Deaktivieren von Windows-Spielen / -Software über GPO-Softwarebeschränkungen - Wie Man

Deaktivieren von Windows-Spielen / -Software über GPO-Softwarebeschränkungen

Manchmal müssen Sie nur den Zugriff auf bestimmte Programme und Ordner für die Ausführung in Ihrem Netzwerk deaktivieren. Mithilfe einer Gruppenrichtlinie können Sie den Zugriff auf diese Objekte nach Dateiname / Pfadname, Hashwert usw. deaktivieren.

Hier ist Microsofts Klatsch:

Administratoren können Softwareeinschränkungsrichtlinien verwenden, um die Ausführung von Software zuzulassen. Durch Verwendung einer Softwareeinschränkungsrichtlinie kann ein Administrator verhindern, dass unerwünschte Programme ausgeführt werden. Dazu gehören Viren und Trojaner-Software oder andere Software, von der bekannt ist, dass sie Probleme verursacht.

Für unser Beispiel hier deaktivieren wir den Zugriff auf die integrierte Freecell.

Ich fasse dies als eine kurze Zusammenfassung des ausführlicheren technischen Artikels zusammen (und auch um ihn auf eine reale Situation anzuwenden).

8 Schritte insgesamt

Schritt 1: Grundierung: Regeltypen

Für die Software-Richtlinieneinschränkungen stehen vier Methoden (oder "Regeln") zur Verfügung, mit denen Sie die Ausführung von Programmen blockieren können:

* Zertifikate
* Hash
* Internetzone
* Pfad

Weitere Informationen zu jeder dieser Regeln, wiederum von Microsoft:

* Hash - Bei einer Hash-Regel listet der Administrator die zu blockierende oder explizit zulässige Programmdatei auf. Es wird gehasht, was zu einem kryptografischen Fingerabdruck führt, der unabhängig vom Dateinamen oder Speicherort gleich bleibt. Sie können diese Methode verwenden, um die Ausführung einer bestimmten Version eines Programms zu verhindern oder um zu verhindern, dass ein Programm ausgeführt wird, egal wo es sich befindet.

* Zertifikat - Sie können Zertifikatregeln erstellen, indem Sie ein Herausgeberzertifikat für Codesignierungssoftware bereitstellen. Wie die Hash-Regeln gelten auch die Zertifikatsregeln, unabhängig davon, wo sich die Programmdatei befindet oder wie sie benannt ist.

* Pfad - Pfadregeln gelten für alle Programme, die über den angegebenen lokalen oder Netzwerkpfad oder über Unterordner im Pfad ausgeführt werden.

* Internetzone - Mithilfe der Internetzonenregeln können Sie Richtlinienregeln für Softwareeinschränkungen basierend auf der Microsoft Internet Explorer-Sicherheitszone anwenden, in der das Programm ausgeführt wird. Derzeit gelten diese Regeln nur für Microsoft Windows Installer-Pakete, die in der Zone ausgeführt werden. Internetzonenregeln gelten nicht für Programme, die von Internet Explorer heruntergeladen werden.

In unserem Beispiel bleibe ich bei der Hash-Regel. Unabhängig davon, wo sich das Programm auf dem PC befindet, wird es immer noch nicht ausgeführt. Sie können einen hybriden Ansatz mit der Pfadregel verwenden, um verschiedene Versionen eines bestimmten Programms abzufangen. Dies kann jedoch etwas langwierig sein.

Schritt 2: Öffnen Sie den Gruppenrichtlinien-Manager. Benennen Sie Ihre Richtlinie


Der erste Schritt ist das Öffnen der GPO-MMC. Wenn dies auf Ihrer Arbeitsstation nicht angezeigt wird, müssen Sie möglicherweise die Datei Adminpak.msi im Ordner Server CD i386 installieren. Dadurch werden alle erforderlichen DLLs installiert, um die GPO-MMC (und andere) verwenden zu können.

Hinweis: Möglicherweise müssen Sie auch die aktualisierte Gruppenrichtlinien-Verwaltungskonsole mit SP1 von Microsoft beziehen. Dies ist eine etwas poliertere Version der Konsole.

Wenn Sie die GPO-Konsole geöffnet haben, erweitern Sie "Gruppenrichtlinienverwaltung"> "Gesamtstruktur xxxx (wobei" xxxx "für Ihre Domäne steht)>" Domänen ". Klicken Sie mit der rechten Maustaste auf "Gruppenrichtlinienobjekte"> "Neu".

Wenn Sie dazu aufgefordert werden, geben Sie Ihrer neuen Richtlinie einen Namen (meine ist "Test").

Schritt 3: Entscheiden, Richtlinien auf Benutzer oder Computer anzuwenden?

Es ist an der Zeit, dass Sie eine Entscheidung treffen. Sie können auswählen, ob Sie diese Richtlinie auf Benutzer- oder Computerobjekte anwenden möchten. Wenn Sie möchten, dass es für beide gilt, müssen Sie die Einstellungen für beide erstellen (Sie können dies in derselben Richtlinie tun).

In unserem Beispiel gelten wir für 'Benutzerobjekte'.

Schritt 4: Erstellen Sie die Richtlinie


Ich muss dies auf meine Benutzerobjekte anwenden. Wenn der Gruppenrichtlinien-Editor angezeigt wird, müssen wir 'Benutzerkonfiguration'> 'Windows-Einstellungen'> 'Sicherheitseinstellungen' erweitern.

