[2003/TS] Slechts één app toestaan

Pagina: 1
Acties:

  • Alex)
  • Registratie: Juni 2003
  • Laatst online: 12-12-2025
Goedenavond beste Tweakers,
Ik heb een servertje ingericht die ik als Terminal Server gebruik. De server draait Windows Server 2003 R2, Enterprise Edition. Omdat het de bedoeling is hem als Terminal Server te gebruiken heb ik een Active Directory opgezet (mede vanwege de enorme flexibiliteit die het beheersmatig biedt).
Ik heb een aparte OU aangemaakt waarin ik de users zet, op deze OU heb ik een GPO toegepast. Het doel van de hele GPO is dat zodra de user inlogt er een applicatie wordt gestart (i.p.v. de shell) en dat de user alleen die applicatie kan gebruiken.
Verder heb ik ingesteld dat geen enkel programma mag worden gestart, behalve de app zelf (en de JRE, de app is geschreven in Java).

Dit werkt allemaal vrij netjes, alleen... de applicatie heeft een knop waarmee een Explorer-window geopend kan worden. Zodra de user hierop klikt wordt de hele explorer.exe geladen, ook toont deze dus de Start-balk. Ik heb via GPO deze hele balk aangepast zodat er alleen maar een 'Log off'-link beschikbaar is. Maar nu komt het leuke: hoewel ik heb ingesteld dat alle Windows+X-sneltoetsen moeten worden uitgeschakeld, kan een user met Win-U toch Hulpprogrammabeheer openen. Van hieruit kan hij óók de Helpfile openen.

Wanneer een user dan via de app een exe (uit de Windows-dir) naar de helpfile sleept en kiest voor 'Run', wordt de app meestal uitgevoerd. Ik heb in de GPO ingesteld dat de gebruiker geen toegang mag hebben tot lokale drives. De Windows Verkenner houdt zich hier netjes aan (en toont dus hoogstens een lege map), maar de applicatie dus niet. Die enumerate gewoon vrolijk heel C:\, inclusief Windows, van hieruit kan de user dus ook slepen.

Ik heb geprobeerd security-rechten op hh.exe (HTML Help) te wijzigen, ik heb zelfs expliciet aangegeven dat de groep waarin de user zit, het bestand niet mag lezen of uitvoeren. Toch wordt dit gewoon gedaan.

Ik weet niet precies meer wat ik nog aan de instellingen kan wijzigen om te voorkomen dat users de Explorer kunnen starten, of i.i.g. de helpfile van Hulpprogrammabeheer.

Ik heb een report gemaakt van mijn volledige GPO-settings, voor degene die het interesseert. Het report (419 kb) vind je hier: http://int.alex-web.nl/private/gporeport.html

Weet iemand van jullie misschien een goede oplossing voor dit probleem? Als je het zelf wilt proberen kan ook, stuur mij dan een DM, dan maak ik even een accountje aan.

We are shaping the future


  • sanfranjake
  • Registratie: April 2003
  • Niet online

sanfranjake

Computers can do that?

(overleden)
Heb je ook een software-restriction policy ingesteld? En bij "run only allowed windows applications"wat gestoeid?

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters


  • Alex)
  • Registratie: Juni 2003
  • Laatst online: 12-12-2025
Een software-restriction policy heb ik geprobeerd maar dat had weinig effect. Ik heb juist die "Run only allowed windows applications" gebruikt (zoals ook in mijn GPO-report staat).

We are shaping the future


  • Zwelgje
  • Registratie: November 2000
  • Laatst online: 20-01 19:37
Alex) schreef op woensdag 06 december 2006 @ 21:46:
Een software-restriction policy heb ik geprobeerd maar dat had weinig effect. Ik heb juist die "Run only allowed windows applications" gebruikt (zoals ook in mijn GPO-report staat).
met software restriction geen effect :? :D lijkt me sterk, dan heb je hem niet goed geconfigureerd die policy is juist enorm krachtig. zelfs een .exe met dezelfde naam maar met een andere hash doet het dan niet...

kortom: even verder proberen

A wise man's life is based around fuck you


  • Alex)
  • Registratie: Juni 2003
  • Laatst online: 12-12-2025
Mm, ik heb nu in de software restriction dit ingesteld:
Afbeeldingslocatie: http://xs410.xs.to/xs410/06493/srp.JPG.xs.jpg

Toch krijg ik dit:
Afbeeldingslocatie: http://xs410.xs.to/xs410/06493/werktniet.JPG.xs.jpg

Zie ik iets over het hoofd?

We are shaping the future


  • Zwelgje
  • Registratie: November 2000
  • Laatst online: 20-01 19:37
policy komt wel door :? (gpupdate /force)

net even getest hier op de testomgeving en hier doet ie het prima :) (dwz: hij doet het niet :P )

[ Voor 7% gewijzigd door Zwelgje op 06-12-2006 22:54 ]

A wise man's life is based around fuck you


  • Alex)
  • Registratie: Juni 2003
  • Laatst online: 12-12-2025
Ik heb een gpupdate /force uitgevoerd vanaf het Administrator-account, daarna ingelogd met een client-account die binnen die GPO valt. Zelfde resultaat als hierboven op het screenshot.

We are shaping the future


  • mutsje
  • Registratie: September 2000
  • Laatst online: 12-02 15:49

mutsje

Certified Prutser

Als een applicatie niet van de windows shell gebruikt maakt kan je inderdaad net zoveel restrictions erop zetten als je wilt maar zal je gewoon de schijven kunnen browsen.

Explorer.exe vrijgeven terwijl je niet wilt dat men een desktop krijgt zou je kunnen oplossen door deze te linken naar explorer2.exe
Uit de FAQ van www.datacrash.net
Q: Can I publish a explorer.exe to a alternative folder

A: Yes you can acomplish that. copy the explorer.exe and name it explorer2.exe (example) (thanks to Elevator)

Command line
M:\WINDOWS\explorer2.exe /root,h:\
working directory
M:\windows

  • Mosaics.Ruled
  • Registratie: November 2006
  • Laatst online: 12-02 19:24
Alex) schreef op woensdag 06 december 2006 @ 23:04:
Ik heb een gpupdate /force uitgevoerd vanaf het Administrator-account, daarna ingelogd met een client-account die binnen die GPO valt. Zelfde resultaat als hierboven op het screenshot.
Start de computer eerst eens opnieuw op om vervolgens met de client account in te loggen, heb ook wel eens gehad dat het niet werkte tot ik een reboot deed :)

  • mutsje
  • Registratie: September 2000
  • Laatst online: 12-02 15:49

mutsje

Certified Prutser

als je policies asynchrone mee laat lopen kan het tot 3 keer inloggen duren voordat een policie aktief wordt inderdaad :)
Pagina: 1