• Hallo liebe Userinnen und User,

    nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.

    Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
    Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.

    Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.


    Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.

[Windows 10] Computer sicher machen? [Best Practice]

BurnerR

Bot #0384479

Registriert
20 Juli 2013
Beiträge
5.504
Ich soll mich hier um einen Rechner kümmern, wo so typische Verwaltungsaufgaben mit abgewickelt werden - ganz viele E-Mails, Dokumente, Briefe Schreiben, Überweisungen tätigen etc.
Installiert und bleiben soll ist Windows 10. Problem ist, ich verwende seit 10 Jahren eigentlich nur noch Linux und habe daher keine sehr gute Übersicht was sinnvolle Windows 10 Einstellungen und Programme angeht.
Aktuell ist der Rechner 'typisch 08/15', inklusive Lizenz für Kaspersky Security Suite.
Wie stellt man so einen Rechner sicher ein? Ich hätte Kaspersky schon runter geschmissen, bin mir aber unschlüssig bezgl. Scannen von E-Mails, was ganz wesentlich ist, weil regelmäßig Spam und Viren ankommen und auch Spear-Phishing ein realistisches Szenario ist. Nehme diesbezüglich auch gerne Checklisten oder Hinweise bezgl. speziell Outlook an.
 

sia

gesperrt

Registriert
26 März 2015
Beiträge
5.931
Ort
FFM (NSFW)
Adminrechte wegnehmen, per Gruppenrichtlinie sämtliche ausführbaren Dateien in C:\Users\... verbieten.

Mitarbeiter schulen! Das größte Risiko ist der Nutzer selbst. Wenn der Mitarbeiter Phishing selbstständig erkennen kann oder nachfragt, läuft das alles ins Leere.

EDIT: Ich würde auch einen Adblocker mit Malvertising-Filter empfehlen, uBlock ist hier glaube ich state of the art.

Bei der Fernwartung würde ich auf TigerVNC setzen, da kann man auch UAC-Anfragen bearbeiten. Selbstverständlich nur über SSH tunneln, sonst ist's unsicher! Auch Guacamole über SSL wäre eine Option. Beides braucht einen Linux-Server im Netzwerk.
 
Zuletzt bearbeitet:

drfuture

Zeitreisender
Teammitglied

Registriert
14 Juli 2013
Beiträge
8.728
Ort
in der Zukunft
TigerVNC kommt in den SecureDesktop rein?
Oder nur wenn die UAC passend runter geregelt wird?

Ausführbare Dateien unter c:\Users verbieten ist an sich eine gute Idee - man muss nur damit rechnen das es im Zweifel anrufe gibt weil eine Software die sich im UserProfiel installiert erst mal nicht geht (lässt sich natürlich alles regeln).
gleiches könnte man mit c:\ProgramData machen - dort kann der Benutzer ebenfalls schreiben.
Ebenso neue Ordner im c:\ Root erstellen verbieten.
Anwendungskontrolle / Sperre geht über Appblocker (GPO)

uBlock und Chrome würde ich ebenfalls empfehlen.
Win10 ans ich ist out of the Box sicher konfiguriert - wenn man irgendwas nach coolen Tips aus der Computerbild deaktiviert macht man es eventuell eher schlimmer.

welches Windows 10 ist es denn? Pro?
Insofern Telemetrie runter geregelt werden soll dann in jedem Fall per offizieller Policy abschalten und nicht Cortana oder ähnliches aus dem System patchen.
OneDrive kann wenn nicht verwendet ebenfalls per GPO vollständig deaktiviert werden.

- Benutzer haben nur mit Benutzerrechten zu arbeiten.
- Browser wenn nur ein Einzelner PC auf Auto-Update stellen.
- kein Adobe Reader verwenden - ich Empfehle stattdessen PDFXChange
- nach Möglichkeit kein Adobe Flash zusätzlich installieren.
- nach Möglichkeit keine Java Runtime installieren (wenn von Software benötigt lieber eine andere suchen ^^)
- Updates in Windows um 2 Tage verzögern aber voll automatisch installieren lassen.

Einen Guide vor allem organisatorischer Dinge über die man sich grundsätzlich Gedanken machen sollte gibt es auch vom BSI
https://www.bsi.bund.de/SharedDocs/...z/IT-Grundschutz-Modernisierung/BS_Win10.html
Das Dokument ist aber leider noch in Arbeit und noch nicht fertig / ausgereift.
 

