Archiv der Kategorie: GPO

Excel–Öffnen in geschützter Ansicht

Veröffentlicht am von
Antwort

Nach einer Migration des Servers in eine DFS-Struktur, meldete sich Excel (aber auch andere Office Programme) mit der Meldung das Dateien nur in der “geschützten Ansicht” geöffnet werden können.

image

Der Hinweis rührt daher, dass sich der Name des Servers, der die Dateien bereitstellt geändert hat und die Office Anwendungen diesen nicht mehr als vertrauenswürdig einstufen.

Während der bisherige Zugriff über \\server\freigabe seit Jahren problemlos funktioniert hat, kommt beim Zugriff über \\dfs-fqdn\dfs\freigabe die oben gezeigte Meldung.

Beheben lässt sich das Problem an mehreren Stellen, am einfachsten aber über eine GPO welche dfs-fqdn als vertrauenswürdig einstuft.

image

In die Site to Zone Assignment List kann man mehrere Werte, IP-Bereiche usw. eintragen. Denkbar wäre zusätzlich nur “finance” falls es jemanden gibt der mit \\finance\dfs\freigabe anstatt \\finance.local\dfs\freigabe arbeitet, was zwar nicht sinnvoll aber möglich ist.

Der Wert 1 definiert die Domain (finance.local) als (1) Intranet zone und damit als vertrauenswürdig ein.

image

Definiert habe ich den Wert sowohl in der Computer Configuration als auch in der User Configuration der Policies / Richtlinen.

Im Internet kursieren eine Reihe alternativer Workarounds, wie zum Beispiel das Aufweichen der Sicherheitseinstellungen in Excel / Office wie im folgendem Screenshot zu sehen ist.

image

Davon halte ich nichts, Life is dangerous … und da muss man nicht zusätzlich die Anzahl der Angriffsvektoren erhöhen.

Enjoy it, b!

GPO Error "Resource $(string id="Win7Only)‘

Veröffentlicht am von
Antwort

Die Fehlermeldung lautet wie folgt und erscheint bei der Anzeige der Settings / Einstellungen einer GPO.

Error "Resource $(string id="Win7Only)' referenced in attribute displayName could not be found" when opening gpedit.msc in Windows

Im GPO-Management wird der Fehler wie folgt angezeigt.

image

Microsoft selbst, kennt den Fehler auch und liefert in diesem KB-Artikel die Lösung, bzw. einen Workaround wie man den Fehler beheben kann.

https://support.microsoft.com/en-us/help/4292332/error-when-you-open-gpedit-msc-in-windows

Der Fehler ist bei mir aufgetreten, nachdem ich eine auf Windows Server 2012 R2 laufende Domain für Windows Hello vorbereiten wollte, dazu gehört auch das Aktualisieren der ADMX-Dateien.

Da ich schon die aktuellen ADMX-Dateien eingespielt hatte, hier geht es zu den Windows 10 ADMX-Dateien für Version 2004, blieb mir nur die Möglichkeit die ADML-Datei zu editieren. Das kann man entweder mit Notepad oder mit Notepad++ machen.

Dazu habe ich die folgenden Schritte durchgeführt.

Erstellen eines Backups für die SearchOCR.adml Datei im folgenden Ordner:

C:\Windows\SYSVOL\domain\Policies\PolicyDefinitions\en-US

Das geht am einfachsten in einer Eingabeaufforderung oder in PowerShell mit xcopy, wobei beide Sitzungen mit erweiterten Adminrechten gestartet werden müssen.

C:\Windows\SYSVOL\domain\Policies\PolicyDefinitions\en-US
# Wechsel in der Verzeichnis mit den PolicyDefinitions der jeweiligen Sprache
C:\Windows\SYSVOL\domain\Policies\PolicyDefinitions\en-US
# Sichern der alten Datei mit dem Namen searchocr.adml durch xcopy
xcopy searchocr.adml \temp

Dann wird mit dem Editor eine Leerzeile in Zeile 26 eingefügt, und in diese leere Zeile der folgende String kopiert.

# Einfügen des folgenden Strings in Zeile 26"
Microsoft Windows 7 or later

Im Editor sieht das dann wie folgt aus.

image

Danach ist die Fehlermeldung verschwunden und die GPO-Einstellungen werden korrekt angezeigt.

Enjoy it, b!

Defending Malware / Crapware / Adware

Veröffentlicht am von
Antwort

Microsoft hat dem Windows Defender vor geraumer Zeit die Möglichkeit spendiert die Installation von Adware zu unterbinden. Kandidaten hierfür sind einige renomierten Programme wie Java (Ask Search, …) und der Adobe Acrobat Reader (Amazon, Google Chrome). Wählt man im Verlauf deren Installation oder Updates die Option zur Installation von zusätzlichen Programmen nicht ab, so landet eine Reihe von unerwünschten auf dem PC. Darüber hinaus finde ich diesen Weg schon aus dem Grund nicht sinnvoll, da Software immer aus den originalen Quellen installiert werden sollte. Der Google Chrome Browser kommt damit von Google und nicht über irgendwelche Hintertüren ins Haus.

Die Aktivierung des Adware-Blockers hat Heise hier beschrieben:

http://www.heise.de/security/meldung/Windows-mit-verstecktem-Adware-Killer-3023579.html

Setzt man den Defender im Netzwerk ein, so kann diese Einstellung auch auf alle PCs über eine Group-Policy Preference verteilt werden.

  1. Start des Group Policy Editors
  2. Auswahl oder Anlage einer GPO auf die alle Domain Computers/Domänencomputer berechtigt werden

    image

  3. Setzen des folgenden Wertes unter Computer Configuration / Windows Settings / Registry:

    Action: Create
    HKLM\Software\Policies\Microsoft\Windows Defender\MpEngine
    Value Name: MpEnablePus
    Value Type: REG_DWORD
    Value Data: 0x1

    Die folgende Abbildung zeigt nochmals die notwendigen Einstellungen

    image

  4. Mit dem nächsten Refresh der GPOs wird die Einstellung aktiviert und die Installation von Adware auf diesem Wege geblockt

Während der Windows Defender einen extrinsischen Blocker darstellt, gibt es auch die Möglichkeit zumindest für Java diese Einstellung im Programm selbst zu deaktivieren. In einem älteren Artikel habe ich das schon mal in den Einstellungen selbst beschrieben, man kann hier aber auch den Weg über eine GPO gehen.

Dazu ist der gleiche Weg wie oben nur mit den folgenden Einstellungen notwendig.

Action: Create
HKLM\SOFTWARE\JavaSoft
Value Name: SPONSORS
Value Type: REG_SZ
Value Data: Disable

image

Im Kontext von Java sehe ich hier ein Henne/Ei Problem, damit man an die Java-Einstellungen ran kommt muss Java installiert sein, wird hier nicht aufgepasst ist die Adware schon mit auf dem Rechner drauf.

Enjoy it, b!