Falha de BUILTIN \ Administrador com privilégios mínimos Configurando políticas de controle de aplicativos com o AppLocker

Navegue suas respostas
2

Eu fiz essa pergunta em SuperUser sem sucesso algum tempo atrás, antes de perceber que serverfault pode ser uma opção melhor.

Estou configurando o controle de execução em um computador executando o Windows 7 SP1 Ultimate com um disco rígido com uma única partição. Com o AppLocker, vem a opção de criar "regras padrão". No caso do grupo Regras Executáveis, estas são as seguintes:

  • Allow Everyone Path %PROGRAMFILES%*
  • Allow Everyone Path %WINDIR%*
  • Allow BUILTIN\Administrators Path *

(No exceptions.)

Com todos esses recursos, "tudo funciona como esperado". No entanto, se as duas primeiras regras aplicadas a "Todos" forem removidas, as coisas dão errado.

Agora, o login usando uma conta do grupo de segurança BUILTIN \ Administrators não é mais possível. (Se a conta já estava logada anteriormente, você pode precisar reiniciar o computador para ver isso falhar. Além disso, isso não se aplica à conta BUILTIN \ Administrator, que ainda funciona). O que acontece quando você tenta é isso:

Há um atraso e, quando a área de trabalho deve ser apresentada, a tela fica em branco. Então, nada mais. O computador não deixa de responder, por ex. Ctrl + Alt + Delete ainda funciona.

(Se eu reconfigurar o AppLocker para permitir explicitamente privilégios de execução BUILTIN \ Administrators para% WINDIR% *, ou restaurar essa regra para "Everyone", essas contas poderão fazer login novamente.)

De acordo com o MSDN :

The asterisk (*) wildcard character can be used within Path field. The asterisk (*) character used by itself represents any path. When combined with any string value, the rule is limited to the path of the file and all the files under that path. For example, %ProgramFiles%\Internet Explorer* indicates that all files and subfolders within the Internet Explorer folder will be affected by the rule.

Isso para mim implica que a regra padrão para BUILTIN \ Administrators deve completamente sobrepor as regras padrão criadas para "Everyone", tornando-as redundantes no caso de contas pertencentes ao grupo BUILTIN \ Administrators. Como você pode ver, isso parece não ser o caso.

Então, eu tenho duas perguntas sobre isso:

  1. Por que a regra padrão para BUILTIN \ Administrators em si não é suficiente para fazer com que as contas pertencentes a esse grupo funcionem (ou seja, o que há de errado com isso e o que está falhando devido a isso) e
  2. Qual é realmente a configuração de menos privilégios para uma conta administrativa funcional (não BUILTIN \ Administrador) em relação à configuração do AppLocker?
por Oskar Lindberg 24.10.2014 / 08:39

1 resposta

0

Pelo que entendi, seu problema está relacionado a como o Windows trata contas administrativas.

Fora da caixa, desde o Windows Vista, as contas administrativas não têm os direitos administrativos ativados imediatamente, e você precisa elevar os privilégios de administrador usando o Controle de acesso do usuário, por exemplo, se tentar e alterar uma configuração do sistema, você recebe o prompt do UAC perguntando se você sabe o que está fazendo). Até que você faça isso, a conta de usuário basicamente tem apenas o mesmo nível de permissões que um usuário normal faria.

Conseqüentemente, ao fazer login como membro do grupo Administradores, sua conta de usuário não possui os privilégios técnicos de um administrador (já que você não aumentou o uso do UAC) e, portanto, não atende aos requisitos de sua regra "Permitir *". Sua sessão do Windows continua a implodir porque sua conta de usuário não tem permissão para executar nenhum dos arquivos de sistema do Windows necessários durante o login.

Eu tenho um problema semelhante em um dos meus ambientes AppLocker, eu não bloqueio os diretórios Arquivos de Programas e Windows tanto quanto você tem (excluindo as regras padrão), mas eu tenho uma regra basicamente dizendo "Membros de BUILTIN \ Administrators, allow * ". No entanto, quando você faz login como administrador e tenta clicar duas vezes em um executável aleatório fora do Windows / Arquivos de Programas, você recebe uma violação do AppLocker e impede que você o execute. Em vez disso, você tem que clicar com o botão direito e ir "Executar como administrador"; é só nesse momento que o AppLocker vai entender que você é de fato um membro do BUILTIN \ Administrators.

Possíveis soluções alternativas são:

  1. Desative o UAC (nunca testei isso, não sei se ele funcionará - em nosso ambiente, deixamos o UAC ativado)

  2. Crie um novo grupo local do Windows chamado "System Administrators" ou algo assim, e adicione contas individuais de usuário do Windows a ele de pessoas que possam acessá-lo (mas não simplesmente adicione BUILTIN \ Administradores para isso); em seguida, crie uma regra do AppLocker informando que os membros do grupo 'Administradores de sistemas' têm permissão para executar qualquer coisa.

  3. Mantenha as regras de permissão padrão geradas pelo Windows, mas adicione algumas regras de 'Negar' que se aplicam aos usuários finais impedindo-os de acessar os arquivos específicos nos diretórios Windows e Arquivos de Programas com os quais você está preocupado. Isso é o que fazemos em nosso ambiente (por exemplo, permitir C: \ Windows \ *, mas bloquear o acesso a cmd.exe, PowerShell.exe, regedit.exe, etc. etc.) Lembre-se de que uma regra Negar sempre substitui uma regra Permitir .

Se ainda não o fez, certifique-se de ativar o log do AppLocker e examine o Visualizador de Eventos do Windows, pois ele deve fornecer informações sobre por que um determinado usuário não recebeu permissão para executar algo. Verifique também o Test-AppLockerPolicy comando do PowerShell para simular o que é permitido e o que não é para um usuário específico e executável (embora não tenha certeza se está disponível no Windows 7, talvez seja necessário atualizar sua versão do PowerShell).

    
por 25.10.2014 / 09:45

Tags

Recriar Partição XFS com o Sistema de Arquivos Existente O nome do host do servidor de impressão foi alterado - as impressoras de implantação via GPO não funcionam mais