The_Emperor



Registriert
17 Juli 2013
Beiträge
2.801
#) Den Rechner hinter einen Proxy-Server stellen der alle Ports und Protokolle bis auf die üblichen (HTTP, DNS, HTTPS, ...) sperrt.
#) Restriktive Web-Sperren per Whitelistening, ausschließlich nur Webseiten und deren Subdomains freigeben die tatsächlich gebraucht werden (zB. kein https://bank.de/* oder https://*.bank.de sondern https://bank.de/überweisung ).
#) Darstellungsmodus vom eMail-Programm in Plain-Text umstellen.
#) Keine Remote Tools installieren die Firewalls umgehen (TeamViewer, VNC mit öffentlichem Zugang, ...).
#) Ein Passwort für das lokale Adminkonto wählen das sich vom Rest der Firmenrechner unterscheidet.
#) Wenn TeamViewer benötigt wird, dann nur QuickSupport.
#) Den Rechner per VLAN vom Rest des Netzwerks trennen.
#) Mailanhänge wie verschlüsselte Dateien (RAR, ZIP, PDF, ...) oder Office-Dateien generell sperren.
 

sia

gesperrt

Registriert
26 März 2015
Beiträge
5.931
Ort
FFM (NSFW)
Hier ein Thread, den ich zu dem Thema mal eröffnet hatte:
https://ngb.to/threads/26334-Angriffe-auf-Windows-mit-USB-Sperre-und-Software-Firewall-verhindern

welches Windows 10 ist es denn? Pro?

Das erinnert mich an Bitlocker, falls es Pro ist. Wenn die Rechner physisch geklaut werden, sinnvoll, wenn irgendwelche Passwörter vergessen werden oder es Hardwareschäden gibt, BACKUPS!

Und ja, TigerVNC ist in dem Falle ein Admin-Prozess. Die UAC runterregeln musste ich dazu bisher nicht.

#) Den Rechner hinter einen Proxy-Server stellen der alle Ports und Protokolle bis auf die üblichen (HTTP, DNS, HTTPS, ...) sperrt.
Warum Proxy und nicht Firewall im Router?

#) Restriktive Web-Sperren per Whitelistening, ausschließlich nur Webseiten und deren Subdomains freigeben die tatsächlich gebraucht werden (zB. kein https://bank.de/* oder https://*.bank.de sondern https://bank.de/überweisung ).
#) Mailanhänge wie verschlüsselte Dateien (RAR, ZIP, PDF, ...) oder Office-Dateien generell sperren.
Bei den gängigen Sekretärinnen macht ein solches Vorgehen den Anwender arbeitsunfähig.
 
Zuletzt bearbeitet:

drfuture

Zeitreisender
Teammitglied

Registriert
14 Juli 2013
Beiträge
8.728
Ort
in der Zukunft
#) Den Rechner hinter einen Proxy-Server stellen der alle Ports und Protokolle bis auf die üblichen (HTTP, DNS, HTTPS, ...) sperrt.
#) Restriktive Web-Sperren per Whitelistening, ausschließlich nur Webseiten und deren Subdomains freigeben die tatsächlich gebraucht werden (zB. kein https://bank.de/* oder https://*.bank.de sondern https://bank.de/überweisung ).
#) Den Rechner per VLAN vom Rest des Netzwerks trennen.

Von anderen Rechnern stand ja gar nichts - aber wenn das Gerät ausschließlich auf 3 Webseiten darf und mit keinem anderen PC reden darf kann man den PC ja fast ganz vom Netz abstecken und offline betreiben - ein Arbeiten für Verwaltungsaufgaben einer Firma dürfte so nicht mehr möglich sein.
Vor allem - ganz davon abgesehen das der PC vermutlich nicht direkt am Internet hängt da PC's mit eingebautem Modem selten geworden sind - sind an einem 0/8/15 PC auch ohne Firewall ja nicht einfach Ports *offen* die Angegriffen werden könnten. Selbst SMB müsste erst mal aktiviert werden.
Und nach draußen raus kommt eine Software ohne das Whitelisting so oder so .. klar mit nicht - aber das ist entweder eher nicht verwaltbar oder der Anwender kann nichts mehr arbeiten.

