Como faço para bloquear a herança / aplicativo de um único GPO?


9

Devido à carga de trabalho gerada por surtos recentes de ransomware (Cryptolocker / Cryptowall / etc.), Recentemente fui encarregado de implementar políticas de Restrição de Software para bloquear a execução de programas a partir de diretórios temporários. Geralmente, isso funciona bem o suficiente, mas temos um problema quando precisamos instalar o software, pois essas políticas de Restrição de Software impedem que os instaladores acessem os diretórios temporários da máquina.

Nossa hierarquia do Active Directory é basicamente organizada de acordo com as linhas de nossos sites físicos, e nossos objetos AD herdam cerca de uma dúzia de GPOs, cada um, da raiz do domínio e das UOs de sites específicas. Dessa forma, não tenho a opção de criar uma UO de diretiva bloqueada fora da raiz do domínio (pois não herdar as configurações de Diretiva de Grupo específicas do site causa grandes problemas com as máquinas, e os usuários remotos não são qualificados o suficiente para resolvê-los ), ou vincular novamente os Objetos de Diretiva de Grupo às UOs filhas (como isso envolveria várias centenas de operações de desvinculação e revinculação, o que não estou disposto a fazer), ou criar uma UO filha em cada uma com a herança bloqueada (porque eu teria centenas de operações de ligação a serem feitas nesse caso).

Dito isso, eu preciso de uma maneira de interromper temporariamente a aplicação da política de Restrição de Software, para que possamos instalar o software periodicamente. Tentei resolver isso inicialmente criando uma UO filha em cada site e vinculando uma política inversa de Restrição de Software, pensando que a maior precedência da política inversa substituiria a herdada, mas que não funcionava de todo - um RSOP mostrou que os computadores estavam recebendo cortesia disallowe unrestrictedregras, e as disallowregras vencem nesse cenário.

Portanto, com tudo isso em mente (não é possível vincular novamente todos os nossos GPOs, não é possível criar uma UO simples bloqueada por herança e um GPO com precedência mais alta parece não resolver o meu problema), o que posso fazer para [temporariamente] bloquear o aplicativo de GPOs de restrição de software herdados? Suponha clientes do Windows 7 em um domínio / floresta do Server 2008 R2 FL.


Você deve usar o AppLocker em vez de SRP (Políticas de Restrição de Software). O SRP é executado no lado do usuário do limite de usuário / kernel e pode ser contornado por usuários não privilegiados (ou pelo malware que eles estão executando) com injeção de DLL.
Evan Anderson

@EvanAnderson Não que eu discorde, mas tivemos algumas restrições impostas pelo gerenciamento que nos levaram a seguir a rota SRP. Assim como as razões pelas quais eu não poderia simplesmente excluir os administradores de máquinas da política, eles são embaraçosos, não técnicos e não são nada que eu queira abordar sem um alto teor de álcool no sangue.
HopelessN00b

Respostas:


8

Adicione as máquinas especificadas a um Grupo de Segurança do Active Directory e adicione o Grupo ao GPO com um "Negar" para "Aplicar Diretiva" (não recuse negar completamente, pois isso impedirá a enumeração do nome do GPO, dificultando a solução de problemas. ) Em seguida, adicione as máquinas a esse grupo, conforme necessário.


5

Simplesmente use a configuração "Aplicar a todos os usuários, exceto administradores locais" na Aplicação de Políticas de Restrição de Software ... você não deixa todos os seus usuários executarem como Administrador ... sim ???

Políticas de restrição de software

Como alternativa, talvez você possa definir as Políticas de Restrição de Software na parte Configuração do Usuário do GPO e, em seguida, use a Filtragem de Segurança para permitir que o GPO se aplique apenas a um grupo de usuários de segurança específico.


1
you don't let all your users run as Administrator... do you???Apenas os que eu tenho que fazer, porque eles são super importantes / importantes para mim. (E os poucos usuários não-técnicos que têm necessidades legítimas para direitos de administrador.)
HopelessN00b

Sim ... eu sabia que havia uma chance de que isso não atendesse totalmente às suas necessidades, mas pensei em mencioná-lo de qualquer maneira, apenas por uma questão de perfeição.
Ryan Ries

Além disso, acho que vale a pena ressaltar que um usuário administrativo sempre poderá contornar sua política de restrição de software, se for determinado o suficiente.
Ryan Ries
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.