SECURISATION DES SERVEURS REMOTE DESKTOP SERVERS (WINDOWS 2008 R2) :

1 2

OBJECTIFS : ........................................................................................................................................... 3 SECURISATION DU SERVEUR REMOTE DESKTOP SERVICE (WINDOWS 2008 R2) :.................................... 4 2.1 DEPLACER LE SERVEUR REMOTE DESKTOP HOST SERVICE DANS LOU REMOTEDESKTOPSERVER :.................................. 4 2.2 CONFIGURATION DES GPO POUR RESTREINDRE LES FONCTIONNALITES DE LINTERFACE GRAPHIQUE : .............................. 5 2.3 BLOQUER LAPPLICATION DES GPO AUX ADMINISTRATEURS DU SERVEUR : ................................................................. 5 2.4 A SAVOIR SUR APPLOCKER : .............................................................................................................................. 7 2.5 MISE EN UVRE DAPPLOCKER : ...................................................................................................................... 10 2.5.1 Etape 1 : crer et personnaliser les rgles par dfaut Applocker : ................................................. 10 2.5.2 Etape 2 : Les excutables systmes autoriser : ............................................................................ 12 2.5.3 Etape 3 : Cration des rgles Applocker pour les Authenticated users : .................................. 14 2.5.4 Etape 4 : Configurer le service Application Identity : ................................................................ 16

DETAILS DE LOBJET STRATEGIE DE GROUPE : ...................................................................................... 17

OBJECTIFS : Scuriser les serveurs Remote Desktop Service sous Windows 2008 R2. Empcher les utilisateurs de copier des fichiers, dxcuter des commandes systmes. Ne pas perturber le fonctionnement du systme. Permettre aux administrateurs dadministrer le systme sans restrictions. Permettre aux utilisateurs dexcuter les programmes de la suite Office 2007.

SECURISATION DU SERVEUR REMOTE DESKTOP SERVICE (WINDOWS 2008 R2) :

Pour cela, on va : Dsactiver de nombreuses fonctionnalits de linterface graphique via les stratgies de groupe. Bloquer lexcution de toutes les applications sauf celles qui sont autorises via Applocker. 2.1 DEPLACER LE SERVEUR REMOTE DESKTOP HOST SERVICE DANS LOU REMOTEDESKTOPSERVER :

La premire tape consiste crer une unit dorganisation et de dplacer les comptes ordinateurs des serveurs Remote DeskTop Services dans cette unit dorganisation.

Crer et lier un objet de stratgie de groupe au niveau de lunit dorganisation RemoteDeskTopServers appel Secure Remote Desktop Servers :

2.2

CONFIGURATION DES GPO POUR RESTREINDRE LES FONCTIONNALITES DE LINTERFACE GRAPHIQUE :

Pour scuriser le serveur Remote DeskTop Service, il faut : Dsactiver le presse papier et le mappage de lecteur rseau au niveau de la console MMC Terminal Services Configuration .

Bloquer laccs CMD par GPO : Bloquer laccs certains programmes depuis laide : Configuration ordinateur | Modles dadministration | Systmes | Restreindre lexcution de ces programmes depuis laide en ligne. Bloquer laccs linvite de commande : Configuration Utilisateurs | Modles dadministration | Systme | Dsactiver laccs linvite de commande. Dfinir la liste des applications autorises : Configuration Utilisateurs | Modles dadministration | Systme | Excuter seulement les applications Windows autorises. Activer linterface de lutilisateur personnalise : Configuration Utilisateurs | Modles dadministration | Systme | Interface Utilisateur personnalise. Empcher laccs aux outils de modification du registre : Configuration Utilisateurs | Modles dadministration | Systme | Empche laccs aux outils de modification du registre. Configurer la GPO pour que les GPO de type Configuration Utilisateur sapplique un compte ordinateur. Restreindre laccs certaines fonctionnalits / menu dans les programmes Office via GPO (utilisation ADM Office). Activer le pare feu de Windows 2008 R2 pour bloquer tous les accs sauf aux contrleurs de domaine. Appliquer les prconisations des articles suivants : http://support.microsoft.com/kb/278295/en-us http://www.microsoft.com/downloads/en/details.aspx?FamilyID=7f272fff-9a6e-40c7b64e-7920e6ae6a0d&DisplayLang=en Il ny a plus de visionneuse des fichiers daide par dfaut sous Windows 2008 R2 : http://support.microsoft.com/kb/917607/en-us 2.3 BLOQUER LAPPLICATION DES GPO AUX ADMINISTRATEURS DU SERVEUR :

Afin que les administrateurs puissent grer le serveur, interdire lapplication de la GPO aux groupes correspondant aux administrateurs du serveur (administrateurs du domaine dans lexemple ci-dessous) :

2.4

A SAVOIR SUR APPLOCKER :

Le mode de fonctionnement dAppLocker est Tout interdire sauf . Lorsque lon cre la premire rgle AppLocker, on cre indirectement la rgle par dfaut (non configurable), tout interdire. AppLocker ne gre pas les application posix ou le sous systme 16 bits. Il faut donc bloquer ces deux sous systmes. Voir stratgie Computerconfiguration/Administrative Templates/Windows-Components/Applicationcompatibility et activer le paramtre Deny access to 16bit applications . Il y a un journal de scurit ddi pour Applocker dans Windows 2008 R2. Cela peut tre pratique pour dterminer les excutables qui sont ncessaires aux bons fonctionnement de vos applications.

Il est possible de configurer Applocker en mode Audit uniquement. Attention la configuration par dfaut est en mode appliqu.

 Surveiller la prsence des erreurs Microsoft-Windows-AppLocker 8004. Elles permettent de savoir quels sont les applications qui sont interdites. Il faut ensuite identifier si cest normal que cette soit interdite ou non. Log Name: Microsoft-Windows-AppLocker/EXE and DLL Source: Microsoft-Windows-AppLocker Date: 19/04/2011 19:21:15 Event ID: 8004 Task Category: None Level: Error Keywords: User: SYSTEM Computer: fr92sv0004.newlife.lan Description: %SYSTEM32%\TASKHOST.EXE was prevented from running. AppLocker gre les formats de fichiers suivants : Les formats pris en charge : o Exe : via rgles Executables Rules o Com : via rgles Executables Rules o Msi : via rgles Windows Installer o Msp : via rgles Windows Installer o ps1 : via rgles Script Rules o bat : via rgles Script Rules o cmd : via rgles Script Rules o vbs : via rgles Script Rules o js: via rgles Script Rules o dll : si la case Enable the dll rule collection est coch. Attention au performance. Il sera aussi ncessaire de savoir quels sont les DLL utiliss par les applications (trs dangereux).

Si un Applocker ne peut pas vrifier le certificat dune application autorise laide dune rgle Publisher , lapplication est interdite. If the application's certificate expires while the rule is enforced, the binary file will be blocked from running. A binary file is considered signed as long as the timestamp happened

during the validity period of both the signing of the certificate and the time stamping of the certificates in the certificate chain. Pour plus dinformations sur Applocker : http://windowsteamblog.com/windows/b/springboard/archive/2009/08/18/understandingwindows-7-applocker.aspx http://technet.microsoft.com/en-us/library/dd723678(WS.10).aspx http://technet.microsoft.com/en-us/library/ee844118(WS.10).aspx http://technet.microsoft.com/en-us/library/ee619725(WS.10).aspx http://technet.microsoft.com/fr-fr/library/dd723686(WS.10).aspx http://www.windowsnetworking.com/articles_tutorials/Introduction-AppLockerPart1.html http://www.windowsnetworking.com/articles_tutorials/Introduction-AppLockerPart2.html http://www.windowsnetworking.com/articles_tutorials/Introduction-AppLockerPart3.html http://www.windowsnetworking.com/articles_tutorials/Introduction-AppLockerPart4.html http://technet.microsoft.com/en-us/windows/dd320283.aspx http://microsoftplatform.blogspot.com/2011_01_01_archive.html http://technet.microsoft.com/en-us/library/ee460956(WS.10).aspx http://technet.microsoft.com/en-us/library/ee460957(WS.10).aspx http://technet.microsoft.com/en-us/library/dd723678(WS.10).aspx http://microsoftplatform.blogspot.com/2011_01_01_archive.html http://64.4.11.252/en-us/library/ee619725(WS.10).aspx#BKMK_CertRevocation

