Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

[XP-SP2] definieer te starten apps

Pagina: 1
Acties:

zondag 27 maart 2005 20:58

Acties:
  • Goost
  • Registratie: Juni 2002
  • Niet online

Goost

Topicstarter
Hallo,

Ik ben op zoek naar een methode om ervoor te zorgen dat alleen applicaties, welke geauthentiseerd zijn, vanaf een laptop mogen worden opgestart. In het verleden had Thunderbyte Antivirus de mogeijkheid op anti-vir.dat bestanden te maken waarin elke applicatie stond vermeld, zoals initieel gedefinieerd. Alleen applicaties die in dit .dat bestand stond vermeld, kon worden gestart. Ik ben nu op zoek naar een applicatie die iets soortgelijks kan, zodat we mensen die een laptop hebben, deze mee naar huis kunnen laten nemen en dat ze thuis geen nieuwe onbekende programma's kunnen starten/installeren. Het is nl. wel wenselijk dat ze toegang hebben tot de CD-ROM, ondanks dat we dat liever als systeembeheerders hebben.

zondag 27 maart 2005 21:00

Acties:
  • spone
  • Registratie: Mei 2002
  • Niet online

spone

Persoon een gastaccount geven voor het lokaal aanmelden?

i5-14600K | 32GB DDR5-6000 | RTX 5070 - MacBook Pro M1 Pro 14" 16/512

zondag 27 maart 2005 21:02

Acties:
  • Goost
  • Registratie: Juni 2002
  • Niet online

Goost

Topicstarter
Gebruiker moet onder dezlefde naam inloggen als hij/zij inlogt op het netwerk. Op die manier heeft de gebruiker beschikking over zijn offline bestanden en offline mail (Outlook).

zondag 27 maart 2005 21:07

Acties:
  • spone
  • Registratie: Mei 2002
  • Niet online

spone

Er moet wel zoiets mogelijk zijn, wat jij ook al dacht. Ik neem aan dat zowel thuis als op het werk hetzelfde beleid moet gelden? Dan ga ik eens voor je zoeken in groepsbeleid, of ik iets interessant tegenkom ;)

edit: na wat zoeken kom ik http://msdn.microsoft.com.../library/en-us/gp/206.asp tegen.
Run only allowed Windows applications
User Configuration\Administrative Templates\System

Description
Limits the Windows programs that users have permission to run on the computer.

If you enable this policy, users can only run programs that you add to the List of Allowed Applications in this policy.

Note

This policy only prevents users from running programs that are started by the Windows Explorer process. It does not prevent users from running programs such as Task Manager, which are started by the system process or by other processes. Also, if users have access to the command prompt, Cmd.exe, this policy does not prevent them from starting programs in the command window that they are not permitted to start by using Windows Explorer.

When both the Run only allowed Windows applications policy and the Don't run specified Windows applications policy are enabled, they are both applied. Users can only run the programs listed in the Run only allowed Windows applications policy. However, if a program in that list is prohibited by the Don't run specified Windows applications policy, it does not run.
Precies wat je zoekt lijkt mij :)

[ Voor 76% gewijzigd door spone op 27-03-2005 21:12 ]

i5-14600K | 32GB DDR5-6000 | RTX 5070 - MacBook Pro M1 Pro 14" 16/512

zondag 27 maart 2005 21:18

Acties:
  • Goost
  • Registratie: Juni 2002
  • Niet online

Goost

Topicstarter
Spone, bedankt voor je snelle reactie. Ik heb inderdaad ook wel over GPO's zitten te denken.

Het probleem is volgens mij dan nog dat een gebruiker, als hij inlogt, een loginscript krijgt, dat een CMD-bestand is. Naar mijn idee wordt hierbij gebruik gemaakt van CMD.exe. Als dit niet zo is, kan ik d.m.v. rechten op CMD.exe voorkome,n dat de gebruiker vanuit de verkenner, welke hij/zij wel moet kunnen starten, CM D.exe kan starten.

Als een gebruiker CMD.exe wel moet kunnen starten voor het verwerken van het loginscript, dan kan hij/zij de bovenvermelde policy dus omzeilen.

