In einem anderen Beitrag haben wir schon einmal darüber berichtet, wie Ihr es einrichten könnt, dass User nur bestimmte Programme starten können. In diesem weiteren Beitrag möchten wir Euch zeigen, wie Ihr festlegen könnt, dass der Anwender bzw. User bestimmte Programme NICHT starten kann.
Auch für diese Startbockierung von bestimmten Programmen hat Microsoft eigens eine eigene Gruppenrichtlinie bereitgestellt. Ihr findet diese GPO zum Blockieren von bestimmten Anwendungen im GPO-Pfad
Benutzerkonfiguration / Administrative Vorlagen / System
Dort gibt es dann die folgende Gruppenrichtlinie, mit der Ihr das Starten von bestimmten Anwendungen verhindern könnt.
Angegebene Windows-Anwendungen nicht ausführen
Dies sieht dann wie folgt aus.
Wie Ihr seht, könnt Ihr nach dem „Aktivieren“ dieser GPO eine Liste der nicht zugelassenen Anwendungen bearbeiten. In diese Liste könnt Ihr jedes Programm mit aufnehmen, welches der Anwender nicht starten darf. Wir haben als Beispiel einfach mal die CMD.EXE für die Eingabeaufforderung, die PowerShell, Wordpad und den Taschenrechner in die Liste der verbotenen Programme aufgenommen.
Microsoft gibt übrigens noch folgende weitere Erklärung zu dieser Anwendungs-Gruppenrichtlinie bekannt.
Verhindert, dass die in dieser Richtlinieneinstellung festgelegten Programme von Windows ausgeführt werden. Durch Aktivieren dieser Richtlinieneinstellung können Benutzer keine Programme ausführen, die Sie der Liste der nicht zugelassenen Anwendungen hinzugefügt haben. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können Benutzer alle Programme ausführen. Diese Richtlinieneinstellung verhindert nur, dass Benutzer Programme ausführen, die vom Datei-Explorer-Prozess gestartet werden. Sie verhindert nicht, dass Benutzer Programme wie den Task-Manager ausführen, die vom Systemprozess oder von anderen Prozessen gestartet werden. Wenn die Benutzer auf die Eingabeaufforderung („Cmd.exe“) zugreifen können, verhindert diese Richtlinieneinstellung nicht, dass die Benutzer Programme im Befehlsfenster ausführen, selbst wenn sie diese über den Datei-Explorer nicht starten dürfen. Hinweis: Diese Richtlinieneinstellung gilt auch für nicht von Microsoft stammende Anwendungen, die über eine Windows 2000-Zertifizierung oder höher verfügen. Hinweis: Klicken Sie auf „Anzeigen„, um eine Liste zugelassener Anwendungen zu erstellen. Geben Sie im Dialogfeld „Inhalt anzeigen“ in der Spalte „Wert“ den Namen der ausführbaren Anwendungsdatei ein (z. B. „Winword.exe“, „Poledit.exe“, „Powerpnt.exe“).
Sollte nun ein Anwender versuchen, eine Anwendung aus dieser Anwendungs-Blacklist zu starten, so erscheint folgender Hinweis.
Die genaue Fehlermeldung lautet:
Der Vorgang wurde aufgrund von aktuellen Beschränkungen auf dem Computer abgebrochen. Wenden Sie sich an den Systemadministrator.
Somit habt Ihr mit dieser GPO und der beschriebenen GPO am Anfang dieses Beitrages eine wunderbare Black-/Whitelist um die Ausführung bestimmter Programme zu verhindern oder zu erlauben.
In einem weiteren Beitrag zeigen wir Euch auch noch, wie Ihr den Zugriff auf die Registry für Anwender sperren könnt.
Neueste Kommentare