2.5

MISE EN UVRE DAPPLOCKER :

2.5.1 Etape 1 : crer et personnaliser les rgles par dfaut Applocker :

Editer lobjet de stratgie de groupe. Crer les rgles par dfaut. Ce sont ces rgles qui vont nous permettre aux systmes de continuer fonctionner correctement. Pour cela, cliquer sur Create Default rules dans les sections Executables Rules , Windows Installer et Script Rules . On obtient chaque fois trois rgles autoriser. Laisser uniquement la rgle avec le groupe BUILTIN\Administrateurs (comprendre les comptes membres du groupe Administrators de la base SAM locale). En effet les rgles pour les utilisateurs non administrateur sont trop permissives.

Crer une rgle Autoriser tous les fichiers pour les comptes suivants (mme rgle que pour le groupe BUILTIN\Administrateurs) : NT AUTHORITY\SYSTEM NT AUTHORITY\LOCAL SERVICE NT AUTHORITY\NETWORK SERVICE NT AUTHORITY\NETWORK SERVICE NT AUTHORITY\SERVICE.

Remarque : Il peut tre ncessaire dautoriser dautre entit de scurit prdfini comme IUSR Le log ci-dessous semble indiquer que par dfaut le compte SYSTEM na plus accs tout. Log Name: Microsoft-Windows-AppLocker/EXE and DLL Source: Microsoft-Windows-AppLocker Date: 20/04/2011 16:06:47 Event ID: 8004 Task Category: None Level: Error Keywords: User: SYSTEM Computer: fr92sv0004.newlife.lan Description: %SYSTEM32%\CONHOST.EXE was prevented from running.

2.5.2 Etape 2 : Les excutables systmes autoriser :

A cette tape, seuls les membres du groupe administrateurs et les comptes SYSTEM peuvent ouvrir une session sur le serveur. Si un utilisateur essaie douvrir une session, cela choue. La session se ferme car le processus userinit.exe ne peut pas sexcuter correctement. Le tableau ci-dessous liste les excutables autoriser pour le groupe Authenticated users : Processus autoriser pour Authenticated Users %SYSTEM32%\DLLHOST.EXE %WINDIR%\explorer.exe %SYSTEM32%\Userinit.exe %SYSTEM32%\Dwm.exe %SYSTEM32%\gpupdate.exe %SYSTEM32%\CONHOST.EXE : Rle de ce processus Permet de grer les librairies virtuelles DLL : http://www.commentcamarche.net/contents/processu s/dllhost-exe.php3 Explorateur Windows Processus qui initie la session de lutilisateur. Charge lexplorateur Windows. http://msdn.microsoft.com/enus/library/aa969540(v=vs.85).aspx Permet dactualiser les stratgies de groupe. Ce processus est obligatoire si lon veut que lutilisateur puisse excuter un utilitaire en invite de commande comme GPUPDATE. Permet copier / coller entre le client RDS et le serveur RDS : http://support.microsoft.com/kb/309825/en-us Dans le cadre dune session RemoteApp, lance le processus RDPSHELL.EXE (une version mineur dexplorer.exe) : http://social.technet.microsoft.com/Forums/en/winse rverTS/thread/845ac56d-a8c2-4188-96b26ae310b84011 Sexcute la place dexplorer.exe dans le cadre dune session RemoteApp. http://support.microsoft.com/kb/2384602/en-us et http://blogs.technet.com/b/askperf/archive/2008/02/2 2/ws2008-terminal-services-remoteapps.aspx Permet de charger des DLL comme un programme classique WIN32 : http://www.commentcamarche.net/contents/processu s/rundll32-exe.php3 Permet dexcuter les programmes au dmarrage de la session. Permet les fonctionnalits daccessibilit (touches rmanentes). http://support.microsoft.com/kb/2516889/en-us Activation Windows Si Windows 2008 R2 64 bits, permet l'excution des programmes 32bit avec la couche driver 64 bit : http://social.technet.microsoft.com/Forums/fr-