Een applicatie die de boel dichtzet, kan eventueel ook monitoren wat er geprobeerd wordt te starten. Het is dan ook wenselijk dat een dergelijke applicatie, zodra de laptop weer in het netwerk hangt, op basis van voorgedefinieerde regels al dan niet een alert stuurt naar de systeembeheerders, o.v.v. een beschrijving wat er is gebeurd.

[ Voor 36% gewijzigd door Goost op 27-03-2005 21:49 ]

zondag 27 maart 2005 21:41

Acties:
  • spone
  • Registratie: Mei 2002
  • Niet online

spone

Maar werkt dat loginscript ook off-site? Tenminste...ik gooi mn loginscripts altijd op mn DC.

[ Voor 40% gewijzigd door spone op 27-03-2005 21:42 ]

i5-14600K | 32GB DDR5-6000 | RTX 5070 - MacBook Pro M1 Pro 14" 16/512

zondag 27 maart 2005 21:43

Acties:
  • Goost
  • Registratie: Juni 2002
  • Niet online

Goost

Topicstarter
spone schreef op zondag 27 maart 2005 @ 21:41:
Maar werkt dat loginscript ook off-site? Tenminste...ik gooi mn loginscripts altijd op mn DC.
Nee, de loginscripts staan in de NETLOGON-share van de DC

zondag 27 maart 2005 23:04

Acties:
  • spone
  • Registratie: Mei 2002
  • Niet online

spone

Goost schreef op zondag 27 maart 2005 @ 21:18:
Spone, bedankt voor je snelle reactie. Ik heb inderdaad ook wel over GPO's zitten te denken.

Het probleem is volgens mij dan nog dat een gebruiker, als hij inlogt, een loginscript krijgt, dat een CMD-bestand is. Naar mijn idee wordt hierbij gebruik gemaakt van CMD.exe. Als dit niet zo is, kan ik d.m.v. rechten op CMD.exe voorkome,n dat de gebruiker vanuit de verkenner, welke hij/zij wel moet kunnen starten, CM D.exe kan starten.

Als een gebruiker CMD.exe wel moet kunnen starten voor het verwerken van het loginscript, dan kan hij/zij de bovenvermelde policy dus omzeilen.
Eventueel kan je cmd.exe blokkeren en dan iets gaan doen met winbatch of het gratis programma AutoIt. Deze laatste heb ik zelf geprobeerd en die werkt best makkelijk. Ik weet niet hoe ingewikkeld je logon scripts zijn, maar bij mij houdt het niet veel meer in dan wat tempmappen leeggooien en een paar drives mappen. Houd trouwens in je hoofd dat aanmeldscripts niet per sé .bat of .cmd files hoeven te zijn (als ik me niet vergis). Desnoods kan je nog aan de gang met vbs files :D
Een applicatie die de boel dichtzet, kan eventueel ook monitoren wat er geprobeerd wordt te starten. Het is dan ook wenselijk dat een dergelijke applicatie, zodra de laptop weer in het netwerk hangt, op basis van voorgedefinieerde regels al dan niet een alert stuurt naar de systeembeheerders, o.v.v. een beschrijving wat er is gebeurd.
Neem eens een kijkje op http://forum.iamnotageek.com/t-1819047803.html :) En dan met name dit stukje:
Enable "Failure attempts" on the Audit Policy "Audit process tracking"
and "Audit object access", and then check the event log after trying
to start Word.
Laat me maar merken waar je tegenaan loopt ;)

[ Voor 6% gewijzigd door spone op 27-03-2005 23:09 ]

i5-14600K | 32GB DDR5-6000 | RTX 5070 - MacBook Pro M1 Pro 14" 16/512

maandag 28 maart 2005 01:02

Acties:
  • TheHolyCow
  • Registratie: Augustus 2003
  • Laatst online: 08-11 19:08

TheHolyCow

Ik maak al een tijdje, erg tevreden, gebruik van System Safety Monitor (de site is erg langzaam).
Je kunt hier instellen welke programma's mogen opstarten, de rest kan je laten blokkeren.
EN: het is (nog) freeware :)

maandag 28 maart 2005 01:20

Acties:
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Zonelabs heeft hier dacht ik een stuk software voor - kijk eens rond op hun site naar de 'professionele' producten :)
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq