Hallo,
Das lokale Verzeichnis "EmpirumAgent" ist für normale Benutzer sehr freizügig. Wir arbeiten jetzt unter Windows 7 mit dem Applocker, damit Empirum funktioniert haben wir dafür eine Ausnahme für dieses Verzeichnis eingerichtet. Nun können die Benutzer dorthin aber Software kopieren und diese auch ausführen - eher schlecht.
Beste Grüße
Bernhard
Lokales Verzeichnis vom Agent absichern...
Moderator: MVogt
Lokales Verzeichnis vom Agent absichern...
IT-Administrator mit Migrationshintergrund bei Fraunhofer-Gesellschaft
Produktionssystem: W2k22, Empirum 24.0.1, MS SQL 2017 Enterprise
Testsystem: W2k19, Empirum 24.0.1, MS SQL 2017 Express
Produktionssystem: W2k22, Empirum 24.0.1, MS SQL 2017 Enterprise
Testsystem: W2k19, Empirum 24.0.1, MS SQL 2017 Express
-
Hendrik_Ambrosius
- Moderator
- Posts: 8099
- Joined: 13. Dec 2004, 23:10
- Location: Adendorf/Lüneburg
Re: Lokales Verzeichnis vom Agent absichern...
Dann entziehen Sie doch die Rechte für die User auf dieses Verzeichnis.
Hendrik Ambrosius / Senior Presales Consultant
Mobile: +49 172 408 4447 | hendrik.ambrosius@matrix42.com
Matrix42 GmbH | Elbinger Straße 7 | 60487 Frankfurt am Main | Germany | www.matrix42.com
Disclaimer: I participate in this forum on a voluntary basis. Views expressed are not necessarily those of Matrix42 or of the support team.
Mobile: +49 172 408 4447 | hendrik.ambrosius@matrix42.com
Matrix42 GmbH | Elbinger Straße 7 | 60487 Frankfurt am Main | Germany | www.matrix42.com
Disclaimer: I participate in this forum on a voluntary basis. Views expressed are not necessarily those of Matrix42 or of the support team.
Re: Lokales Verzeichnis vom Agent absichern...
Das wollten wir schon, haben uns aber nicht getraut... 
IT-Administrator mit Migrationshintergrund bei Fraunhofer-Gesellschaft
Produktionssystem: W2k22, Empirum 24.0.1, MS SQL 2017 Enterprise
Testsystem: W2k19, Empirum 24.0.1, MS SQL 2017 Express
Produktionssystem: W2k22, Empirum 24.0.1, MS SQL 2017 Enterprise
Testsystem: W2k19, Empirum 24.0.1, MS SQL 2017 Express
Re: Lokales Verzeichnis vom Agent absichern...
Hallo,
um das Agentverzeichniss zu sichern habe ich ein zusätzliches Softwarepaket erstellt, mit dem ich die Rechte auf das Verzeichniss bearbeite.
Durch dieses Paket werden abhänig vom Betriebssystem zunächst die Rechte sämtliche Rechte auf das Verzeichniss gelöscht (WinXP mit XCACLS, Win7 mit Powershell). Hiernach werden die gewünschten neuen Rechte über einen Empriumbefehl hinzugefügt(Im Beispiel die Administratorengruppe). Das Powershellscript enthält folgenden Code:
Gruß xTrAg00n
um das Agentverzeichniss zu sichern habe ich ein zusätzliches Softwarepaket erstellt, mit dem ich die Rechte auf das Verzeichniss bearbeite.
Code: Select all
#Set:Product
#Reg:OnUninstallProduct, DELETE
#Reg:Product
#Ini:Product
#Security:Product
[Set:Product]
Set WindowsVersion = %HKLM,"SOFTWARE\Microsoft\Windows NT\CurrentVersion","CurrentVersion"%
If %WindowsVersion% = "5.1" Then "Set:WinXP" EndIf
If %WindowsVersion% = "6.1" Then "Set:Win7" EndIf
[Set:WinXP]
CallHidden cscript.exe /h:cscript
sleep 3000
CallHidden "%SRC%\xcacls.vbs" c:\!work\EmpirumTemp /i REMOVE /q
sleep 3000
[Set:Win7]
Callhidden Cmd /c "powershell set-executionpolicy remotesigned"
sleep 3000
Call "%Systemroot%\System32\WindowsPowerShell\v1.0\powershell.exe" -File "%SRC%\TempLocker.ps1"
sleep 3000
Callhidden Cmd /c "powershell set-executionpolicy allsigned"
[Reg:OnUninstallProduct]
[Reg:Product]
[Ini:Product]
[Security:Product]
FileDaclEx.Add ("C:\!work\EmpirumTemp","%$LocalAdmins%",GRANT,ALL,SUB_CONTAINERS_AND_OBJECTS_INHERIT)Code: Select all
#region Erstellung der Objekte, Zuweisung der Rechte
$ACL = New-Object System.Security.AccessControl.DirectorySecurity
#endregion
#region Implementierung der Rechte des Zielordners
$ACL.SetAccessRuleProtection(1,0)
Set-Acl "C:\!work\EmpirumTemp" $ACL #-ErrorAction SilentlyContinue
#endregionGruß
xTrAg00n
xTrAg00n
Who is online
Users browsing this forum: No registered users and 2 guests