Software Restriction Policies in Windows 7 Professional?

[Robert Jasiek]

Laut

http://www.pc-addicts.com/forum/viewthread.php?thread_id=442&pid=1764
http://csharpner.blogspot.com/2009/10/windows-7-versions.html

lassen sich in "Windows 7 Professional" Software Restriction Policies
(nicht zu verwechseln mit AppLocker) setzen UND werden auch auf
demselben PC angewendet? Kann jemand diese Information durch
praktische Anwendung belegen oder �u�ert sich Mircosoft selbst dazu?
Oder m�sste man mangels verl�sslicher Quellenlage die Ultimate version
kaufen?

[Stefan Kanthak]

"Robert Jasiek" <jas...@snafu.de> schrieb:

> Laut
>
> http://www.pc-addicts.com/forum/viewthread.php?thread_id=442&pid=1764
> http://csharpner.blogspot.com/2009/10/windows-7-versions.html
>
> lassen sich in "Windows 7 Professional" Software Restriction Policies
> (nicht zu verwechseln mit AppLocker) setzen UND werden auch auf
> demselben PC angewendet?

Wieso zweifelst Du?
Offiziell werden die SRP auch auf XP Home nicht unterstuetzt. Es fehlt
dort aber nur die Oberflaeche, um sie einzuschalten und zu konfigurieren.
Per *.INF oder *.REG lassen sie sich problemlos aktivieren.

> Kann jemand diese Information durch
> praktische Anwendung belegen oder �u�ert sich Mircosoft selbst dazu?
> Oder m�sste man mangels verl�sslicher Quellenlage die Ultimate version
> kaufen?

Windows 7 Professional kann Domaenenmitglied sein und wird damit wohl
auch Gruppenrichtlinien unterstuetzen. SRP gehoeren dazu.

Stefan
[
--
Die unaufgeforderte Zusendung werbender E-Mails verstoesst gegen �823
Abs. 1 sowie �1004 Abs. 1 BGB und begruendet Anspruch auf Unterlassung.
Beschluss des OLG Bamberg vom 12.05.2005 (AZ: 1 U 143/04)

[Robert Jasiek]

On Sat, 7 Nov 2009 18:38:38 +0100, "Stefan Kanthak"
<dont.delete-this.don...@expires-2009-11-30.arcornews.de>
wrote:
>Wieso zweifelst Du?

Weil es sehr leicht ist, in einer Tabelle aus Versehen Ja statt Nein
einzutragen, weil ich die Zuverl�ssigkeit der betreffenden Webautoren
nicht sicher einsch�tzen kann und weil es bei AppLocker in W7 Pro die
Einschr�nkung gibt, dass Regeln zwar gesetzt, nicht aber erforced
werden.

(�brigens geht es darum, den PC gleich mitzukaufen, und die Auswahl
von Heim-PCs, die f�r meinen Bekannten infrage kommen, mit W7 Pro ist
gr��er als mit W7 Ultimate. So spart man sich ggf. das Dazukaufen
einer Windows-DVD zwecks Wegschmei�ens der falschen, vorinstallierten
OEM-Version. Es w�re ja einfacher, wenn PCs ohne vorinstalliertes OS
angeboten w�rden, aber leider werden die meisten infrage kommenden
Notebooks nur mit angeboten. MAW: f�r mich ist es mehr als nur eine
EUR-30-Frage.)

>Offiziell werden die SRP auch auf XP Home nicht unterstuetzt. Es fehlt
>dort aber nur die Oberflaeche, um sie einzuschalten und zu konfigurieren.
>Per *.INF oder *.REG lassen sie sich problemlos aktivieren.

Da der Bekannte, der sich einen PC kaufen m�chte, bisher keinerlei
Erfahrung mit PCs hat usw., kann ich ihm unm�glich SRPs ohne
Oberfl�che erkl�ren. Die GP-Editor-Oberfl�che ist immerhin klar genug,
um daran zu erkl�ren, welche Wirkung die gesetzten Regeln haben, und
um eine Kurzanleitung, die mein Bekannter verstehen kann, zu
schreiben. Hingegen �berforderten ihn INF, REG oder Registry-Hacks
hoffnungslos. (Auch mir pers�nlich gef�llt die Arbeit mit Oberfl�che
viel besser.)

