, , , ,

Windows Based Script Host Dateizuordnungen per GPP steuern

Mittlerweile können wir unseren Fileserver schon schützen und auch Clients haben einen zusätzlichen Schutz.

 

In diesem Artikel wird beschrieben wie man mit Group Policy Preferences (GPP) in einer Windows Domäne die Dateizuordnung/Dateiverknüpfungen steuern kann um damit gegen Ransomware vorzugehen und die Umgebung ein Stück weit sicherer zu machen. Dabei kommt zu Testzwecken eine Server 2012 R2, ein Windows 7 Pro sowie ein Windows 8.1 Pro Client zum Einsatz.

Diese Einstellung dürfte vielen Usern bekannt sein. Über Systemeinstellunge > Standardprogramme (Standard-Apps) > Dateizuordnungen festlegen kann man (lokal) steuern wie Windows Dateien zu Programmen ordnet. Diese Aktion kann man aber auch zentral im Unternehmen über Gruppenrichtlinien steuern.

Die Verknüpfung von Dateiendungen mit unterschiedlichen Applikationen erfolgt in der Registrierungsdatenbank. Daher liegt die Idee nicht fern, wenn man Dateiendungen Unternehmensweit umsetzen möchte, entsprechende Registryeinträge zentral in der Domäne (GPOs) zu verändern. Eine viel elegantere Lösung jedoch ist es die Verwendung von Group Policy Preferences.

Für die GPP gibt es zwei verschiedene Möglichkeiten, unter der Computerkonfiguration sowie unter der Benutzerkonfiguration.

 

Neue Dateitypen mit den GPP definieren

Um neue Dateitypen zu registrieren kann man sehr gut die Computerkonfiguration (unter Einstellungen > Systemsteuerungseinstellungen > Ordneroptionen) verwenden. Hier besteht auch die Möglichkeit, weitere Programmaktionen zu definieren, abhängig davon mit welchem Parameter sich eine Anwendung aufrufen lässt.

GPP Computerkonfiguration

 

Dateiendungen Benutzerspezifisch verknüpfen

Für das oben genannte Szenatio verwenden wir, für die allgemeine Assoziation der Dateiendungen, die Benutzerkonfiguration. Zuerst wird ein neues GPO erstellt das wir nach einem Test mit der Domäne/OU verknüpfen können. Hier deaktivieren wir die Computerkonfiguration, da diese keine Verwendung finden wird.

Computerkonfiguration deaktivieren

 

Das neu erstellte Gruppenrichtlinienobjekt kann jetzt bearbeitet werden. Hier wählen wir die Ordneroptionen der Benutzerkonfiguration.

GPP Benutzerkonfiguration

 

Anschließend können wir im Kontextmenü mit dem Eintrag Neu (New) und (Öffnen mit) eine  neue Dateizuordnung konfigurieren. Hier werden wir folgende Dateiendungen konfigurieren:

  • js
  • jse
  • vbe
  • vbs
  • wsf
  • wsh
  • bat
  • cmd
GPP Dateiendung verknüpfen

 

Nachdem dann alle Endungen eingetragen wurden, sollte es dann so aussehen.

GPP Dateiendung

 

Einziges Manko was sich bei bat und cmd ergibt ist, dass diese Dateien im Kontextmenü kein „Öffnen mit…“ Dialog mehr besitzen. Diese Dateien können dann, soweit wir wissen, nur über eine Konsole als Batch ausgeführt werden. Evtl. kennt hier jemand eine anderen Lösungsweg?

— Update —

Mit einer Erweiterung ist es ist es jetzt auch möglich eine Batchdatei aus dem Kontextmenü zu öffnen. Hierzu wurde die Gruppenrichtlinie noch um Registryeinträge erweiter.

GPP Kontexterweiterung cmd

 

Durch die beiden Registryschlüssel command und Icon wurde das Kontextmenü um den Punkt cmd.exe mit dem Konsolen-Symbol erweitert.

GPP Kontexterweiterung cmd

 

Über eine Regestry-Datei

Wie oben angesprochen und um es kurz aufzuzeigen, kann man die selben Einstellungen auch über mehrere Registrierungsschlüssel verteilen. Die Registry Datei könnte dann so ähnlich aussehen (aus dem Heise Security Forum):

Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOTJSFileShell]
@="Edit"
[HKEY_CLASSES_ROOTJSEFileShell]
@="Edit"
[HKEY_CLASSES_ROOTVBEFileShell]
@="Edit"
[HKEY_CLASSES_ROOTVBSFileShell]
@="Edit"
[HKEY_CLASSES_ROOTWSFFileShell]
@="Edit"
[HKEY_CLASSES_ROOTWSHFileShell]
@="Edit"
[HKEY_CLASSES_ROOTWSHFileShellEdit]
[HKEY_CLASSES_ROOTWSHFileShellEditCommand]
@=""%SystemRoot%\System32\Notepad.exe" %1"
[HKEY_CLASSES_ROOTbatfileshell]
@="edit"
[HKEY_CLASSES_ROOTcmdfileshell]
@="edit"

 

 


Funktionsweise:

Beim erstellen der Dateizuordnungen ist standardmäßig die Aktion Aktualisieren (Update) ausgewählt. Diese Aktion verknüpft eine Aktion mit einem Programm für die es noch keine Zuordnung gibt und bringt die Einstellungen auf den aktuellen Stand wenn die Zuordnung schon vorhanden ist. Die Aktionen Erstellen beschränkt sich nur auf das Einrichten der Zuordnung, aktualisiert aber keine vorhandenen Zuordnungen. Löschen hingegen wird die jeweilige Zuordnung nur entfernen. Das Ersetzen zu guter letzt löscht grundsätzlich eine bestehende Verbindung und erstellt danach eine neue.

GPP Aktionen

 

Nach dem die Gruppenrichtlinie wie oben eingerichtet und auf die Clients verteilt wurde. Sollte das Ausführen einer der oben aufgeführten Dateien so aussehen (die Eingefügten Zeilen sind zum testen als Batchdatei).

 

Wenn man eine Batch-Datei in der Konsole ausführt würde diese noch immer funktionieren (Windows 8.1 Pro Client).

GPP Testfile batch

 

Und ein zweiter Test mit einer Batchdatei (Windows 7 Pro Client).

GPP Testfile batch

 

Alle Angaben sind ohne Gewähr, die Veränderung Ihres Betriebssystem erfolgt auf eigene Gefahr.

0 Kommentare

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.