como desativar a execução via pesquisa no Windows 10?

Question

como desativar a execução via pesquisa no Windows 10?

#1 resposta do (0 votos)

3

Estamos tentando evitar que nossos usuários executem vários comandos que não aprovamos especificamente. Nós implementamos o Applocker, mas isso não impede que o usuário execute comandos começando com rundll32.exe ou regsvr32.exe. Nas versões anteriores do Windows, a configuração da diretiva de grupo "Remover menu Executar no menu Iniciar" era suficiente. Mas no Windows 10, quando um usuário começa a digitar qualquer comando na pesquisa, mesmo com essa configuração do GP aplicada, o comando é executado.

Existe alguma maneira de evitar isso? É um problema de segurança significativo, e estou surpreso que o Windows 10, que é geralmente mais seguro, nessa questão, na verdade, é menos.

Se não, há pelo menos uma maneira de impedir o acesso ao campo de pesquisa? Eu já encontrei na barra de tarefas (mesmo se eu configurá-lo para "oculto", o usuário pode alternar de volta para "Mostrar ícone de pesquisa" ou "Mostrar caixa de pesquisa"), na lista alfabética de programas (em " Pesquisa ") e através das teclas de atalho Windows + S e Windows + Q.

Eu tentei renomear a pasta C: \ Windows \ SystemApps \ Microsoft.Windows.Cortana_cw5n1h2txyewy

Isso desativou totalmente a função de pesquisa, mas foi longe demais para as nossas necessidades. Isso impediria que os usuários executassem seus programas no menu Iniciar. Por exemplo, eles não poderiam simplesmente começar a digitar "Word" e ter o Microsoft Word aberto.

Todas as ideias serão bem vindas.

Obrigado!

David

security windows-10 group-policy applocker

por curwin 28.02.2017 / 16:00

1 resposta

Tags security windows-10 group-policy applocker

Acesso compartilhado ao destino iSCSI windows ssh servidores esporadicamente trava aguardando entrada de chave, mesmo em modo não interativo?

score 0 · Answer 1

Eu sei que faz muito tempo desde que você postou esta pergunta, mas pensei em informar como lidamos com esse problema, pois ele ainda pode ajudar você ou outra pessoa.

Desativamos a função de pesquisa usando o AppLocker e, em seguida, colocamos atalhos nos aplicativos mais usados (por exemplo, Office) na área de trabalho. Também implantamos um layout do menu Iniciar que contém blocos para todos os aplicativos comuns, de modo que o Word, o Excel etc. todos tenham um bloco no menu Iniciar. Eu sei que você não quer desativar completamente a função de pesquisa, mas talvez o layout do Menu Iniciar e a área de trabalho possam ser um compromisso aceitável?

Para configurar o AppLocker para bloquear a função de pesquisa, criei a seguinte regra:

Nota: Para quem nunca usou o AppLocker, ele pode ser encontrado aqui COMPUTER Configuration\Policies\Windows Settings\Security Settings\Application Control Policies\AppLocker

Em Packaged app Rules , criei uma política com as seguintes configurações. Optei por Permitir todos os pacotes por padrão e criar exceções para qualquer coisa que eu quisesse desabilitar. Você poderia apenas configurar uma regra Negar para o pacote Cortana.

Action: Allow
User: Everyone
Publisher: *
Package name: *
Package version: 0.0.0.0 And above

Exceptions:

Publisher: CN=Microsoft Windows, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
Package name: Microsoft.Windows.Cortana
Package version: * And above

Eu criei outra regra que permitia todos os pacotes sem exceções e os aplicava a um grupo de segurança que contém a mim e a minhas faculdades (por exemplo, DOMAIN \ IT Support) para impedir que nós acessem tudo o que minha primeira regra bloqueia. (NOTA: Descobri que usar o grupo Administradores não funcionou bem para isso, pois você precisaria elevar sua conta / executar como administrador para usar qualquer coisa que estivesse bloqueada. Usar outro grupo como 'Equipe de Suporte de TI' funciona muito melhor) .