Die Tipps sind auch eher allgemeiner Natur und haben eher weniger was mit Windows zu tun.
Text-Ansicht in E-Mail finde ich persönlich auch nicht benutzbar und würde ich keinem Anwender zumuten wollen - vor allem da der Schadcode zu 99% im Anhang mit kommt.

Aber Bitlocker ist selbstverständlich noch ein guter Tipp - das schadet in keinem Fall den zu aktivieren - nur den Recovery-Key gut aufheben.
 
Zuletzt bearbeitet:

sia

gesperrt

Registriert
26 März 2015
Beiträge
5.931
Ort
FFM (NSFW)
Na ja, bei Linux müsste man EXE-Dateien natürlich nicht sperren und man braucht auch keine GPO, sondern nur eine Mount-Option zum Sperren von Anwendungen in /home…
 

drfuture

Zeitreisender
Teammitglied

Registriert
14 Juli 2013
Beiträge
8.728
Ort
in der Zukunft
ich meinte die Sachen von The_Emperor ;) ...

Klar brauche ich keine .exe sperren wenn es keine gibt - aber Anwendungen im /home macht ja genauso sinn - WIE man das umsetzt ist ja dann egal ...
 

The_Emperor



Registriert
17 Juli 2013
Beiträge
2.801
Man kann VLANs konfigurieren und Whitelists anpassen, was ist hierbei unverständlich? Einen Proxy-Server kann man unabhängig von der Firewall betreiben. Man schleift entweder alle Rechner durch den Proxy oder nur bestimmte. Der Bitlocker hilft nicht viel wenn die Bürotante einen Link in einer dubiosen eMail anklickt die auf Crypto-Trojaner verweist oder die Mailadresse bei Spambots registriert. Plain-Text Darstellung hilft exzellent dagegen dass der übliche Bürozombie hirnlos einfach alle Links anklickt die er sieht, ein Proxy mit Whitelist sichert das nochmal ab.
 

drfuture

Zeitreisender
Teammitglied

Registriert
14 Juli 2013
Beiträge
8.728
Ort
in der Zukunft
Klar kannst du VLans konfigurieren - aber wogegen / auf was? Ganz davon abgesehen das die Netzwerk-Hardware das erst mal können muss.
Klar kann das für div. Dinge Sinnvoll sein - aber ohne zu wissen ob es andere Geräte gibt und wie mit dem PC gearbeitet wird ist sowas wie ein VLan für mich eine komische Idee.
Ein Proxy Cached in erster Linie - was bei kleinen Mengen eher nicht nötig ist. Gewissen Seiten sperren könnte ich natürlich an einer zentralen Firewall machen - oder insofern es sich hier scheinbar nur um ein einzelnes Gerät handelt - eher im installierten Virenscanner - oder wenn möglich am Router bzw. der dort integrierten Firewall - eine extra Software/Hardware Firewall ist dann wohl übertrieben.

Und wer schaltet jeden Link frei in der Whitelist wenn der Anwender etwas Suchen muss und sei es nur nach einer guten Firma für neuen Kaffee oder ein Hotel für die nächste Geschäftsreise oder sonst was? BurnerR alle 2Min wenn sie auf einen neuen gesperrten Link klickt?

Damit über einen Link ein Angriff stattfinden kann muss eine ungepatchte Lücke im Browser ausgenutzt werden - sonst sind wir genauso weit wie beim Datei-Anhang wenn die Infektion über einen extra Download passiert - und da kopiert der Anwender genauso den Link in den Browser - er will ja schließlich wissen was hinter http://megaangebote.biz/personalspezial.aspx steckt ...

Versteh mich nicht falsch - deine Vorschläge machen den Rechner Sicher - daran ist nichts zu rütteln - und die Tipps sind nicht falsch. Ich denke nur das so manches a) zu teuer, b) administrativ nicht stemmbar und c) für den der mit dem Gerät arbeiten sollte dann nicht mehr Sinnvoll Benutztbar ist - was DAS Gerät dann vielleicht noch sicherer macht da sich dann irgendwann einer ein Laptop kauft, das ins Netz ansteckt und damit arbeitet - da ja Portsecurity nicht in der Auflistung steht ;D

Bitlocker hilft nur was gegen Diebstahl des Gerätes und gegen Daten in falschen hängen wenn der PC in 10 Jahren mal verkauft / verschenkt wird und keiner ans löschen denkt. Schadet schlicht nicht da er ans ich fast unbemerkt läuft.
 

