Devido à carga de trabalho gerada pelos recentes surtos de ransomware (Cryptolocker / Cryptowall / etc.), recentemente fui encarregado de implementar políticas de Restrição de Software para bloquear a execução de programas a partir de diretórios temporários. Isso geralmente funciona bem o suficiente, mas temos um problema quando precisamos instalar software, pois essas diretivas de restrição de software impedem que os instaladores acessem os diretórios temporários da máquina.
Nossa hierarquia do Active Directory é basicamente organizada nos moldes de nossos sites físicos, e nossos objetos do AD herdam cerca de uma dúzia de GPOs da raiz do domínio e de suas unidades organizacionais específicas do site. Como tal, não tenho a opção de criar uma OU de política bloqueada fora da raiz do domínio (como não herdar as configurações de Diretiva de Grupo específicas do site causa grandes problemas com as máquinas e os usuários remotos não são qualificados o suficiente para resolvê-los ), ou vinculando objetos de diretiva de grupo mais perto das OUs filhas (pois isso envolveria centenas de operações de descolamento e religamento, o que eu não estou disposto a fazer), ou criando uma OU filha em cada uma com herança bloqueada (porque eu várias centenas de operações de ligação para fazer nesse caso).
Dito isso, preciso de uma maneira de interromper temporariamente a aplicação do GPO de política de Restrição de Software, para que possamos instalar o software periodicamente. Eu tentei resolver isso inicialmente criando uma UO filho em cada site e vinculando uma diretiva de restrição de software inversa, pensando que a maior precedência da diretiva inversa substituirá a herdada, mas isso não funcionou de forma alguma - um RSOP mostrou que os computadores recebiam regras complementares de disallow
e unrestricted
, e as regras de disallow
vencem nesse cenário.
Portanto, com tudo isso em mente (não é possível vincular novamente todos os nossos GPOs, não é possível criar uma UO bloqueada de herança simples e um GPO com precedência mais alta não parece resolver meu problema), o que posso fazer para [temporariamente] bloquear a aplicação de GPOs de Restrição de Software herdados? Assuma os clientes do Windows 7 em um domínio / floresta do Server 2008 R2 FL.