Aug 11, 2023

1924

GPO: Ausführung nur von signierten Dateien zulassen

Hallo,

ich will vielleicht die o. g. Einstellung anwenden.
Wenn ich das richtig sehe, werden nur noch signierte Programme von Anwender gestartet werden können.
Das sollte doch problemlos sein gehen, wenn man MS Office, Firefox & Co nutzt und nicht irgendwelche exotischen Programme von kleinen Softwarehäusern?

Please also mark the comments that contributed to the solution of the article

Content-Key: 8111162151

Url: https://administrator.de/contentid/8111162151

Printed on: April 28, 2024 at 01:04 o'clock

15 Comments

Latest comment

Hallo,

denke das ist es wonach du suchst

learn.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/user-account-control-only-elevate-executables-that-are-signed-and-validated

LG

Das kenn ich schon und beantwortet nicht die Frage, wie gut das läuft

Wir wissen nicht, was du nutzt. Office und Firefox wird nicht alles sein, was du benötigst.
Du könntest ein Skript nutzen, dass deinen jetzigen Rechner nach .exe durchsucht und dann bei allen Funden schaut, ob digital signiert. Das googlest Du dir in 2 Minuten.

Beispielcode, auszuführen auf einer elevated powershell:

$exesigs = (gci "C:\program files\*.exe" -recurse | Get-AuthenticodeSignature | select -property status,path)  
foreach ($exesig in $exesigs) {if ($exesig.status -ne "Valid") {write-host $exesig.path traegt keine gueltige digitale Signatur}}  

Mir ging es eher um Erfahrungswerte.
Aber da es eh nur ein Problem bei Adminauführung gäbe, ist die Wahrscheinlichkeit klein.

Die Einstellung ist aus dem Bereich Hochsicherheit. Normalerweise macht man sich das Leben nicht so schwer. Viele Anwendungen sind unsigniert, selbst windowsintern.

Bei uns wird das derzeit eingeführt. Allerdings nicht nur Programme, auch Scripte werden kommend nur noch signiert ausführbar sein (Batch damit gar nicht mehr). Sobald das erste Erfahrungen gibt, teile ich die gerne.

PS: Die Richtlinie greift bei uns allerdings nur außerhalb von \Windows und \Programme[...], da Nutzer darin ohnehin keine Schreibrechte haben.

Zitat von @incisor2k:

Bei uns wird das derzeit eingeführt. Allerdings nicht nur Programme, auch Scripte werden kommend nur noch signiert ausführbar sein (Batch damit gar nicht mehr). Sobald das erste Erfahrungen gibt, teile ich die gerne.

guter Hinweis

PS: Die Richtlinie greift bei uns allerdings nur außerhalb von \Windows und \Programme[...], da Nutzer darin ohnehin keine Schreibrechte haben.

Wie macht man das denn oder was meinst du genau?

Das könnte man mit Applocker machen, der kennt sowohl Signaturen als auch Pfadunterscheidung.

Wahrscheinlich werde ich es anders machen, für Domain-Admins gibt es eine Ausnahme.
Und du schiebst mal an anderer Stelle von Problemem mit Applocker, wenn man nicht Enterprise hat.

Du wirst dich aber hoffentlich nicht als DomAdmin an den Clients anmelden wollen?!

Doch, um nach Updates zu checken, und nein, wir haben keinen WSUS.

Ok, dann nur noch ein kleiner Hinweis und dann lass ichs auch mit dem Off-Topic.

Privileged Access Model

Spielt keine große Rolle, da es eh eine Samba-ADS-Domain ist.

Aber dennoch, ich wollte da mal dran; ich hab diese Sache mal ausgelagert:
Automatischer lokaler Admin

Es gibt keine Probleme mit Applocker auf Pro. Und den Domadmin zu nutzen, dass lass an Clients ganz schnell sein.
Mein Ansatz: Sicherer Umgang mit Supportkonten

German Question Microsoft Windows Server Security Basics

Hotly discussed

Developer diary: Release 6.1admtech

End of availability for classic Teams clientDani