>Windows 7 Professional kann Domaenenmitglied sein und wird damit wohl
>auch Gruppenrichtlinien unterstuetzen. SRP gehoeren dazu.

Das w�re ja schon mal ein erstes Indiz:)

[Ruediger Lahl]

*Robert Jasiek* wrote:

> Da der Bekannte, der sich einen PC kaufen m�chte, bisher keinerlei
> Erfahrung mit PCs hat usw., kann ich ihm unm�glich SRPs ohne
> Oberfl�che erkl�ren.

Wenn er keine Erfahrung mit PCs hat, sollte man auf Erkl�rungen von
Sachen wie SRPs verzichten. Win ist so gestrickt, dass ein Anf�nger
daran arbeiten kann.

Erkl�re ihm lieber, dass das Internet b�se ist und an allen Ecken jemand
es auf sein Geld abgesehen hat. Erkl�re den Unterschied zwischen
Freeware und "GRATIS Download HIER!!!"

>>Windows 7 Professional kann Domaenenmitglied sein und wird damit wohl
>>auch Gruppenrichtlinien unterstuetzen. SRP gehoeren dazu.
>
> Das w�re ja schon mal ein erstes Indiz:)

Wie willst du ihm ein OS erkl�ren, dass du selbst anscheinend auch nicht
kennst.
--
bis denne

[Robert Jasiek]

On Sat, 07 Nov 2009 23:45:21 +0100, Ruediger Lahl
<ruedig...@gmx.de> wrote:
>Wenn er keine Erfahrung mit PCs hat, sollte man auf Erkl�rungen von
>Sachen wie SRPs verzichten.

Das richte ihm ein. Dazu Partitionen, Benutzerkonten und ihre
Zugriffsrechte.

>Erkl�re ihm lieber, dass das Internet b�se ist und an allen Ecken jemand
>es auf sein Geld abgesehen hat. Erkl�re den Unterschied zwischen
>Freeware und "GRATIS Download HIER!!!"

Klar. Au�erdem erkl�re ich ihm, warum SRPs sicherer und einfacher zu
bedienen sind als Anti-Virenscanner.

>Wie willst du ihm ein OS erkl�ren, dass du selbst anscheinend auch nicht
>kennst.

SRPs funktionieren unter W7 Enterprise Trial so wie unter Vista
Ultimate. SRPs verstehe ich gut. Nur ob W7 Professional SRPs setzen
und lokal erzwingen kann, wei� ich eben noch nicht sicher (und deshalb
lie�e ich meinen Bekannten zZ W7 Ultimate kaufen, um sicher zu gehen
und um M$ als Belohnung f�r die mangelhafte Informationspolitik den
Rachen zu f�ttern;) ).

[Robert Jasiek]

On Sat, 07 Nov 2009 23:45:21 +0100, Ruediger Lahl
<ruedig...@gmx.de> wrote:

>Wenn er keine Erfahrung mit PCs hat, sollte man auf Erkl�rungen von
>Sachen wie SRPs verzichten.

Abgesehen davon, dass Windows bei den Sicherheitsfeatures
anf�ngerfreundlich werden und dass SRP auch bei den
Windows-Home-Varianten verf�gbar sein sollte, meine ich �brigens, dass
auch gerade PC-Anf�nger die guten Windows-eigenen Sicherheitsfeatures
nutzen sollten. Zur Zeit sieht es allerdings eher so aus, dass ONU als
Admin surft und vielleicht noch ein AV-Programm laufen hat. Dabei ist
die Benutzung der Sicherheitsfeatures relativ einfach, wenn einem nur
gesagt wird, wie es geht. An leicht verst�ndlichen Anleitungen mangelt
es aber leider bzw. sie sind nur sehr schwer zu ergooglen. Was der ONU
nicht braucht, sind PC-Einf�hrungsb�cher und PC-Zeitschriften, die
lang und breit erkl�ren, welches AV am besten ist und wie man es
installiert. Stattdessen sollte man den ONUs erkl�ren, wie man einen
Standardbenutzer einrichtet, wie man partitioniert, wie man einer
Partition Benutzerrechte zuweist oder entfernt, wie man ein SRP-Snapin
installiert, welche SRP-Regeln man nie antasten darf und wie man seine
Anwendungsprogramme whitelistet.