The_Emperor



Registriert
17 Juli 2013
Beiträge
2.801
VLANs machen einen ganz simplen Sinn: Zuerst teilt man die einzelnen Abteilungen in VLANs auf (Vertrieb, Geschäftsführung, Server & Netzwerk, Marketing, ...), danach riegelt man die VLANs nach Bedarf untereinander ab. Ein Marketingmitarbeiter benötigt einen Zugriff aufs Server VLAN da Arbeiten ohne IP-Adresse oder Internet vielleicht nicht optimal ist. Einen Zugriff auf die PCs aus der Geschäftsführung wird er jedoch nicht wirklich brauchen. Was die Whitelist betrifft ... tja, IT-Security ist kein Bereich in dem man mit einem Programm wie TuneUp Utilities und einem Klick auf "Fix everything" ein adequates Level an Sicherheit erreicht. Hier gibt es nur die Wahl zwischen Entweder und Oder, Kompromisse gibt es nicht. Verstehe auch nicht warum ihr der Meinung seid dass Mitarbeiter auf einem Arbeitsrechner unbedingt Internet-Surfen müssen. Surfen und Katzenvideos schauen können sie zu Hause. Ich kenne auch keine große Firma in der voller Zugriff auf das Internet für die Mitarbeiter als selbstverständlich gilt. In Zeiten von Social Engineering brauchts auch keine Sicherheitslücken im Browser mehr. Da reicht ein unverblümter Direktlink auf ein ZIP-Archiv bei einem beliebigen Hoster in dem eine .cmd oder Batch-Datei liegt. Gibt immernoch genug Idioten die eine Rechnung.bat oder Bewerbung.cmd ausführen.
 

sia

gesperrt

Registriert
26 März 2015
Beiträge
5.931
Ort
FFM (NSFW)
Ich kenne ausschließlich Firmen, in denen das Internet für Recherche benötigt wird.

Mitarbeiter in der IT muss Problemlösungen finden, Marketing Bildmaterial, Schriftarten etc, Controlling Excel-Formeln und Makros, Assistenten Flüge, Bahnreisen etc., eigentlich jeder benötigt einen schnellen Zugriff auf Informationen und hat keine unilaterale Beschäftigung. In Call Centern und anderen restriktiven Umgebungen durfte und wollte ich bisher zum Glück nicht arbeiten.

Und da ist es eben nicht mit 3-4 whitelisted Seiten getan, auch wenn wir IT-Verantwortlichen das gerne hätten. Außerdem fand ich die Stimmung in Firmen, in denen viel geblockt ist, scheiße. Je größer die Firma ist, desto länger muss man auf whitelisting warten und desto unwahrscheinlicher ist es, die Seite überhaupt in der Zeit freigeschaltet zu bekommen, in der man sie braucht. Die Mitarbeiter über ihr Smartphone recherchieren zu lassen finde ich dumm.

Abgesehen davon ist keine Umgebung 100% sicher. Die Frage ist also nicht, ob ein Netzwerk kompromittiert wird, sondern wann und welche Incident Response Strategie man ausgearbeitet hat.

Das Problem ausschließlich mit Technik und nicht mit Schulungen der Mitarbeiter und Paradigmenwechseln zu lösen, ist eine Strategie von paper pushern und verbohrten ITlern, die aus ihrem Keller die Welt regieren wollen.

Können wir bitte zum Thema Windows 10 zurück kommen? Policy/compliance/Netzwerksicherheit ist hier gerade kein Thema.
 

theSplit

1998
Veteran Barkeeper

Registriert
3 Aug. 2014
Beiträge
28.560
Da ich mit den Gruppenrichtlinien nur gearbeitet habe und Windows Funktionen zu deaktiveren bzw. teilweise einzuschränken (Sensoren, Standortbestimmung, Thumbs.db Unterbindung und ähnliches), wie sichert man denn zum Beispiel in Windows 7 und oder 10 den (von den anderen Spreche ich bewußt nicht!) den Programmordner oder das C: Lauftwerk ?