Wenn Sie eine Richtlinie für Computerobjekte erstellen, navigieren Sie zu "Computerkonfiguration"> "Windows-Einstellungen"> "Sicherheitseinstellungen".

Wenn dies eine brandneue Richtlinie ist, sollte die folgende Meldung angezeigt werden:

"Keine Softwareeinschränkungsrichtlinien definiert. Für diese Gruppenrichtlinie sind noch keine Softwareeinschränkungsrichtlinien definiert. Sie können solche Richtlinien definieren, aber sie überschreiben Richtlinien, die von übergeordneten Objekten definiert werden. Um Softwareeinschränkungsrichtlinien zu definieren, klicken Sie im Admin-Menü auf Neue Richtlinien erstellen . "

Klicken Sie mit der rechten Maustaste auf "Richtlinien für Softwareeinschränkungen"> "Neue Richtlinien erstellen".

Schritt 5: Erstellen Sie die Regel


Doppelklicken Sie im rechten Bereich (oder unter "Sicherheitseinstellungen" im linken Bereich) auf "Zusätzliche Regeln".

Wenn die Liste der Regeln angezeigt wird - es sollten bereits vier definiert sein - klicken Sie mit der rechten Maustaste in den rechten Bereich und klicken Sie auf "Neue Hash-Regel".

Schritt 6: Geben Sie die Details Ihrer Regel an


Es erscheint ein Dialogfeld "Neue Hash-Regel".

In diesem Feld können Sie nach der betreffenden Datei suchen (entweder auf Ihrem System oder über das Netzwerk). Der Datei-Hash wird berechnet, nachdem Sie Ihre Datei ausgewählt haben. Die Informationen werden automatisch abgerufen und in das Textfeld 'Dateiinformationen' eingefügt. Wenn diese Informationen nicht vorhanden sind, können Sie sie manuell eingeben.

In unserem Beispiel beschränken wir uns auf 'Freecell'.

Darunter können Sie die Sicherheitsstufe auf "Nicht zulässig" oder "Nicht eingeschränkt" festlegen. Möglicherweise möchten Sie "Nicht eingeschränkt", wenn Sie alles blockieren und einige Ausnahmen erstellen möchten.

Schließlich können Sie im Feld Beschreibung den gewünschten Text eingeben.

Wenn Sie auf "OK" klicken, wird die Regel auf dieses Gruppenrichtlinienobjekt angewendet.

Schritt 7: Überprüfen Sie die Regelerstellung


Jetzt sollte Ihre neue Regel in der Liste der Regeln in Ihrer Richtlinie angezeigt werden.

Schritt 8: Wenden Sie Ihr GPO auf eine Organisationseinheit an


Der letzte Schritt besteht darin, dieses Gruppenrichtlinienobjekt auf eine Organisationseinheit anzuwenden, die Benutzerobjekte enthält. Klicken Sie dazu mit der rechten Maustaste auf die betreffende Organisationseinheit> 'Vorhandenes Gruppenrichtlinienobjekt verknüpfen'. Sobald dieses Gruppenrichtlinienobjekt angewendet wurde, sollte es automatisch aktualisiert werden (die Standardzeit beträgt 90 Minuten), wodurch der Zugriff auf die von Ihnen angegebenen Programme nicht möglich ist.

Wenn Sie den GP-Aktualisierungsvorgang auf einem bestimmten Computer beschleunigen möchten, können Sie 'GPUpdate / force' auf dem betreffenden Computer ausführen.

Nicht sicher, ob die Richtlinie richtig angewendet wird? Führen Sie 'GPResult' auf der Box aus und erhalten Sie eine detaillierte Ausgabe der angewendeten Richtlinien und Einstellungen für den angemeldeten Benutzer und Computer.

Wenn Ihr Benutzer nun versucht, ein eingeschränktes Programm auszuführen, wird eine Meldung wie die folgende angezeigt:

"Windows kann das Programm nicht öffnen, da es durch eine Richtlinie für Softwareeinschränkungen verhindert wurde. Weitere Informationen erhalten Sie, indem Sie die Ereignisanzeige öffnen oder sich an Ihren Systemadministrator wenden."

Wenn Sie weiterhin Probleme mit einigen Personen haben, die in der Lage sind, freecell usw. auszuführen, müssen Sie möglicherweise eine neue Regel erstellen, die ihre ausführbare Datei als Basisdatei verwendet, da sie möglicherweise eine andere Version hat als die, für die Sie die Regel erstellt haben.

Zu Ihrer Information: Sie möchten umfangreiche Tests mit einem Testcomputer und / oder einer Organisationseinheit durchführen.

Wie Sie sehen, kann die Verwendung von GPOs Ihnen helfen, den Zugriff auf Programme oder Ordner auf Ihren Clientcomputern zu steuern, dies ist jedoch nicht narrensicher. Wenn weiterhin Probleme mit Benutzern auftreten, die Videospiele, nicht lizenzierte oder generell nicht autorisierte Software einbringen, wird dieses Problem durch keine Beschränkung der GPO gelöst. Sie müssen sich an die Personalabteilung oder das Management wenden, um durchsetzbare Richtlinien für akzeptable Verwendung zu erstellen.