Grund: Die Datei, die über die Funktion ShellExecute() aufgerufen wird, durchläuft seit Windows XP SP2 den "Attachment Execution Services" (AES)

Problem:
Wird beim Login eines Laufwerkes vom Server gemappt und über den Autostart eine .exe von dem Server gestartet, erscheint ein Sicherheitsfenster. Das Starten dieser Datei muss dann immer bestätigt werden.

Wir nun eine Datei über Rechnergrenzen hinweg aufgerufen, so kann es zu folgenden Meldungen kommen:





Grund:
Die Datei, die über die Funktion ShellExecute() aufgerufen wird, durchläuft seit Windows XP SP2 den "Attachment Execution Services" (AES). Findet der AES keine Regel, die das Ausführen genehmigt, so erhält der Benutzer eine Sicherheitswarnung (wie oben dargestellt), in der er dann eigenverantwortlich über die Ausführung entscheiden kann.

Findet der AES eine Regel, die das Ausführen unterbindet, so erhält der Benutzer folgende Fehlermeldung:



Diese Fehlermeldung erscheint, wenn der entfernte Rechner auf der Liste der eingeschränkten "Sites" registriert ist.

Lösung per IP-Adresse:
Man fügt den entfernten Rechner dem lokalen Intranet bzw. den "vertrauenswürdigen Sites" hinzu.
Die vertrauenswürdigen "Sites" beziehen sich eher auf Seiten aus dem Internet und sollten auch nur in diesem Falle verwendet werden.

Internetoptionen -> Sicherheit -> Vertrauenswürdige Sites -> "Sites" (Häkchen bei "https" entfernen, siehe Tipp).



Das Eintragen in das lokale Intranet sollte verwendet werden, wenn es sich um einen Rechner im eigenen Netz handelt.

Den entfernten Rechner unter Internetoptionen -> Sicherheit -> Lokales Intranet -> Sites -> Erweitert -> hinzufügen.

In dem sich dann öffnenden Fenster kann die IP-Adresse eingetragen werden.
Durch Klicken auf Hinzufügen wird die IP-Adresse der Liste "Websites" ergänzt.



Dazu noch in den Internetoptionen -> Sicherheit -> Lokales Intranet -> "Sites" den ersten Haken Intranetnetzwerk automatisch ermitteln entfernen.



Lösung per Gruppenrichtlinie (Pro Version):
Ab Windows XP SP2 unterscheidet die Prof.-Version zwischen drei Standardrisikostufen für Dateianlagen:
niedrig, mittel und hoch.
Jede Standardrisikostufe verfügt über eine »Aufnahmeliste für Dateitypen mit
a) niedrigem Risiko
b) mittlerem Risiko
c) hohem Risiko«

Standardmäßig ist die Standardrisikostufe "mittel" mit der Aufnahmeliste für Dateitypen mit "mittlerem Risiko" aktiviert.
Aktiviert der Benutzer explizit eine Standardrisikostufe, so muss er der entsprechenden Aufnahmeliste neue Dateiendungen hinzufügen.
Deaktiviert der Benutzer explizit eine Standardrisikostufe, so wird die entsprechende Aufnahmeliste zur Entscheidung herangezogen.
Wird die Aufnahmeliste nicht konfiguriert, so wird standardmäßig die entsprechende Aufnahmeliste verwendet.

In den Gruppenrichtlinien (gpedit.msc) unter "Benutzerkonfiguration - Administrative Vorlagen - Windows-Komponenten - Anlagen-Manager" die Richtlinie "Aufnahmeliste für Dateitypen mit niedrigem Risiko" aktivieren und unter Einstellung - "Erweiterungen" den Dateityp (Beispiel .exe) freigeben.
Die Dateierweiterungen immer mit Punkt eingeben.



Zu bevorzugen ist eindeutig die erste Variante, nur wer beim Downloaden aus dem Internet oder Intranet nicht immer mit einer Warnmeldung konfrontiert werden möchte, der sollte die Standardrisikostufen ändern. Jedoch sollte man sich bei zu schwacher Konfiguration der Gefahren bewusst sein und bei zu restriktiver Konfiguration des Mehraufwandes durch die ewig aufpoppenden Sicherheitshinweise.

Lösung per Registry (Home Version)
Anlage-Manager mit mittlerem Risiko:
In der Registry - Start - Ausführen: regedit [OK] oder die Registry als Administrator ausführen.

Unter


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Associations


einen DWORD-Wert erstellen mit dem Namen DefaultFileTypeRisk, Wert ist 00001807





Sollte der Unterschlüssel "Associations" nicht existieren, muss er neu angelegt werden.

Zusätzlich eine Zeichenfolge ModRiskFileTypes (REG_SZ) mit dem Wert .exe (Punkt nicht übersehen) erstellen.
Die Dateierweiterungen immer mit Punkt eingeben, bei mehreren Dateitypen immer mit einem Strichpunkt trennen (Beispiel: .doc;.pdf;.xls;.exe).





Systemneustart durchführen.

Anlage-Manager mit niedrigem Risiko:

In der Registry

unter


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Associations


eine Zeichenfolge LowRiskFileTypes (REG_SZ) erstellen und als Wert die entsprechenden Dateierweiterung eingeben. Die Dateierweiterungen immer mit Punkt angeben, bei mehreren Dateitypen immer mit einem Strichpunkt trennen (Beispiel: .bmp;.gif;.jpg).

Systemneustart durchführen.

Vorsicht: Die Einstellung setzt die in Windows vordefinierte Liste der Dateitypen mit hohem Risiko außer Kraft.


Weblinks

Bewertung

Besucherwertung (171 Stimmen)
5 / 6
(Höher ist besser)

Haben Sie Fragen dazu oder Probleme mit dem Tipp, dann melden Sie uns dies über das spezielle Kontaktformular.
Danke sagt das WinTotal-Team.