%SYSTEM32%\rdpclip.exe

%SYSTEM32%\Rdpinit.exe

%SYSTEM32%\Rdpshell.exe.

%SYSTEM32%\RUNDLL32.EXE

%SYSTEM32%\RUNONCE.EXE %SYSTEM32%\SETHC.EXE
%SYSTEM32%\SLUI.EXE

%WINDIR%\SPLWOW64 :

FR/win7fr/thread/c62fb71c-f588-4ce6-875b9c2bf452acc2/ %SYSTEM32%\TSTHEME.EXE ? Permet de lancer des DLL en tant que processus. http://answers.microsoft.com/en%SYSTEM32%\TASKHOST.EXE us/windows/forum/windows_7performance/taskhostexe/0882ab46-43ee-4d908404-6802f8f4f2cf %SYSTEM32%\WERMGR.EXE Windows Erreur Manager. Ctfmon.exe active le TIP (Text Input Processor) des modes d'entre complmentaires ainsi que la barre de C:\WINDOWS\system32\ctfmon.exe langue Microsoft Office. http://support.microsoft.com/kb/282599/fr C:\windows\system32\usrlogon.cmd Script de login par dfaut. C:\WINDOWS\Application Script de login par dfaut. Compatibility Scripts\ C:\WINDOWS\System32\logon.scr Penser autoriser les crans de veille. \\nom_dns_domaine\netlogon Permet dexcuter les scripts de login. \\nom_dns_domaine\sysvol Permet dexcuter les scripts de login. \\nom_netbios_domaine\netlogon Permet dexcuter les scripts de login. \\nom_netbios_domaine\sysvol Permet dexcuter les scripts de login. %logonserver%\netlogon Permet dexcuter les scripts de login. %logonserver%\sysvol Permet dexcuter les scripts de login. Ncessaire si Citrix XenApp est install sur le C:\Program Files\Citrix serveur Terminal Server C:\Temp\*\getpaths.cmd Applications Citrix Remarques : Winlogon.exe (http://msdn.microsoft.com/en-us/library/Aa379434) sexcute dans le contexte du compte SYSTEM. Ce nest donc pas ncessaire de lautoriser. Si lon utilise une RemoteApp (publication dune application via le serveur Remote DeskTop Service), il faut autoriser aussi les excutables suivants Rdpinit.exe, Rdpshell.exe et rdpclip.exe. %SYSTEM32%\CONHOST.EXE : processus mre des consoles sous Windows 2008 R2. Voir : http://blogs.technet.com/b/askperf/archive/2009/10/05/windows-7-windows-server2008-r2-console-host.aspx). Les Vmware Tools sexcutent au dmarrage dune session utilisateur dans le contexte du compte utilisateur. A autoriser ventuellement (%PROGRAMFILES%\VMWARE\VMWARE TOOLS) sil sagit dune machine virtuelle. Pour plus dinformations, voir articles Microsoft : http://microsoftplatform.blogspot.com/2011/01/remote-control-rds-session-inmixed_26.html http://blogs.technet.com/b/askperf/archive/2008/02/22/ws2008-terminal-servicesremoteapps.aspx Applocker dispose dun journal de scurit qui permet de savoir quels excutables ont t autoriss ou bloqus. Le plus simple est dexcuter les applications avec Applocker dactiver pour dterminer les applications autoriser.

