Ich unterrichte Programmieren in Visual Studio. Wir wollen es auf einem Terminalserver ausführen. Das Problem ist, dass Windows sich weigert, die erstellte EXE-Datei zu starten, wenn wir unsere Programme kompilieren. (Ich wusste nicht einmal, dass es die Möglichkeit gibt, alle EXE-Dateien zu blockieren. Und das ist nicht sehr lustig, wenn wir programmieren.) Es wird ein Meldungsfeld angezeigt, das besagt, dass die Ausführung von EXE-Dateien durch die Gruppenrichtlinie blockiert wird. Dies gilt sowohl für .NET- als auch für einfache Win32-EXE-Programme. Das Problem ist, dass unsere IT-Administratoren sagen, sie wüssten nicht, warum das passiert und wie man die Blockierung abschalten kann. Kann jemand helfen?
Antwort1
Zunächst einmal hoffe ich, dass Ihr Terminalserver eine virtuelle Maschine ist. Bevor Sie fortfahren, stellen Sie sicher, dass Sie einen sauberen Snapshot der VM haben. Einer Ihrer Schüler wird die Möglichkeit ausnutzen, beliebige Anwendungen auszuführen und Ihren Server zu ruinieren. Sie sollten regelmäßig auf den Snapshot zurückgreifen und immer sofort zurückgreifen, bevor Sie Patches anwenden oder Software installieren oder aktualisieren. Erstellen Sie anschließend einen Snapshot, aber bevor jemand den Server verwenden kann. Auf diese Weise müssen Sie, wenn jemand Ihren Server ruiniert, nur den Snapshot wiederherstellen.
Es gibt mehrere Möglichkeiten, die Ausführung von Programmen einzuschränken.
In der Gruppenrichtlinie müssen zwei Bereiche überprüft werden
Policies -> Windows Settings -> Security Settings:Application Control PoliciesundSoftware Restriction Policies.Dort befindet sich auch der
RestrictRunRegistrierungsschlüssel.Und schließlich können Anwendungen von Drittanbietern den Registrierungsschlüssel verwenden
Appinit_DLLs.
Antwort2
Alle exe-Dateien, also calc.exe, notepad.exe und explorer.exe oder nur einige exe-Dateien? Hierfür gibt es verschiedene Ansätze.
Wenn Sie versuchen, eine einzelne ausführbare Datei zu blockieren, mit der Sie vertraut sind, können Sie sie über eine Gruppenrichtlinie mit der Einstellung „Benutzerkonfiguration/Administrative Vorlagen/System/Angegebene Windows-Anwendungen nicht ausführen“ deaktivieren.
Eine andere Möglichkeit besteht darin, nur die Anwendungen anzugeben, die Sie zulassen möchten. Verwenden Sie dazu „Benutzerkonfiguration/Administrative Vorlagen/System/Nur bestimmte Windows-Anwendungen ausführen“. Dies wäre bei einem System mit vielen installierten Anwendungen oder in einer Unternehmensumgebung wahrscheinlich sehr aufwändig einzurichten.
Keine der beiden genannten Einstellungen berücksichtigt, dass ein Benutzer seiner EXE-Datei einen beliebigen Namen geben kann. Durch die Umbenennung von mydangerousapp.exe in explorer.exe würde diese also zu einer vollkommen legitimen ausführbaren Datei werden.