Restrições de software do Windows 2003 GPO

Navegue suas respostas
9

Estamos executando um farm do Terminal Server em um domínio do Windows 2003 e descobri um problema com as configurações do GPO Restrições de software que estão sendo aplicadas aos nossos servidores de TS. Aqui estão os detalhes da nossa configuração e o problema:

Todos os nossos servidores (Domain Controllers e Terminal Servers) estão executando o Windows Server 2003 SP2 e o domínio e a floresta estão no nível do Windows 2003. Nossos servidores de TS estão em uma UO em que temos GPOs específicos vinculados e com herança bloqueada, portanto, apenas os GPOs específicos de TS são aplicados a esses servidores TS. Nossos usuários são todos remotos e não possuem estações de trabalho unidas ao nosso domínio, portanto, não usamos o processamento de políticas de loopback. Adotamos uma abordagem de "lista branca" para permitir que os usuários executem aplicativos, de modo que apenas os aplicativos que aprovamos e adicionamos como regras de caminho ou hash possam ser executados. Temos o Nível de segurança em Restrições de software definido como Não permitido e a Imposição está definida como "Todos os arquivos de software, exceto bibliotecas".

O que eu descobri é que, se eu der a um usuário um atalho para um aplicativo, ele poderá iniciar o aplicativo mesmo que ele não esteja na lista Regras Adicionais dos aplicativos "permitidos". Se eu der ao usuário uma cópia do executável principal do aplicativo e ele tentar iniciá-lo, ele receberá a mensagem "este programa foi restrito ...". Parece que as Restrições de Software estão de fato funcionando, exceto quando o usuário inicia um aplicativo usando um atalho em vez de iniciar o aplicativo a partir do próprio executável principal, o que parece contradizer o propósito de usar Restrições de Software.

Minhas perguntas são: Alguém mais viu esse comportamento? Alguém mais pode reproduzir esse comportamento? Estou faltando alguma coisa no meu entendimento de Restrições de Software? É provável que eu tenha algo mal configurado nas Restrições de Software?

EDITAR

Para esclarecer um pouco o problema:

Nenhum GPO de nível superior está sendo aplicado. A execução de gpresults mostra que, na verdade, apenas os GPOs de nível TS estão sendo aplicados e, de fato, posso ver minhas Reativações de Software sendo aplicadas. Nenhum curinga de caminho está em uso. Eu estou testando com um aplicativo que está em "C: \ Arquivos de programas \ Application \ executable.exe" e o aplicativo executável não está em qualquer caminho ou regra de hash. Se o usuário iniciar o executável principal do aplicativo diretamente da pasta do aplicativo, as Restrições de Software serão aplicadas. Se eu der ao usuário um atalho que aponte para o aplicativo executável em "C: \ Arquivos de programas \ Application \ executable.exe", eles poderão iniciar o programa.

EDITAR

Além disso, os arquivos LNK são listados nos Tipos de Arquivos Designados, portanto, devem ser tratados como executáveis, o que significa que eles estão sujeitos às mesmas configurações e regras de Restrições de Software.

    
por joeqwerty 14.02.2010 / 15:14

4 respostas

5

Então eu finalmente encontrei a resposta. Em nossas regras de Restrições de software, há uma regra de caminho como tal:

% HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ ProgramFilesDir%

Isso permite que qualquer executável dentro do diretório Arquivos de Programas e seus diretórios filhos sejam executados sem restrições. Este caminho é adicionado por padrão quando você configura Restrições de Software. Remover esta regra de caminho faz com que todo programa seja negado, mesmo que seu executável seja explicitamente adicionado como um caminho irrestrito.

O que implora a pergunta: Se 99% de todos os programas estiverem instalados no diretório Arquivos de Programas, mas eu quiser restringir certos programas, como posso conseguir isso com Restrições de Software?

Igualmente importante é a pergunta: quais são as Restrições de Software, exceto aqueles programas ou executáveis não localizados em Arquivos de Programas?

    
por 29.06.2010 / 19:58
0

Eu verificaria as ACLs no atalho que você criou para os usuários. De acordo com as Práticas recomendadas de políticas de restrição de software: Política de segurança; Serviços de segurança ,

Users might try to circumvent software restriction policies by renaming or moving disallowed files or by overwriting unrestricted files. As a result, it is recommended that you use access control lists (ACLs) to deny users the access necessary to perform these tasks

    
por 25.03.2010 / 07:38
0

Você pode tentar remover o LNK como um tipo de arquivo designado. Mesmo que eles estejam sendo tratados como executáveis, eles não deveriam estar. Dessa forma, as restrições de software devem ser aplicadas ao executável alocado pelo arquivo LNK, e não ao arquivo LNK em si.

    
por 26.03.2010 / 15:49
0

Eu experimentei o que você está falando - é muito chato. Tenho certeza de que, por padrão, seus usuários têm permissão para executar aplicativos instalados em Arquivos de Programas.

Você já tentou restringir o acesso a aplicativos com permissões de NTFS e lista branca dessa maneira?

Então os usuários poderiam ter atalhos para o que quisessem e isso não os ajudaria, já que eles não conseguiriam acessar o programa.

Ref: link

    
por 30.04.2010 / 23:20

Tags

Como posso prever a ordem de encerramento do systemd? “Excluir arquivos mais antigos que” script em lote