SRPs sind als Spezialwissen f�r Firmenadmins verschrieen - aber v�llig
zu Unrecht. Schlie�lich braucht man keine Dom�ne samt Anleitung f�r
die Benutzung von SRPs darin, sondern f�r den Einzelplatz-PC braucht
man SRPs nur f�r den lokalen PC (oder einen seiner Benutzer) zu
setzen. Die fehlende Oberfl�che in den billigen, oft vorinstallierten
Windows-Varianten ist leider eine effektive H�rde, um das Beste von
Windows der breiten Masse vorzuenthalten. Und so wird sich das
AV-Schlangen�l auch dann noch winden, wenn es nochmals um den Faktor
1000 mehr blackzulistende Malware geben wird...

[Ottmar Freudenberger]

"Robert Jasiek" <jas...@snafu.de> schrieb:

> lassen sich in "Windows 7 Professional" Software Restriction Policies
> (nicht zu verwechseln mit AppLocker) setzen UND werden auch auf
> demselben PC angewendet? Kann jemand diese Information durch
> praktische Anwendung belegen oder �u�ert sich Mircosoft selbst dazu?

http://technet.microsoft.com/en-us/library/dd723689%28WS.10%29.aspx
kennst Du schon.

http://windowsteamblog.com/blogs/springboard/archive/2009/08/18/understanding-windows-7-applocker.aspx
Kommentar von Stephen L Rose von MS vom 20.08.2009, 17:28
| SRP is available in the Windows 7 Professional SKU and above.
| AppLocker is in the Windows 7 Enterprise SKU and above.

Andererseits:
http://www.microsoft.com/downloads/details.aspx?FamilyID=025cf2e8-b0ab-4419-b5bb-86ab2d5eca83&displaylang=en
http://technet.microsoft.com/en-us/magazine/2009.10.win7security.aspx

D�mlicherweise funktioniert der "ei.cfg l�schen zur Auswahl aller Win 7-
Versionen" AFAIK *nicht* mit der derzeit nur noch verf�gbaren Windows 7-
Enterprise-Testversion. Falls Du noch eine RC-Version geladen hast, kannst
Du es selbst ausprobieren.

Bye,
Freudi
--
Macht euer Windows sicherer: http://windowsupdate.microsoft.com - jetzt!
http://www.microsoft.com/germany/sicherheit/
Infos zu aktuellen Patches f�r Windows 7 und WinXP: http://patch-info.de

[Ottmar Freudenberger]

"Ottmar Freudenberger" <fre...@gmx.net> schrieb:

> "Robert Jasiek" <jas...@snafu.de> schrieb:
>
>> lassen sich in "Windows 7 Professional" Software Restriction Policies
>> (nicht zu verwechseln mit AppLocker) setzen UND werden auch auf
>> demselben PC angewendet? Kann jemand diese Information durch
>> praktische Anwendung belegen oder �u�ert sich Mircosoft selbst dazu?
>
> http://technet.microsoft.com/en-us/library/dd723689%28WS.10%29.aspx

> kennst Du schon. [...]

http://www.mcseboard.de/windows-7-forum-76/srp-gpmc-win7pro-158320.html

http://www.microsoft.com/downloads/details.aspx?FamilyID=7D2F6AD7-656B-4313-A005-4E344E43997D&displaylang=de
zur Sicherheit auch noch.

[Robert Jasiek]

Die Links sind alle sehr interessant, beantworten meine Frage noch
nicht, aber bieten die Chance, es ggf. zu tun, danke!

(Auf den gelinkten Seiten gibt es tlw. auch Fehler, die ich hiermit
korrigiere: 1) Einen einzelnen Benutzer kann man unter SRPs stellen,
indem man in gpedit.msc ein Gruppenrichtlinienobjekt-Snapin f�r diesen
Benutzer erstellt und darin seine SRP setzt. 2) Auf einem Einzel-PC,
bei dem SRPs m�glich sind, reicht gpedit.msc; man muss Nichts extra
downloaden; iB keine Management-Konsole.)