exe file blokkeren

[delpa]

Hallo,
In een domein van windows 2003 server, wil ik via de group-policy het de domeingebruikers (cliënts) onmogelijk maken om exe bestanden te installeren.
Wie kan mij vertellen waar ik dit in de grouppolicy kan vinden?
Of heeft iemand een andere oplossing om het uitvoeren van exe bestanden te blokkeren?
groeten Paul.

 

[dnties]

Kijk, voor installeren moeten de domeingebruikers administrator-rechten hebben. Dat is dus al geregeld, want dat hebben domeingebruikers niet.

Het blokkeren van (bepaalde) .exe bestanden kan met verschillende manieren. Makkelijkste manier is het aangeven welke bestanden niet mogen worden uitgevoerd via een group policy.
User configuration -> Administrative Templates -> System -> "Don't run specified Windows programs" -> [Zet die op Enabled en geef een lijst van programma's in die je niet wilt dat uitgevoerd worden.]

Zo een paar voorbeelden die ik met deze policy uitsluit:
tsadmin.exe
ntbackup.exe
msconfig.exe
powercfg.exe
dcpromo.exe

Let wel op: Het gaat hier om programma's die via Verkenner worden gestart, niet om programma's die vanuit cmd.exe worden gestart. Natuurlijk kun je ook cmd.exe blokkeren.

Er zijn nog andere mogelijkheden, zoals het maken van Hash rules, waarmee bepaalde bestanden op basis van hun 'checksum' (=hash) worden uitgesloten of (in jouw geval zinvoller, denk ik) Path rules.
Je kunt Hash (en andere) software beveiligingsregels aanmaken in Computer configuration -> Windows Settings -> Security Settings -> Software restriction policies. Rechtsklik dan op Additional rules, en kies (bijv.) New Hash rule of New Path rule

Succes,

Tijs.