2.5.3 Etape 3 : Cration des rgles Applocker pour les Authenticated users :
Avec AppLocker, on peut maintenant : Crer une rgle qui sapplique un utilisateurs ou un groupe dutilisateur. Crer des rgles qui se basent sur les signatures numriques des programmes. La majorit des programmes sont maintenant signs par les diteurs ( laide de certificat) afin de valider que le programme na pas t modifis par un tiers et prouv lidentit de lditeur (programme provenant dun diteur de confiance). Dans lexemple ci-dessous jautorise toutes les versions dExplorer.exe qui sont suprieur la version 6.0. Gnrer automatiquement des rgles laide de la fonctionnalit Generate Rules en scannant un rpertoire.

On va maintenant crer les rgles pour permettre aux utilisateurs non administrateurs dutiliser les programmes de la suite Office 2007. Pour cela, on va utiliser la nouvelle fonction de cration automatique des rgles en cliquant sur Automatically Generate Rules . On va demander cet assistant de crer automatiquement des rgles Publisher et de gnrer des rgles de chemin daccs pour les excutables non signes.

On va ventuellement supprimer tous les excutables Office que lon ne souhaite pas autoriser. On obtient dans notre cas les rgles suivantes.

2.5.4 Etape 4 : Configurer le service Application Identity :

Il faut maintenant configurer le service Application Identity pour dmarrer automatiquement. Sans ce service AppLocker ne fonctionne pas. On peut faire cela manuellement ou mieux par GPO (interface grise dans la console services.msc).

DETAILS DE LOBJET STRATEGIE DE GROUPE :

Secure Remote Desktop Servers

Data collected on: 02/05/2011 10:27:21 Generalhide Detailshide Domain Owner Created Modified User Revisions Computer Revisions Unique ID GPO Status Linkshide Location RemoteDeskTopServers Enforced No newlife.lan NEWLIFE\Domain Admins 19/04/2011 16:14:06 02/05/2011 10:27:02 85 (AD), 85 (sysvol) 80 (AD), 80 (sysvol) {50CC4421-34C1-4A73-AAFA-ECA6298D5C11} Enabled Link Status Enabled Path newlife.lan/NewLife/RemoteDeskTopServers hide all

This list only includes links in the domain of the GPO. Security Filteringhide The settings in this GPO can only apply to the following groups, users, and computers: Name NT AUTHORITY\Authenticated Users Delegationhide These groups and users have the specified permission for this GPO Name NEWLIFE\Domain Admins NEWLIFE\Enterprise Admins NT AUTHORITY\Authenticated Users NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS NT AUTHORITY\SYSTEM Computer Configuration (Enabled)hide Policieshide Windows Settingshide Security Settingshide Local Policies/Security Optionshide Deviceshide Policy Devices: Allowed to format and eject removable media Devices: Prevent users from installing printer drivers Devices: Restrict CD-ROM access to locally logged-on user only Devices: Restrict floppy access to locally logged-on user only Interactive Logonhide Enabled Edit settings, delete, modify security No Allowed Permissions Custom Edit settings, delete, modify security Read (from Security Filtering) Read Inherited No No No No

Setting Administrators Enabled Enabled

Policy Interactive logon: Do not display last user name System Serviceshide Application Identity (Startup Mode: Automatic)hide Permissions No permissions specified Auditing No auditing specified Application Control Policieshide Dll Ruleshide No rules of type 'Dll Rules' are defined. Executable Ruleshide Action User

Setting Enabled

Name

Rule Type

Exceptions

Allow

NT AUTHORITY\Authenticated Users

ENABLE USERINIT.EXE FOR AUTHENTICATED USERS ENABLE WERMGR FOR AUTHENTICATED USERS Microsoft Office 2007: GROOVESTDURLLAUNCHER UTILITY signed by O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US

