Windows vor Manipulationen schützen (z.B. Programminstallationen)

Moin!

Meine Suche hat leider nicht zu dem geführt, was ich suche. Ich habe gerade eine komlette Neuinstallation zweier PC`s vorgenommen (diesmal mit kompl. Backups der System- und Programmpartitionen). Ach so, das BS ist WIN XP Prof. SP3. Bei der Installation habe ich ein Administratorpasswort gesetzt. Nun möchte ich die beiden PC´s soweit absichern, dass deren Nutzer nicht eigenhändig irgendwelche Programme aus dem Internet runterladen und ausführen. Auch möchte ich verhindern, dass durch unbedachte Klicks irgendwelcher Blödsinn installirt wird, was man anschließend nur schwierig wieder entfernen kann (Ask-Toolbar, ICQ usw.) Natürlich soll die Möglichkeit erhalten bleiben, im Netz zu recherchieren, Infos in Form von Text, PDF`s, Bilder u.s.w. runterzuladen. Warsch. werde ich es nicht verhindern können, .exe Dateien runterzuladen. Diese sollen aber nicht ausgeführt werden dürfen. Aber wie stelle ich das an?

da du die Prof.-Version hast, kannst du einiges in den Gruppenrichtlinien-Editor (gpedit.msc) konfigurieren oder in den Sicherheitsoptionen (secpol.msc) und in der Registry.
Es gibt aber auch Tools, die die Computernutzung und das Internet einschränken.

pan_fee

Danke PCDpan_fee,
ich habe mich mal ein wenig mit gpedit und secpol beschäftigt. Da ist mir aber nicht klar, was ich da machen muss. Du sprichst da tools an, die mir evtl. die nötigen Einstellungen erleichtern. würdest du mir oder ein anderer User mir sagen, welche empfehlenswerte Tools da in Frage kommen? Meine Google Suche hat da nichts gebracht.
Wie gesagt, mir kommt es darauf an, dass die Nutzer der PC´s keine ausführbaren Programme aus dem Netz runterladen und/bzw. diese ausführen bzw. installieren können. mehr willich gar nicht.

Das wichtigste ist das Du für jeden User ein separates Konto anlegst und dann mit dem Admin Konto Gruppenrichtlinien aktivierst.

http://www.gruppenrichtlinien.de/index.html?/HowTo/Richtlinien_Standalone_ohne_AD.htm

Walter

Hinnerk schrieb:

ich habe mich mal ein wenig mit gpedit und ....
....
Wie gesagt, mir kommt es darauf an, dass die Nutzer der PC´s keine ausführbaren Programme aus dem Netz runterladen und/bzw. diese ausführen bzw. installieren können. mehr willich gar nicht.

Zum Vergrößern anklicken....

da wäre der Anlagen-Manager (Attachment Manager) für dich genau das (fast) richtige, in den Gruppenrichtlinien (gpedit.msc) unter Benutzerkonfiguration - Administrative Vorlagen - Windows-Komponenten - Anlagen-Manager.
Jede Standardrisikostufe verfügt über eine Aufnahmeliste (oder Annahmeliste) für Dateitypen mit:
niedrigem Risiko
mittlerem Risiko
hohem Risiko

Standardmäßig ist die Standardrisikostufe mittel mit der Aufnahmeliste für Dateitypen mit mittlerem Risiko aktiviert. Das bedeutet, dass bis auf gewisse Ausnahmen (z.B. .exe), heruntergeladene Dateien ohne weiteres Zutun des Users geöffnet werden können.
Wenn die Sicherheitsstufe auf Hohes Risiko gesetzt wird, so werden alle Dateitypen als unsicher eingestuft. Aktivierst du explizit eine Standardrisikostufe, so musst du der entsprechenden Aufnahmeliste neue Dateiendungen hinzufügen, die erlaubt sind.
Die Dateierweiterungen immer mit Punkt eingeben - Beispiel .pdf

Microsoft Knowledge Base 883260
WinTotal Tipparchiv: http://www.wintotal.de/tipparchiv/?id=1024
[sub](hier geht es aber um den umgekehrten Fall)[/sub]

Walter's Tipp wäre eine bessere Idee - hier ein Beispiel, was du den User dann alles verbieten kannst:
http://www.gruppenrichtlinien.de/index.html?/RiLi/Windows_XPSP2_User.htm

Beschreibung der Softwarebeschränkungsrichtlinien in Windows XP:
http://support.microsoft.com/kb/310791/de

pan_fee

Nochmals danke für die Hilfe. Ich bin dabei, mich mit der Sache zu beschäftigen und zu verstehen. Gar nicht so einfach...

Also für deine Bedürfnisse wäre meines Erachtens ein Programm ideal, das so funktioniert: Man kann zwar zunächst am Rechner alles machen (einschließlich Herunterladen und Ausführen von exe-dateien usw.), aber nach dem Herunterfahren und Neustart des Rechners sind sämtliche vorgenommenen Änderungen wieder beseitigt.

So etwas halte ich für viel unkomplizierter als all diese Einstellungen mit Risikostufen, Gruppenrichtlinien usw.

Einschlägige Programme gibt es diverse, z.B.:

- Shadow Defender
http://www.shadowdefender.com/
35 Dollar

- Returnil
http://www.returnilvirtualsystem.com/products
Grundversion kostenlos

- Deep Freeze
http://www.faronics.com/de/default.aspx
45 Dollar

und andere

Ich selbst habe Shadow Defender am Rechner und bin damit sehr zufrieden (einfach zu bedienen, zuverlässig, auch mit deutscher Benutzeroberfläche verfügbar).

Wie gesagt, das Grundprinzip ist einfach:
Alles, was du nach dem Start des Programms am Rechner tust (Downloads, Programminstallationen, Änderung von Einstellungen, ...), ist rückgängig gemacht, sobald du ihn neu startest.

Wenn ausnahmsweise doch etwas behalten werden soll (z.B. ein heruntergeladenes Bild), so geht das bei Shadow Defender mittels Rechtsklick auf die betreffende Datei und Auswahl eines entsprechenden Befehls. (Ich glaube, bei den anderen Programmen gibt es vergleichbare Optionen.)

Du findest z.B. auch in diesem Thread Hinweise auf einschlägige Programme:
http://www.rokop-security.de/index.php?showtopic=20088