Domänenbenutzer dürfen Batchdateien nur aus bestimmten Netzwerkordnern ausführen

Question

Windows 10 verfügt über zwei verschiedene Technologien, um Benutzer daran zu hindern, Batchdateien, ausführbare Dateien oder Apps auszuführen. Erstens gibt es die älterenRichtlinien zur Softwarebeschränkungzweitens gibt esApplocker

Seit Windows 10 1803 sind Softwareeinschränkungsrichtlinienveraltetund wird nicht mehr empfohlen, also beschränke ich mich auf Applocker.

Sie können Applocker-Richtlinien über GPO implementieren und damit Skripte/EXEs/Apps/DLLs einschränken oder zulassen

Sie müssen ein neues Gruppenrichtlinienobjekt erstellen, in dem Sie zu „Computerkonfiguration“ > „Richtlinien“ > „Windows-Einstellungen“ > „Sicherheitseinstellungen“ > „Richtlinien zur Anwendungssteuerung“ -> „Applocker“ navigieren müssen.

Durchsetzung

Als erstes musst du die „Regeldurchsetzung konfigurieren“, dort musst du den Haken bei „Skriptregeln“ setzen und kannst zwischen „Regeln erzwingen“ und „Nur prüfen“ entscheiden.

Mit „Regeln erzwingen“ wird der Computer gezwungen, die Regeln einzuhalten, während „Nur überwachen“ einfach ein Windows-Ereignis generiert, das angibt, ob die aktuellen Regeln die Ausführung von etwas blockieren oder zulassen. Es wird empfohlen, „Nur überwachen“ zu verwenden, bis klar ist, ob durch die Aktivierung der Regeln etwas Wichtiges beschädigt wird.

Regeln

Dort gibt es die verschiedenen Kategorien

Ausführbare Regeln
Regeln für Windows Installer
Skriptregeln
Regeln für gepackte Apps

In Ihrem Fall müssen Sie die Skriptregeln bearbeiten. Diese Regeln werden beispielsweise für ps1Dateien bat(mehr dazu finden Sie hier)

Wenn Sie einen Regelsatz zum ersten Mal bearbeiten, werden Sie gefragt, ob Sie denStandardregelnNormalerweise sollten diese Regeln nichts kaputt machen und können ohne große Bedenken hinzugefügt werden.

Applocker-Richtlinien schlagen standardmäßig fehlDies bedeutet, dass normale Anwendungsfälle blockiert werden, wenn Sie keine Richtlinien für diese definiert haben.

Anschließend können Sie eine neue Regel erstellen, indem Sie entweder mit der rechten Maustaste auf „Skriptregeln“ klicken und dann auf „Neue Regel erstellen…“ klicken.

Der Dialog zur Regelerstellung ist mehr oder weniger selbsterklärend. Sie möchten eine „Pfadregel“, die die Ausführung von Skripten von einem bestimmten Pfad aus ermöglicht.

Beachten Sie, dass \\serverund \\server.fqdn.comunterschiedliche Pfade sind

Applocker aktivieren

Damit Applocker überhaupt ausgeführt werden kann, müssen einige Bedingungen erfüllt sein.

Sie benötigen entweder Windows 10 Education oder Enterprise, wenn Sie es über GPO 1.1 verwalten möchten. Andernfalls können Sie Applocker weiterhin über Powershell verwalten.
Sie müssen den „Application Identity Service“ aktivieren und automatisch starten.

Answer 1

Windows 10 verfügt über zwei verschiedene Technologien, um Benutzer daran zu hindern, Batchdateien, ausführbare Dateien oder Apps auszuführen. Erstens gibt es die älterenRichtlinien zur Softwarebeschränkungzweitens gibt esApplocker

Seit Windows 10 1803 sind Softwareeinschränkungsrichtlinienveraltetund wird nicht mehr empfohlen, also beschränke ich mich auf Applocker.

Sie können Applocker-Richtlinien über GPO implementieren und damit Skripte/EXEs/Apps/DLLs einschränken oder zulassen

Sie müssen ein neues Gruppenrichtlinienobjekt erstellen, in dem Sie zu „Computerkonfiguration“ > „Richtlinien“ > „Windows-Einstellungen“ > „Sicherheitseinstellungen“ > „Richtlinien zur Anwendungssteuerung“ -> „Applocker“ navigieren müssen.

Durchsetzung

Als erstes musst du die „Regeldurchsetzung konfigurieren“, dort musst du den Haken bei „Skriptregeln“ setzen und kannst zwischen „Regeln erzwingen“ und „Nur prüfen“ entscheiden.

Mit „Regeln erzwingen“ wird der Computer gezwungen, die Regeln einzuhalten, während „Nur überwachen“ einfach ein Windows-Ereignis generiert, das angibt, ob die aktuellen Regeln die Ausführung von etwas blockieren oder zulassen. Es wird empfohlen, „Nur überwachen“ zu verwenden, bis klar ist, ob durch die Aktivierung der Regeln etwas Wichtiges beschädigt wird.

Regeln

Dort gibt es die verschiedenen Kategorien

Ausführbare Regeln
Regeln für Windows Installer
Skriptregeln
Regeln für gepackte Apps

In Ihrem Fall müssen Sie die Skriptregeln bearbeiten. Diese Regeln werden beispielsweise für ps1Dateien bat(mehr dazu finden Sie hier)

Wenn Sie einen Regelsatz zum ersten Mal bearbeiten, werden Sie gefragt, ob Sie denStandardregelnNormalerweise sollten diese Regeln nichts kaputt machen und können ohne große Bedenken hinzugefügt werden.

Applocker-Richtlinien schlagen standardmäßig fehlDies bedeutet, dass normale Anwendungsfälle blockiert werden, wenn Sie keine Richtlinien für diese definiert haben.

Anschließend können Sie eine neue Regel erstellen, indem Sie entweder mit der rechten Maustaste auf „Skriptregeln“ klicken und dann auf „Neue Regel erstellen…“ klicken.

Der Dialog zur Regelerstellung ist mehr oder weniger selbsterklärend. Sie möchten eine „Pfadregel“, die die Ausführung von Skripten von einem bestimmten Pfad aus ermöglicht.

Beachten Sie, dass \\serverund \\server.fqdn.comunterschiedliche Pfade sind

Applocker aktivieren

Damit Applocker überhaupt ausgeführt werden kann, müssen einige Bedingungen erfüllt sein.

Sie benötigen entweder Windows 10 Education oder Enterprise, wenn Sie es über GPO 1.1 verwalten möchten. Andernfalls können Sie Applocker weiterhin über Powershell verwalten.
Sie müssen den „Application Identity Service“ aktivieren und automatisch starten.

Domänenbenutzer dürfen Batchdateien nur aus bestimmten Netzwerkordnern ausführen

Antwort1

Durchsetzung

Regeln

Applocker aktivieren

verwandte Informationen