderGuard einsetzen, um das Speichern von EXE-Dateien im Dateisystem durch normale User zu verhindern. Manche Antivirus-Produkte können das auch

    Gruß


    Evgenij Smirnov

    msg services ag, Berlin -> http://www.msg-services.de

    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de

    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    Montag, 25. April 2016 19:04
  • Hallo.

    Danke für Deine Ratschläge. Es handelt sich um Terminalserver. Hauptsächlich 2008 R2.

    Unser Router kann das nicht. Proxy haben wir nicht und wollen wir auch nicht einsetzen.

    FSRM für uns nicht praktikabel, weil zu viele klein Fileserver.

    Gruss Ingo

    Dienstag, 26. April 2016 08:15
  • Hallo Ingo,

    du könntest das noch über eine Gruppenrichtlinie versuchen.
    Schau mal hier:

    Benutzerkonfiguration/Richtilinien/Administrative Vorlagen/Windows-Komponenten/Anlagen-Manager
    "Aufnahmeliste für Dateitypen mit hohem Risiko".

    Greift aber glaube ich nicht bei https Verbindungen.

    VG
    Stefan


    st_fbg

    Dienstag, 26. April 2016 08:59
  • Hallo Stefan.

    An so etwas hatte ich gedacht. HTTPS wäre egal, aber

    "Falls die Datei aus der Internetzone stammt, wird der Benutzer zum Bestätigen aufgefordert, bevor er auf die Datei zugreifen kann."

    Damit hilft es nicht.

    Gruss Ingo

    Dienstag, 26. April 2016 09:16
  • Hi Ingo,

    teste es doch mal mit "Standardrisikostufe für Dateianlagen" aktiviert und "hohes Risiko",
    "Vertrauenslogik für Dateianlagen" auf "Dateihandler und Typ überprüfen".
    Das sollte funktionieren.

    Das mit HTTPS wird unterschätzt, die meisten Seiten laufen mittlerweile über HTTPS.

    VG
    Stefan


    st_fbg

    Dienstag, 26. April 2016 09:24
  • Moin, das funktioniert natürlich nur mit IE und - so meine Erfahrung - auch da nicht ganz zuverlässig. Das musst Du sehr sorgfältig testen, bevor es ausgerollt wird. Außerdem verhindert diese Policy nicht das Herunterladen und Abspeichern, sondern nur den anschließenden Zugriff. Wie immer, YMMV

    Evgenij Smirnov

    msg services ag, Berlin -> http://www.msg-services.de

    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de

    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    Dienstag, 26. April 2016 10:00
  • Wir setzen nur den IE ein. Von daher wäre es kein Problem.

    Ich bin gerade bei dem Punkt "nicht ganz zuverlässig". Download geht. Zugriff auch. Muss mal ein bisschen damit spielen. Wie kann der IE den Zugriff auf eine Datei sperren wenn die schon am Desktop liegt? Oder habe ich da jetzt was falsch verstanden.

    Dienstag, 26. April 2016 10:34
  • Hi,
     
    Am 25.04.2016 um 20:48 schrieb Ingo Schneider:
    > Gibt es ein Möglichkeit zu verhindern das User EXE-Dateien herunterladen
    > und auf dem System speichern können?
     
    Nein. Nicht OS seitig.
    Du kannst Downloads generell unterbinden pro Zone per GPO, du kannst den
    "Datei speichern"-Dialog per GPO ausblenden.
    Dann können nur "eingebundene" Dateien geöffnet werden, zB PDFs, wenn
    das PDF Plugin entsprechend konfiguriert ist.
     
    Aber es ist kein Ausschluss anhand von Dateiliste möglich. An der Stelle
    ist ein System mit Intelligenz gefragt: Proxy Server inkl. aufbrechen
    der SSL Verbindungen
     Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Dienstag, 26. April 2016 10:41
  • Hallo Mark

    Ok. Dann versuche ich es gar nicht weiter.

    Doch ein Proxy. Eigentlich habe ich da gar keine Lust drauf.

