687502

Windows XP/2000: Alle Programme bis auf eine Auswahl verbieten

Sie sind Administrator eines Mehrbenutzersystems. Aus Sicherheitsgründen möchten Sie einigen Anwendern das Ausführen von Programmen verbieten – bis auf wenige, explizit freigegebene. Mit einem PC-WELT Script können Sie von Ihrem Administratorkonto aus die erlaubten Anwendungen für alle anderen auf dem System vorhandenen Benutzerkonten steuern. Wir zeigen Ihnen wie es funktioniert.

Anforderung:

Fortgeschrittener

Zeitaufwand:

Mittel

Problem:

Sie sind Administrator eines Mehrbenutzersystems. Aus Sicherheitsgründen möchten Sie einigen Anwendern das Ausführen von Programmen verbieten – bis auf wenige, explizit freigegebene.

Lösung:

Mit unserem Script :pcwRestrict-Run.HTA können Sie von Ihrem Administratorkonto aus die erlaubten Anwendungen für alle anderen auf dem System vorhandenen Benutzerkonten steuern. Dabei geht es um alle Anwendungen, die aus dem Explorer heraus aufgerufen werden. Programme, die das System selbst startet, bleiben unangetastet.

Das Script benötigt das Windows-Tool REG.EXE. Bei Windows XP wird es standardmäßig eingerichtet, unter Windows 2000 müssen Sie es von der Setup-CD nachinstallieren. Dazu öffnen Sie den Ordner \Support\Tools auf Ihrer CD, doppelklicken das Archiv SUPPORT.CAB und kopieren die Datei REG.EXE daraus in das Verzeichnis %windir%\System32. Um neue Berechtigungen zu vergeben, rufen Sie das Script auf. Der Dialog listet alle Benutzerkonten inklusive Ihres eigenen auf. Markieren Sie alle Konten, für die neue Einschränkungen gelten sollen, und klicken Sie dann auf "Verbieten“. Ein Ausrufezeichen neben dem Kontonamen kennzeichnet dann, dass Restriktionen vorliegen. Im nächsten Schritt legen Sie für jedes Konto eine eigene "Whitelist“ an. Darin stehen die Anwendungen, die weiterhin ausgeführt werden dürfen. Geben Sie also in der Befehlszeile den Namen der ausführbaren Datei an, die erlaubt werden soll, beispielsweise "iexplore.exe“ für den Internet Explorer oder "winword.exe“ für Word. Danach markieren Sie die Konten, welche diese Programme ausführen dürfen, und klicken auf "Anwendung erlauben“. Wiederholen Sie diesen Vorgang so oft, bis jedem eingeschränkten Konto die erlaubten Anwendungen zugewiesen sind.

Profile, denen Sie bereits mindestens eine erlaubte Anwendung zugeordnet haben, werden beim Markieren ausgeklappt, damit Sie deren "Whitelist“ einsehen können. Wenn Sie mehreren Konten dieselben Anwendungen zuweisen möchten, aktivieren Sie am besten die Klickbox "Zum Hinzufügen von Anwendungen in der Profil- Ansicht bleiben“ – das verhindert das Ausklappen. Beenden Sie das Script immer mit "Quit“, da sonst die Registry-Dateien der anderen Benutzerprofile nicht richtig entladen werden und die Benutzer sich nicht mehr anmelden können.

Natürlich können Sie erlaubte Anwendungen auch wieder verbieten. Dazu markieren Sie zunächst das gewünschte Konto, dann die zu verbietenden Anwendungen und klicken auf "Löschen“. Um die Einschränkungen komplett aufzuheben, markieren Sie wieder die einzelnen Konten und klicken auf "Erlauben“.

Achtung: Sie können in der oben beschriebenen Weise auch Einschränkungen für Ihr eigenes Konto treffen. Dabei besteht die Gefahr, dass Ihr System unbrauchbar wird. Schränken Sie Ihr Konto, wenn überhaupt, nur mit größter Vorsicht ein.

0 Kommentare zu diesem Artikel
687502