Para implantar o layout do menu Star, ativei a seguinte política:

USER Configuration\Policies\Administrative Templates\Start Menu and Taskbar\Start Layout File

Eu armazenei o arquivo de layout em um compartilhamento acessível e apontei a diretiva para isso. Aqui está um exemplo do arquivo de layout:

<LayoutModificationTemplate Version="1" xmlns="http://schemas.microsoft.com/Start/2014/LayoutModification">
  <LayoutOptions StartTileGroupCellWidth="6" />
  <DefaultLayoutOverride>
    <StartLayoutCollection>
      <defaultlayout:StartLayout GroupCellWidth="6" xmlns:defaultlayout="http://schemas.microsoft.com/Start/2014/FullDefaultLayout">
        <start:Group Name="Internet" xmlns:start="http://schemas.microsoft.com/Start/2014/StartLayout">
          <start:DesktopApplicationTile Size="2x2" Column="0" Row="0" DesktopApplicationID="Microsoft.Windows.Computer" />
          <start:DesktopApplicationTile Size="2x2" Column="2" Row="0" DesktopApplicationLinkPath="%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk" />
          <start:DesktopApplicationTile Size="2x2" Column="4" Row="0" DesktopApplicationID="Chrome" />
          <start:DesktopApplicationTile Size="2x2" Column="0" Row="2" DesktopApplicationID="N:\" />
        </start:Group>
        <start:Group Name="Office" xmlns:start="http://schemas.microsoft.com/Start/2014/StartLayout">
          <start:DesktopApplicationTile Size="2x2" Column="0" Row="2" DesktopApplicationID="{6D809377-6AF0-444B-8957-A3773F02200E}\Microsoft Office\Office16\MSACCESS.EXE" />
          <start:DesktopApplicationTile Size="2x2" Column="4" Row="2" DesktopApplicationID="{6D809377-6AF0-444B-8957-A3773F02200E}\Microsoft Office\Office16\ONENOTE.EXE" />
          <start:DesktopApplicationTile Size="2x2" Column="2" Row="0" DesktopApplicationID="{6D809377-6AF0-444B-8957-A3773F02200E}\Microsoft Office\Office16\EXCEL.EXE" />
          <start:DesktopApplicationTile Size="2x2" Column="0" Row="0" DesktopApplicationID="{6D809377-6AF0-444B-8957-A3773F02200E}\Microsoft Office\Office16\WINWORD.EXE" />
          <start:DesktopApplicationTile Size="2x2" Column="4" Row="0" DesktopApplicationID="{6D809377-6AF0-444B-8957-A3773F02200E}\Microsoft Office\Office16\POWERPNT.EXE" />
          <start:DesktopApplicationTile Size="2x2" Column="2" Row="2" DesktopApplicationID="{6D809377-6AF0-444B-8957-A3773F02200E}\Microsoft Office\Office16\MSPUB.EXE" />
          <start:Tile Size="2x2" Column="0" Row="4" AppUserModelID="Microsoft.Office.Sway_8wekyb3d8bbwe!Microsoft.Sway" />
          <start:DesktopApplicationTile Size="2x2" Column="2" Row="4" DesktopApplicationID="{7C5A40EF-A0FB-4BFC-874A-C0F2E0B9FA8E}\Adobe\Acrobat 9.0\Acrobat\Acrobat.exe" />
        </start:Group>
      </defaultlayout:StartLayout>
    </StartLayoutCollection>
  </DefaultLayoutOverride>
</LayoutModificationTemplate>

Você pode criar seu próprio arquivo de layout do Menu Iniciar exportando o layout do seu próprio menu Iniciar. Isso pode ser feito usando este comando powershell:

Export-StartLayout –path <path><file name>.xml

Mais informações aqui: Personalizar e exportar o layout Iniciar (docs.microsoft .com)

Espero que isso ajude alguém.