    Gruss Ingo

    Dienstag, 26. April 2016 10:49
  • Hi,
     
    Am 26.04.2016 um 12:49 schrieb Ingo Schneider:
    > Ok. Dann versuche ich es gar nicht weiter.
    > Doch ein Proxy. Eigentlich habe ich da gar keine Lust drauf.
     
    Der Umweg von Evgenij wäre:
    Ordnerumleitung von Downloads in eine Share und auf der kannst du dann
    mit den Datei/Freigabeverwaltungstools von MS Dateiformate blocken.
     
    Das setzt aber voraus, daß die User IMMER(!) den Downloads Ordner
    verwenden ... nutzen sie %temp%, ist alles für die Katz ...
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Dienstag, 26. April 2016 13:45
  • Habe ich verstanden und hört sich gut. Die Standardordner eigene Dateien, Downloads, etc. sind eh auf ein Share umgeleitet. Von daher nicht mal zusätzliche Arbeit. Zugriff auf c: haben die User nicht. Nur von den von Dir genannten "Tools" habe ich noch nichts gehört und auch nichts gefunden.

    Gruss Ingo

     
    Dienstag, 26. April 2016 13:52
  • Hi Ingo,

    ich denke, Mark meint auch den FSRM, denn eine andere Screening-Möglichkeit gibt es IMHO in Windows nicht.

    Gruß


    Evgenij Smirnov

    msg services ag, Berlin -> http://www.msg-services.de

    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de

    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    Dienstag, 26. April 2016 13:56
  • Ich installiere es und schaue es mir mal an.

    Besten Dank

    Gruss Ingo

    Dienstag, 26. April 2016 13:58
  • > Danke für Deine Ratschläge. Es handelt sich um Terminalserver.
    > Hauptsächlich 2008 R2.
     
    AppLocker aktivieren, Whitelisting machen :-) Und eine Outbound-FW-Regel
    für rundll32.exe aktivieren mit "blockieren" -
    besser: Auch DLLs überwachen, aber das könnte Leistung kosten...)
     
    Dienstag, 26. April 2016 15:08
  • Hallo Evgenij.

    Funktioniert tadellos. Da habe ich aber eine Menge Arbeit vor mir. :)

    Gruss Ingo

    Dienstag, 26. April 2016 15:49
  • HallO Martin.

    Danke für den Tipp. FSRM macht zwar mehr Arbeit, schütz aber auch davor das EXE-Dateien von anderen Quellen auf die Server kopiert werden.

    Gruss Ingo

    Dienstag, 26. April 2016 15:52
  • Hi,
     
    Am 26.04.2016 um 15:56 schrieb Evgenij Smirnov:
    > ich denke, Mark meint auch den FSRM,
     
    Jupp.
     
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Dienstag, 26. April 2016 15:53
  • > das EXE-Dateien von anderen Quellen auf die Server kopiert werden.
     
    Naja, dass sie sich da befinden, ist ja zunächst mal nicht gefährlich -
    nur die Ausführung musst Du verhindern :)
     
    Mittwoch, 27. April 2016 11:02
  • Richtig, aber wenn der User gar keine EXE-Dateien hochkopieren kann, dann muss ich das Ausführen nicht verhindern. :)

    Gibt es ein Policy wo man sagen kann auf Laufwerk x: kein exe-Dateien ausführen?

    Die Dinger mit dem Namen zu sperren, das  haben wir schon durch. Da macht man aus einer Teamviewer.exe eine Team.exe und schon geht sie wieder.

    Gruss Ingo

    Mittwoch, 27. April 2016 11:10
  • Hallo Ingo!

    Gibt es ein Policy wo man sagen kann auf Laufwerk x: kein exe-Dateien ausführen?

    SoftwareRestrictionPolicy/Applocker  sollte da helfen können ;)

    Gruß TechnikSC885

    PS: SRP idealer Weise mit Whitelisting, sonst hast du da den selben Effekt
    --> User kopiert die Exe in ein nicht gesperrtes Verzeichnis und kann sie dort ausführen

    Mittwoch, 27. April 2016 11:18