Publisher No

Allow

NT AUTHORITY\Authenticated Users

Publisher No

Allow

NT AUTHORITY\Authenticated Users

Publisher No

Allow

NT AUTHORITY\Authenticated Users

ENABLE DLLHOST.EXE FOR AUTHENTICATED USERS Microsoft Office 2007: MICROSOFT OFFICE ONENOTE signed by O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US

Publisher No

Allow

NT AUTHORITY\Authenticated Users

Publisher No

Allow

NT AUTHORITY\Authenticated Users

Microsoft Office 2007: GROOVE DRAT UTILITY signed by O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US

Publisher No

Allow

NT AUTHORITY\Authenticated Users

Microsoft Office 2007: GROOVEMONITOR UTILITY signed by O=MICROSOFT CORPORATION, L=REDMOND,

Publisher No

S=WASHINGTON, C=US Allow NT AUTHORITY\Authenticated Users Allow NT AUTHORITY\Authenticated Users ENABLE RDPINIT.EXE FOR AUTHENTICATED USERS Microsoft Office 2007: MICROSOFT OFFICE PICTURE MANAGER signed by O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US Allow NT AUTHORITY\Authenticated Users Allow NT AUTHORITY\Authenticated Users ENABLE RDPSHELL.EXE FOR AUTHENTICATED USERS Microsoft Office 2007: 2007 MICROSOFT OFFICE SYSTEM signed by O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US Allow NT AUTHORITY\Authenticated Users ENABLE TPAUTOCONNECT.EXE FOR AUTHENTICATED USERS Allow NT AUTHORITY\Authenticated Users Microsoft Office 2007: MICROSOFT OFFICE GROOVE signed by O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US Allow NT AUTHORITY\Authenticated Users Allow NT AUTHORITY\Authenticated Users ENABLE RUNDLL32.EXE FOR AUTHENTICATED USERS Microsoft Office 2007: GROOVE MIGRATOR UTILITY signed by O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US Allow NT AUTHORITY\Authenticated Users Allow NT AUTHORITY\Authenticated Users Allow NT AUTHORITY\Authenticated ENABLE EXPLORER.EXE FOR AUTHENTICATED USERS ENABLE TASKHOST.EXE FOR AUTHENTICATED USERS ENABLE DWM.EXE FOR Publisher No Publisher No Publisher No Publisher No Publisher No Publisher No Publisher No Publisher No Publisher No Publisher No Publisher No

Users Allow NT AUTHORITY\Authenticated Users Allow NT AUTHORITY\Authenticated Users

AUTHENTICATED USERS ENABLE RDPCLIP.EXE FOR AUTHENTICATED USERS Microsoft Office 2007: GROOVE AUDIT SERVICE signed by O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US Publisher No Publisher No

Allow

NT AUTHORITY\Authenticated Users

ENABLE SLUI.EXE FOR AUTHENTICATED USERS Microsoft Office 2007: MICROSOFT OFFICE DOCUMENT UPDATE UTILITY signed by O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US

Publisher No

Allow

NT AUTHORITY\Authenticated Users

Publisher No

Allow

NT AUTHORITY\Authenticated Users

ENABLE RUNONCE.EXE FOR AUTHENTICATED USERS Microsoft Office 2007: MICROSOFT OFFICE HELP VIEWER signed by O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US

Publisher No

Allow

NT AUTHORITY\Authenticated Users

Publisher No

Allow

NT AUTHORITY\Authenticated Users

ENABLE SPLWOW64.EXE FOR AUTHENTICATED USERS Microsoft Office 2007: MICROSOFT CLIP ORGANIZER signed by O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US

Publisher No

Allow

NT AUTHORITY\Authenticated Users

Publisher No

Allow

NT AUTHORITY\Authenticated Users

ENABLE TSTHEMES.EXE fOR AUTHENTICATED USERS Microsoft Office 2007: MICROSOFT OFFICE

