Como faço para colocar na lista de permissões as instalações do Firefox do meu GPO do Cryptolocker SRP?

3

Tenho uma configuração de GPO para impedir que o Cryptolocker infecte sistemas em nosso ambiente. As restrições de software abaixo estão em vigor:

%AppData%\*.exe
%AppData%\*\*.exe
%LocalAppData%\Temp\*.zip\*.exe
%LocalAppData%\Tempz*\*.exe
%LocalAppData%\Temp\Rar*\*.exe
%LocalAppData%\Temp\wz*\*.exe
%UserProfile%\Local Settings\Temp\*.7z\*.exe
%UserProfile%\Local Settings\Temp\*.rar\*.exe
%UserProfile%\Local Settings\Temp\*.wz\*.exe
%UserProfile%\Local Settings\Temp\*.zip\*.exe

Ao tentar instalar o Firefox, recebo o erro abaixo:

Access to C:\Users\jdoe\AppData\Local\TempzSA1FB.tmp\setup-stub.exe has been restricted by your Administrator by location with policy rule {0cbe13527-3132-4e4c-5df1-c48de858c993} placed on path C:\Users\jdoe\AppData\Local\Tempz*\*.exe.

Eu adicionei a regra abaixo ao GPO e defini-a como irrestrita, mas não funciona:

%LocalAppData%\Tempz*.tmp\setup-stub.exe

Alguém pode me dizer o que estou fazendo de errado? Eu não posso usar o nome da pasta exata (7zS189F.tmp neste caso), pois toda vez que ele é instalado, o nome da pasta é um pouco diferente, portanto, preciso usar o caractere curinga.

Agradecemos antecipadamente pela sua ajuda.

    
por Windows Ninja 28.02.2014 / 13:59

3 respostas

3

Com SRP, a regra mais conservadora tem precedência . Isto é, desautorizar tem precedência sobre permitir .
Sua regra de permissão %LocalAppData%\Tempz*.tmp\setup-stub.exe é funcionalmente equivalente à regra de proibição de %LocalAppData%\Tempz*\*.exe . Duas regras de caminho, contendo curingas como você usou, são tratadas como as mesmas na avaliação de precedência.

De Como funcionam as políticas de restrição de software :

Path rule precedence

When there are multiple matching path rules, the most specific matching rule takes precedence.

The following is a set of paths, from highest precedence (more specific match) to lowest precedence (more general match):

  • Drive:\Folder1\Folder2\FileName.Extension
  • Drive:\Folder1\Folder2*.Extension
  • *.Extension
  • Drive:\Folder1\Folder2\
  • Drive:\Folder1\

Suas regras conflitantes correspondem ao segundo exemplo e são consideradas de precedência equivalente. Por causa disso, a regra de não permissão "ganha".

    
por 28.02.2014 / 14:26
1

Tive o mesmo problema, mesma causa (GPOs criados para bloquear instalações de ransomware). Eu tenho meus GPOs atribuídos a UOs separadas, por isso é fácil alternar temporariamente:

  • Abra o Gerenciamento de políticas de grupo,
  • Verifique em quais UOs seu GPO de blocagem do Ransomware se aplica a
  • Confirme se a máquina de destino está em uma dessas OUs
  • Mova o computador de destino para uma UO onde a política não se aplica
  • Execute gpupdate / force na máquina de destino em um prompt de comando do administrador
  • Executar a instalação do firefox,
  • Devolver a máquina de destino para a unidade organizacional original
  • Execute gpudate / force na máquina de destino novamente para reaplicar a política e proteger sua máquina

Embora não ganhe nenhum prêmio por elegância, é uma solução temporária.

    
por 27.07.2015 / 10:59
0

Eu me deparei com o mesmo problema esta manhã, eu tenho a política de grupo para evitar o bloqueio de criptografia e eu precisava instalar o FF em uma única máquina.

Aqui está o processo:

  1. Download "setup stub.exe do firefox"
  2. Mova-o para outro lugar que não seja downloads. Eu usei c: \ temp.
  3. Abra uma janela de comando (com privilégios de administrador).
  4. Digite estes comandos: (c: \ temp é usado para este exemplo)

    set temp = c: \ temp
    set tmp = c: \ temp
    cd \ temp

  5. Execute sua configuração do firefox.

Trabalhou como um encanto para mim.

    
por 15.07.2015 / 16:30