Devido à carga de trabalho gerada por surtos recentes de ransomware (Cryptolocker / Cryptowall / etc.), Recentemente fui encarregado de implementar políticas de Restrição de Software para bloquear a execução de programas a partir de diretórios temporários. Geralmente, isso funciona bem o suficiente, mas temos um problema quando precisamos instalar o software, pois essas políticas de Restrição de Software impedem que os instaladores acessem os diretórios temporários da máquina.
Nossa hierarquia do Active Directory é basicamente organizada de acordo com as linhas de nossos sites físicos, e nossos objetos AD herdam cerca de uma dúzia de GPOs, cada um, da raiz do domínio e das UOs de sites específicas. Dessa forma, não tenho a opção de criar uma UO de diretiva bloqueada fora da raiz do domínio (pois não herdar as configurações de Diretiva de Grupo específicas do site causa grandes problemas com as máquinas, e os usuários remotos não são qualificados o suficiente para resolvê-los ), ou vincular novamente os Objetos de Diretiva de Grupo às UOs filhas (como isso envolveria várias centenas de operações de desvinculação e revinculação, o que não estou disposto a fazer), ou criar uma UO filha em cada uma com a herança bloqueada (porque eu teria centenas de operações de ligação a serem feitas nesse caso).
Dito isso, eu preciso de uma maneira de interromper temporariamente a aplicação da política de Restrição de Software, para que possamos instalar o software periodicamente. Tentei resolver isso inicialmente criando uma UO filha em cada site e vinculando uma política inversa de Restrição de Software, pensando que a maior precedência da política inversa substituiria a herdada, mas que não funcionava de todo - um RSOP mostrou que os computadores estavam recebendo cortesia disallowe unrestrictedregras, e as disallowregras vencem nesse cenário.
Portanto, com tudo isso em mente (não é possível vincular novamente todos os nossos GPOs, não é possível criar uma UO simples bloqueada por herança e um GPO com precedência mais alta parece não resolver o meu problema), o que posso fazer para [temporariamente] bloquear o aplicativo de GPOs de restrição de software herdados? Suponha clientes do Windows 7 em um domínio / floresta do Server 2008 R2 FL.
fonte
Respostas:
Adicione as máquinas especificadas a um Grupo de Segurança do Active Directory e adicione o Grupo ao GPO com um "Negar" para "Aplicar Diretiva" (não recuse negar completamente, pois isso impedirá a enumeração do nome do GPO, dificultando a solução de problemas. ) Em seguida, adicione as máquinas a esse grupo, conforme necessário.
fonte
Simplesmente use a configuração "Aplicar a todos os usuários, exceto administradores locais" na Aplicação de Políticas de Restrição de Software ... você não deixa todos os seus usuários executarem como Administrador ... sim ???
Como alternativa, talvez você possa definir as Políticas de Restrição de Software na parte Configuração do Usuário do GPO e, em seguida, use a Filtragem de Segurança para permitir que o GPO se aplique apenas a um grupo de usuários de segurança específico.
fonte
you don't let all your users run as Administrator... do you???Apenas os que eu tenho que fazer, porque eles são super importantes / importantes para mim. (E os poucos usuários não-técnicos que têm necessidades legítimas para direitos de administrador.)