Geht das hier über den Benutzerzugriff das zum Beispiel der Hauptuser nur lesen, aber nicht schreiben kann? Vielleicht in Kombination die Installation MSI Dateien einzuschränken über eine Gruppenrichtlinie und oder Mittels UAC? Aber was hindern einen User zum Beispiel daran, ein Programm auf einer anderen Festplatte/Ordner zu installieren? Fragen! :)

Finde das Thema auch sehr interessant, aber wie gesagt, ich bin mit den Tools of Trade in dem Bereich und eurem Fachvokabular ein wenig überfordert bzw. welche Optionen Windows generell so anbietet um einen User Safe zu machen bzw. gewissen Dinge zu unterbinden. ;)
 

The_Emperor



Registriert
17 Juli 2013
Beiträge
2.801
Anscheinend dürftet ihr beiden keine guten Erfahrungen mit Whitelists gemacht haben. Anders kann ich mir eine derart ablehende Haltung nicht erklären. Wenn ihr beiden wehement darauf besteht dass eine Whitelist maximal 4 Einträge gestattet klinke ich mich aus dieser Diskussion aus und widme mich anderen Themen.
 

sia

gesperrt

Registriert
26 März 2015
Beiträge
5.931
Ort
FFM (NSFW)
Geht das hier über den Benutzerzugriff das zum Beispiel der Hauptuser nur lesen, aber nicht schreiben kann? Vielleicht in Kombination die Installation MSI Dateien einzuschränken über eine Gruppenrichtlinie und oder Mittels UAC?
Ja. Du kannst auch sogenannte Software Restriction Policies hinzufügen, Tutorial hier.

Eine etwas ausführlichere Anleitung zum Konfigurieren der Policies und zum Verhindern der Infektion mit Crypto-Trojanern findet sich hier: Clients vor Infektion mit Ransomware schützen (Locky, Cryptolocker)

Aber was hindern einen User zum Beispiel daran, ein Programm auf einer anderen Festplatte/Ordner zu installieren? Fragen! :)
Die Tatsache, dass er keine Installer ausführen darf, da man ausführbare Dateien in C:\Users\ gesperrt hat.

Finde das Thema auch sehr interessant, aber wie gesagt, ich bin mit den Tools of Trade in dem Bereich und eurem Fachvokabular ein wenig überfordert bzw. welche Optionen Windows generell so anbietet um einen User Safe zu machen bzw. gewissen Dinge zu unterbinden. ;)
Hauptsächlich gibt's als "Tools" die sogenannten Gruppenrichtlinien, die gehen lokal oder in einer Domäne. Wenn man danach googlen will, sollte man "gpo [was man machen will]" googlen – GPO = group policy object.

Da gibt's auch schon vorgefertigte GPOs zum Downloaden und diese funktionieren auch über Samba4-Domains, nicht nur in der Active-Directory-Serverrolle auf Windows Server. Leider ist der Support dafür allerdings noch recht eingeschränkt und GPOs allgemein funktionieren erst ab Samba 4.3 stabil.
 
Zuletzt bearbeitet:

drfuture

Zeitreisender
Teammitglied

Registriert
14 Juli 2013
Beiträge
8.728
Ort
in der Zukunft
Auf andere Ordner außer das Benutzerprofil hat ein Benutzer so oder so keine Schreibrechte.
Außer er erstellt sich einen neuen ordner unter c:\ das lässt sich einfach über die ntfs-Rechte des "Ordners" C: also der Festplatte ändern.
Einzige Möglichkeit ist dann noch ein USB-Stick eine Externe Festplatte.
Dazu könnte man je nach Anwendungsfalls die Ports grundsätzlich sperren oder gar abschalten - oder auch hier per Software Restriction Policy das Ausführen von Anwendungen auf D:, E: usw. blockieren.
 