Publisher No

Allow

NT AUTHORITY\Authenticated Users

Publisher No

OUTLOOK signed by O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US Allow NT AUTHORITY\Authenticated Users Microsoft Office 2007: SELFCERT signed by O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US Allow NT AUTHORITY\Authenticated Users Allow NT AUTHORITY\Authenticated Users Allow NT AUTHORITY\Authenticated Users ENABLE VMWARE TOOLS FOR AUTHENTICATED USERS ENABLE GPUPDATE FOR AUTHENTICATED USERS Microsoft Office 2007: MICROSOFT OFFICE INFOPATH signed by O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US Allow NT AUTHORITY\Authenticated Users Microsoft Office 2007: GROOVECLEAN UTILITY signed by O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US Allow NT AUTHORITY\Authenticated Users Allow Allow Allow NT AUTHORITY\SERVICE NT AUTHORITY\SYSTEM NT AUTHORITY\LOCAL SERVICE Allow NT AUTHORITY\NETWORK SERVICE Allow Windows Installer Ruleshide Action BUILTIN\Administrators User (Default Rule) All files Name Path Rule Type No Exceptions (Default Rule) All files Path No ENABLE SETHC.EXE FOR AUTHENTICATED USERS (Default Rule) All files (Default Rule) All Files (Default Rule) All Files Path Path Path No No No Publisher No Publisher No Publisher No Publisher No Publisher No Publisher No

Allow Script Ruleshide Action

BUILTIN\Administrators

(Default Rule) All Windows Installer files

Path

No

User

Name

Rule Type

Exceptions

Allow BUILTIN\Administrators Administrative Templateshide Policy definitions (ADMX files) retrieved from the local machine. System/Device Installationhide Policy Do not send a Windows error report when a generic driver is installed on a device Prevent Windows from sending an error report when a device driver requests additional software during installation System/Group Policyhide Policy User Group Policy loopback processing mode Mode: Setting Enabled Enabled Setting Enabled

(Default Rule) All scripts

Path

No

Comment

Comment

Replace

Windows Components/Remote Desktop Services/Remote Desktop Session Host/Device and Resource Redirectionhide Policy Do not allow clipboard redirection Do not allow COM port redirection Do not allow drive redirection Do not allow LPT port redirection Do not allow smart card device redirection Do not allow supported Plug and Play Enabled Setting Enabled Enabled Enabled Enabled Enabled Comment

device redirection Windows Components/Remote Desktop Services/Remote Desktop Session Host/Printer Redirectionhide Policy Redirect only the default client printer Use Remote Desktop Easy Print printer Setting Enabled Enabled Comment

driver first Windows Components/Windows Installerhide Policy Disable Windows Installer Setting Enabled Comment

Disable Windows Installer User Configuration (Enabled)hide Policieshide Administrative Templateshide Policy definitions (ADMX files) retrieved from the local machine. Control Panelhide Policy Prohibit access to the Control Panel Desktophide Policy Hide Internet Explorer icon on desktop Hide Network Locations icon on desktop Prevent adding, dragging, dropping and closing the Taskbar's toolbars Remove Computer icon on the desktop Remove My Documents icon on the desktop Remove Properties from the Computer icon context menu Remove Properties from the Documents icon context menu Remove Recycle Bin icon from desktop Remove the Desktop Cleanup Wizard Start Menu and Taskbarhide Policy Add Logoff to the Start Menu Lock all taskbar settings Lock the Taskbar Remove access to the context menus for the taskbar Remove and prevent access to the Shut Down, Restart, Sleep, and Hibernate commands Remove Balloon Tips on Start Menu items Remove Help menu from Start Menu Remove Homegroup link from Start Menu Remove links and access to Windows Enabled Enabled Enabled Enabled Enabled Enabled Enabled Setting Enabled Enabled Enabled Enabled Enabled Enabled Enabled Enabled Setting Enabled Setting Enabled Enabled Enabled

