Devido à carga de trabalho gerada por surtos recentes de ransomware (Cryptolocker / Cryptowall / etc.), Recentemente fui encarregado de implementar políticas de Restrição de Software para bloquear a execução de programas a partir de diretórios temporários. Geralmente, isso funciona bem o suficiente, mas temos um problema quando precisamos instalar o software, pois essas políticas de Restrição de Software impedem que os instaladores acessem os diretórios temporários da máquina.
Nossa hierarquia do Active Directory é basicamente organizada de acordo com as linhas de nossos sites físicos, e nossos objetos AD herdam cerca de uma dúzia de GPOs, cada um, da raiz do domínio e das UOs de sites específicas. Dessa forma, não tenho a opção de criar uma UO de diretiva bloqueada fora da raiz do domínio (pois não herdar as configurações de Diretiva de Grupo específicas do site causa grandes problemas com as máquinas, e os usuários remotos não são qualificados o suficiente para resolvê-los ), ou vincular novamente os Objetos de Diretiva de Grupo às UOs filhas (como isso envolveria várias centenas de operações de desvinculação e revinculação, o que não estou disposto a fazer), ou criar uma UO filha em cada uma com a herança bloqueada (porque eu teria centenas de operações de ligação a serem feitas nesse caso).
Dito isso, eu preciso de uma maneira de interromper temporariamente a aplicação da política de Restrição de Software, para que possamos instalar o software periodicamente. Tentei resolver isso inicialmente criando uma UO filha em cada site e vinculando uma política inversa de Restrição de Software, pensando que a maior precedência da política inversa substituiria a herdada, mas que não funcionava de todo - um RSOP mostrou que os computadores estavam recebendo cortesia disallow
e unrestricted
regras, e as disallow
regras vencem nesse cenário.
Portanto, com tudo isso em mente (não é possível vincular novamente todos os nossos GPOs, não é possível criar uma UO simples bloqueada por herança e um GPO com precedência mais alta parece não resolver o meu problema), o que posso fazer para [temporariamente] bloquear o aplicativo de GPOs de restrição de software herdados? Suponha clientes do Windows 7 em um domínio / floresta do Server 2008 R2 FL.