BurnerR

Bot #0384479

Registriert
20 Juli 2013
Beiträge
5.504
  • Thread Starter Thread Starter
  • #18
Klasse was schon bei rum gekommen ist, konnte schon viel mitnehmen und werde auf jeden Fall hinterher verraten, welche Maßnahmen ich konkret umsetzen werde.
Whitelisting sehe ich nicht passieren, selbst wenn jemand eine gute ausgiebige gut gepflegte Liste bieten kann hätte ich starke Zweifel, dass diese hinreichend israelische und arabische Seiten abdeckt, was in diesem konkreten Anwendungsfall notwendig ist. Mailanhänge sperren definitiv nicht möglich, eine Überlegung ist aktuell, html per Button anzuzeigen und per Default Plaintext - so habe ich das bei mir seit jeher.
Proxy, TigerVNC sehe ich auch nicht passieren, aber sicher was für die 'eines Tages' Liste, direkt hinter 'Netzwerk komplett neu und professionell aufbauen' ;-).
Bitlocker klingt recht sinnvoll, Diebstahl kann schnell mal passieren.

Was ist denn das sinnvollste gegen E-Mail Malware per Anhänge? Aktuell läuft ja Kaspersky... *brrr*. Es ist klar, dass das kein rein technisches Problem ist etc.etc. aber praktisch gesehen ist es ja absolut sinnvoll, wenn ein Programm automatisch die Anhänge überprüft.
 

drfuture

Zeitreisender
Teammitglied

Registriert
14 Juli 2013
Beiträge
8.728
Ort
in der Zukunft
Kaspersky hat je nach Version den Aktivity-Monitor der über den Volumen Schattenkopie-Dienst eine Art Backlog von veränderten Dateien Temporär aufhebt wenn verdächtige Dinge passieren - und wenn er nach 2-3 Veränderungen feststellt das ist eine Ransomware wird der Angriff an der Aktion Erkannt das Dateien verschlüsselt wurden und rückabgewickelt. Ganz so schlecht ist so ein Virenscanner nicht...

Klar wenn nun was neues raus kommt oder ein Angriff nur für diesen Computer compiliert wurde wird es sehr schwer mit der Erkennung - ganz abgesehen das es auch nur Software ist die ebenfalls Fehler haben kann. - aber das Thema hatten wir ja schon mal ;D
Ich sehe nur aktuell nach wie vor keine reelle Alternative.

Da es hier ein relativ überschaubarer Umfang an Tätigkeiten ist bzw. nur wenige / ein Computer?
Welche Office-Version ist denn im Einsatz?

Bei Office 2016 gibt es eine Policy die es verbietet das Makros von Office ins Internet dürfen, die sollte man dringend aktivieren insofern der Mitarbeiter mit Makros arbeitet oder mit Plugins die auf Makros basieren.
Bei älterem Office gibt es die Option leider nicht - hier könnte man Makros ganz abschalten oder nur Signierte erlauben insofern ein Plugin Makros benötigt das ist dann hoffentlich gekauft und signiert.
Bei Openoffice im übrigen genauso - auch hier haben Makros sehr ähnliche Möglichkeiten die Platte zu verschlüsseln.

ein Großteil der ausführbaren Dateien ist in Outlook per Default gesperrt - insofern ein anderer E-Mail Client verwendet wird dort
.com, .exe, .msi, .pif, .scr, .bat, .js, .mde, .nws, .reg, .ws.bas, .cpl, .folder, .inf, .jse, .msc, .pdf, .scf, .vb, .wsc.bat, .crt .hlp, .ins, .jsp, .vbe, .wsf.chm, .hta, .isp, .lnk, .msp, .pl, .sct, .vbs, .wsh.cmd, .eml, .asf, .jar, .mdb, .mst, .shs, .vcd
sperren - optional .doc, .xls, .ppt, docm, xlsm, pptm - Grund: Diese können Makros enthalten. Jeder der eine E-Mail schickt könnte angewiesen werden docx, pptx, xlsx zu verwenden.
 

theSplit

1998
Veteran Barkeeper

Registriert
3 Aug. 2014
Beiträge
28.560
@phre4k:

Vielen Dank, das ist doch schon einmal eine Aussage. Aktuell habe ich noch keinen akuten Anwendungsfall, aber das wird mit Sicherheit auch mal auf mich zukommen.... im kleinen Maßstab. :)

GPO demystifiziert ist damit ein wenig. Aber ich glaube wenn bis es soweit ist, muß ich mir das Thema hier mal abonnieren ;)
 
Oben