Impacto de impor políticas de restrição de software via GPO 2008r2

1

Estamos tentando impedir a execução de determinados executáveis relacionados ao sistema por usuários comuns em nossa rede (mmc, cmd, ldp, etc.). Sugeri o uso de regras de hashing de software, mas estou preocupado com a possibilidade de haver impactos não intencionais na imposição da restrição de software por meio do GPO, em vez de alterar as permissões nos executáveis por meio do GPO.

O que mudará na rede quando eu mudar de irrestrito para o uso de restrições de software via GPO? Temos uma rede autônoma muito pequena que não vê muito tráfego. As regras de hash devem ser eficazes, mas não quero causar outros problemas configurando-as.

    
por Shrout1 01.10.2014 / 16:47

1 resposta

1

A restrição de software é uma ferramenta poderosa e também um tema divertido:

Primeiro, para responder diretamente à sua pergunta, praticamente não haverá impacto na própria rede. A restrição de software é aplicada inteiramente no lado do cliente. O único tráfego de rede aparece quando o cliente baixa inicialmente as regras do servidor. Isso é executado como parte do processo de atualização da Diretiva de Grupo padrão, o que aconteceria de qualquer maneira, com restrição de software ou não.

Quanto aos efeitos em seus usuários, isso depende muito de quanto teste você fez anteriormente. Se você passar um dia coletando hashes de todos os executáveis que puder imaginar, jogue-os em uma política de restrição de software e vire a chave - você terá um dia muito ruim. Sempre haverá coisas em que você não pensa: aplicativos que copiam executáveis em locais estranhos, aplicativos que aplicam automaticamente atualizações (que alterarão seus hashes), executáveis de aplicativos que se modificam automaticamente (geralmente como parte de esquemas de licenciamento arcaicos, também mudam o hash), etc. Em uma rede pequena, a maneira mais fácil de implementar as restrições de software é escolher um usuário de cobaia (estagiário etc.) e implantar as restrições a eles. Você encontrará 80% dos seus erros logo de cara.

A Microsoft tem uma tonelada de literatura sobre o assunto também. É muito seco, mas uma riqueza de conhecimento. Confira o tópico em TechNet .

    
por 01.10.2014 / 21:42