Always

Comment

Comment

Comment

Update Remove Music icon from Start Menu Remove Network Connections from Start Menu Remove Network icon from Start Menu Remove Pictures icon from Start Menu Remove pinned programs list from the Start Menu Remove Recorded TV link from Start Menu Remove Run menu from Start Menu Remove Search Computer link Remove Search link from Start Menu Remove the Action Center icon Remove Videos link from Start Menu Turn off personalized menus Systemhide Policy Don't display the Getting Started welcome screen at logon Prevent access to registry editing tools Disable regedit from running silently? Enabled Yes Enabled Enabled Enabled Enabled Enabled Enabled Setting Enabled Comment Enabled Enabled Enabled Enabled Enabled Enabled

Policy Prevent access to the command prompt

Setting Enabled Yes

Comment

Disable the command prompt script processing also?

Policy Restrict these programs from being launched from Help

Setting Enabled

Comment

Enter executables separated by commas: Example: calc.exe,paint.exe System/Ctrl+Alt+Del Optionshide Policy Remove Task Manager System/Scriptshide Policy Run legacy logon scripts hidden Setting Enabled Setting Enabled

Comment

Comment

Windows Components/Application Compatibilityhide Policy Prevent access to 16-bit applications Setting Enabled Comment

Turn off Program Compatibility Assistant Enabled Windows Components/Internet Explorerhide Policy Prevent Internet Explorer Search box from displaying Search: Disable Find Files via F3 within the browser Turn on menu bar by default Enabled Windows Components/Internet Explorer/Browser menushide Policy Disable Context menu Disable Open in New Window menu option Disable Save this program to disk option File menu: Disable New menu option File menu: Disable Open menu option File menu: Disable Save As Web Page Complete File menu: Disable Save As... menu option Help menu: Remove 'For Netscape Users' menu option Help menu: Remove 'Send Feedback' menu option Help menu: Remove 'Tip of the Day' menu option Help menu: Remove 'Tour' menu option Tools menu: Disable Internet Options... menu option Windows Components/Task Schedulerhide Policy Hide Advanced Properties Checkbox in Add Scheduled Task Wizard Hide Property Pages Prevent Task Run or End Enabled Enabled Setting Enabled Comment Enabled Enabled Enabled Enabled Enabled Enabled Enabled Enabled Enabled Enabled Setting Enabled Enabled Comment Enabled Setting Enabled Comment

Prohibit Browse Prohibit Drag-and-Drop Prohibit New Task Creation

Enabled Enabled Enabled

Prohibit Task Deletion Enabled Windows Components/Windows Explorerhide Policy Display the menu bar in Windows Explorer Do not display the Welcome Center at user logon Hide these specified drives in My Computer Pick one of the following combinations Restrict all drives Enabled Enabled Setting Enabled Comment

Policy Hides the Manage item on the Windows Explorer context menu No Computers Near Me in Network Locations No Entire Network in Network Locations Prevent access to drives from My Computer

Setting Enabled

Comment

Enabled

Enabled Enabled

Pick one of the following combinations

Restrict all drives

Policy Prevent users from adding files to the root of their Users Files folder. Remove "Map Network Drive" and "Disconnect Network Drive" Remove File menu from Windows Explorer Remove Hardware tab Remove Search button from Windows Explorer Remove Security tab Remove Windows Explorer's default context menu

Setting Enabled

Comment

Enabled

Enabled

Enabled Enabled

Enabled Enabled

Removes the Folder Options menu item from the Tools menu Request credentials for network installations Turn off common control and window animations

Enabled

Enabled

Enabled

Turn off Windows+X hotkeys Enabled Windows Components/Windows Messengerhide Policy Do not allow Windows Messenger to be run Do not automatically start Windows Messenger initially Enabled Setting Enabled Comment