XP: Per Gruppenrichtlinie Programme verbieten

Hallo!
Ich bin für die Wartung des Rechners (mit XP Pro) meines Bruders zuständig. In Kürze kriegt er nen Internetzugang und ich habe von meiner Mutter den Auftrag gekriegt, den Rechner dahingehend zu sichern,daß er,wie sie sagt „keinen Blödsinn“ machen kann. Daß er nicht jeden Müll anklicken soll, kriegt er ja vielleicht noch hin, allerdings würd ich den Rechner ganz gern dahingehend absichern,daß er z.B. keine Filesharingprogramme betreiben kann. Ich suche also eine Möglichkeit, auch per Wildcard bestimmte Programme zu verbieten, in denen vorgegebene Zeichengruppen enthalten sind. Beispielsweise Programme,in deren Dateinamen „torrent“ vorkommt z.B. µTorrent.exe, BitTorrent.exe usw. Soweit ich das sehe,kann man zwar via Gruppenrichtlinie bestimmte Programme sperren,allerdings geht das nur mit bereits installierten Programmen. Gibts also eine Möglichkeit,schon im Vorfeld Programme gleich an der Installation zu hindern,wenn bestimmte Stichwörter im Namen vorkommen ?

Marco

Hi Marco

Soweit ich das
sehe,kann man zwar via Gruppenrichtlinie bestimmte Programme
sperren,allerdings geht das nur mit bereits installierten
Programmen. Gibts also eine Möglichkeit,schon im Vorfeld
Programme gleich an der Installation zu hindern,wenn bestimmte
Stichwörter im Namen vorkommen ?

AFAIK nein. Ausserdem könntest du damit nur eine kleine Anzahl von Programmen sperren. Fürs Torrent-Filesharing gibt es zB auch azureus, das keinen ‚torrent‘ im Namen hat, auch nicht in der exe-Datei.
DIe einfachste Lösung und noch dazu die sicherste, ist, ihn als Benutzer mit eingeschränkten Rechten zu definieren. Damit kann er keine Programme installieren (das musst du dann tun :wink:) und die Viren freuen sich auch nicht über Administratorenrechte.

Bei Torrent-Progis gibt es noch eine andere Möglichkeit: sämtliche Ports sperren bis auf den absolut notwendigen fürs Internet. (und natürlich UPnP, das eh den PC löcherig macht, wie ein Schweizer Käse)
Torrent-Progis brauchen zumindest einen zusätzlichen Port, emule auch.
Aber auch da kann es Progis geben, die ohne speziellen Port funzen.
Eingeschränkte Rechte ist der sicherste Weg

Gruss
ExNicki

Hei Marco,

ExNixck hat absolut Recht.
Solange dein Bruder Administratorenrechte hat kann er alles, was du einstellst/änderst/verbietest innerhalb weniger Stunden/Minuten/Sekunden (abhängig von seinem IQ und dem „Druck dahinter“) aushebeln.

Wenn er keine Admin-Rechte hat, kann er nichts installieren. Zugriff auf vorhanden Programme kann man im Ordner Programme - Rechstklick auf den jeweiligen Programm-Ordner, Sicherheit, Leserechte für Benutzer abschalten - jederzeit (als Admin) unterbinden.

Was natürlich alles nicht bei Programmen hilft, die keiner Installation bedürfen, sondern auch direkt von einem anderen Ort (Beispielsweise von einem USB-Stick) laufen.

Gerade bei Torrent-Programmen und ähnlichem hilft nur ein Router. Solche Programme können nur mit einem Port-Forwarding funktioneren. Gib ihm das Passwort für die Router-Konfiguration nicht und er wird kein Torrent-Programm oder emule oder so zum Laufen bekommen.

lg, mabuse

Hallo!
Ersteinmal Danke für Eure Antworten.

Hei Marco,

ExNixck hat absolut Recht.
Solange dein Bruder Administratorenrechte hat kann er alles,
was du einstellst/änderst/verbietest innerhalb weniger
Stunden/Minuten/Sekunden (abhängig von seinem IQ und dem
„Druck dahinter“) aushebeln.

Naja…bislang ist der Hauptverwendungszweck seines Rechners für ihn das Befüllen seines MP3-Players mit MP3s,die er via Cdex rippt und erzeugt. Außerdem testet er viele Games von den diversen Zeitschriften-CDs. Nix wirklich anspruchsvolles also. Wenns Probleme gibt,bleibt die Kiste meist solange aus,bis ich „wieder im Land“ bin. Meist endet das damit,daß ich mal wieder ein Image des Systems wieder einspielen darf,weil er das bestehende System irgendwie plattgemacht hat.

Wenn er keine Admin-Rechte hat, kann er nichts installieren.

Naja…genau wegen o.e. Demos möcht ich das Installieren nur ungern komplett verbieten.

Ich hab auch schon dran gedacht, ihm 2 Profile anzulegen…eins mit Installationsrechten,aber ohne Onlinezugang und natürlich umgedreht. Außerdem werd ich wohl sowas wie Teamviewer einrichten,um die Kiste fernzuwarten und Programme ggf. selbst im „Onlineprofil“ installieren zu können.

Gerade bei Torrent-Programmen und ähnlichem hilft nur ein
Router. Solche Programme können nur mit einem Port-Forwarding
funktioneren. Gib ihm das Passwort für die
Router-Konfiguration nicht und er wird kein Torrent-Programm
oder emule oder so zum Laufen bekommen.

lg, mabuse

Das würd ich eh machen. Ist zwar immer umständlich,wenn man jedes Programm erst von Hand freischalten muss,welches nicht gerade einen der Standardports nutzt,aber sicher ist sicher.

Viele Grüße
Marco