GPO / CMD Zugriff verweigert / bestimmte Anwendungen zu lassen

[PEASANT KING]

Moin moin,

in unserer Domäne sind das Nutzen der CMD bzw. Powershell durch eine GPO Richtlinien verboten.
Das ist auch gut so, allerdings stelle ich immer wieder fest, das es Anwendungen gibt, die beim Start die CMD starten wollen,
das aber nicht können, da für den normalsterblichen User wie gesagt es verboten ist.

Hat hier Jemand praktische Erfahrung, um dieses Problem zu lösen ohne die Sicherheit zu gefährden,
oder schließt das Eine das Andere aus.

Als Beispiel z.B. VSCode wenn man Remote arbeiten möchte, versucht VSCode für die Verbindung die CMD zu öffnen scheitert aber daran durch GPO Richtlinie.

Grüße

 

[qiller]

Da hilft nur filtern, entweder über Gruppenfilter oder unterschiedlichen OUs mit entprechend unterschiedlichen GPOs. Im Grunde will der Admin nicht, dass pauschal alle Nutzer die cmd/ps nutzen können, denn häufig ist es so, dass die wenigsten Anwender die Konsolen brauchen.

Neue Unter-OU anlegen (z.B. "Power-User") und hier das Verbot der Nutzung von cmd/ps wieder aufheben. Und die Mitarbeiter, die da wirklich Zugriff auf cmd/ps brauchen, verschiebt man dann in diese "Power-User"-OU. Also so würd ichs machen, aber da gibt es bestimmt noch andere Möglichkeiten.

 

[Drewkev]

Wobei man mit dem Standarduser in cmd eh nicht viel anstellen kann soviel ich weiß, weshalb wir es trotz UEM gar nicht deaktiviert haben.

 

[qiller]

Naja, du kannst halt alles das machen, was du mit deinen Benutzerrechten eben machen kannst. Und z.B. Malware braucht keine Adminrechte, um an Daten zu kommen oder Dateien zu verschlüsseln. Aber Malware benutzen häufig die cmd oder Powershell, um Befehle automatisiert abzusetzen und das kann man mit so einer GPO verhindern (hatte selber schon solch eine Malware an der weiteren Ausführung verhindern können).

 

[PEASANT KING]

Das ist nicht so das gelbe vom Ei. Selbst die Desktop App unserer Telefonanlage ruft beim Start erstmal die CMD auf und scheitert dann, bei jeden User bei dem die GPO die CMD sperrt.

 

[Drewkev]

@qiller
In solchen Fällen bekommt der User in der Regel davon eh mit, dann wird sowieso ein Backup eingespielt oder der Rechner neu aufgesetzt.

So zumindest meine bisherige Erfahrung.

 

[qiller]

In solchen Fällen bekommt der User in der Regel davon eh mit

Oh da bist du aber auf dem Holzweg. Gute Malware bekommt niemand einfach so mit, schon gar nicht der 0815 User.

@TE Wenn da jetzt natürlich noch mehr Software eingesetzt wird, die die cmd oder Powershell benötigen, dann muss halt mit der IT-Abteilung oder dem Admin geredet werden. Hier ist evt. auch die GL mit einzubeziehen, denn hier muss letztendlich Produktivität gegen Sicherheit abgewogen werden.

Edit: Ich betreue ja auch andere Firmen und kenne das Problem. Ich habe z.B. eine Firma, da würde ich gerne die MS-Office Macroausführung unterbinden o. zumindest einschränken. Leider ist das dort nicht möglich, da eben genau solche Excel-Tabellen mit VBA-Macros in Verwendung sind. Wenn ich die Macroausführung unterbinden würde, gäbe es ein großes Problem im aktuellen Workflow der Firma. Hier ist genau dieselbe Abwägung getroffen worden. Selbst die Macroausführung nur über einen gesichertem Netzwerkordner wurde mit "zu umständlich" abgelehnt. Als Außenstehender kann ich dann aber nichts mehr groß tun. Wenn die GL sagt, Produktivität geht vor Sicherheit, ist das deren Entscheidung.

 

[Drewkev]

Oh da bist du aber auf dem Holzweg.

Ich denke nicht, denn du sprachst von Verschlüsselung von Daten. Und das bekommt man sehr wohl mit.

Gute Malware bekommt niemand einfach so mit, schon gar nicht der 0815 User.

So gut kann die nicht sein, wenn cmd gebraucht wird.