Bagaimana cara memblokir warisan / aplikasi GPO tunggal?

9

Karena beban kerja yang dihasilkan oleh wabah ransomware baru-baru ini (Cryptolocker / Cryptowall / dll.), Saya baru-baru ini ditugaskan menerapkan kebijakan Pembatasan Perangkat Lunak untuk memblokir eksekusi program dari direktori sementara. Ini umumnya bekerja dengan cukup baik, tetapi kami memiliki masalah ketika kami perlu menginstal perangkat lunak, karena kebijakan Pembatasan Perangkat Lunak ini mencegah installer mengakses direktori sementara mesin.

Hirarki Direktori Aktif kami pada dasarnya diatur di sepanjang garis situs fisik kami, dan objek AD kami mewarisi sekitar beberapa lusin GPO masing-masing dari akar domain dan OU situs spesifik mereka. Karena itu, saya tidak memiliki opsi untuk membuat kebijakan diblokir OU dari root domain (karena tidak mewarisi pengaturan Kebijakan Grup spesifik-situs menyebabkan masalah besar dengan mesin, dan pengguna jarak jauh tidak cukup terampil untuk menyelesaikannya. ), atau menautkan Objek Kebijakan Grup lebih dekat ke OU anak (karena itu akan melibatkan beberapa ratus operasi penghilangan dan penautan kembali, yang tidak saya inginkan), atau membuat OU anak di masing-masing dengan warisan diblokir (karena saya akan memiliki beberapa ratus menghubungkan operasi yang harus dilakukan dalam kasus itu).

Yang mengatakan, saya perlu cara untuk sementara menghentikan kebijakan Pembatasan Perangkat Lunak GPO dari penerapan, sehingga kami dapat menginstal perangkat lunak dari waktu ke waktu. Saya mencoba menyelesaikan ini pada awalnya dengan membuat OU anak di setiap situs, dan menautkan kebijakan Pembatasan Perangkat Lunak terbalik, berpikir bahwa prioritas yang lebih tinggi dari kebijakan terbalik akan menggantikan yang diwariskan, tetapi itu tidak berhasil sama sekali - sebuah RSOP menunjukkan bahwa komputer mendapatkan pelengkap disallowdan unrestrictedaturan, dan disallowaturan menang dalam skenario itu.

Jadi, dengan semua itu dalam pikiran (tidak dapat menautkan kembali semua GPO kami, tidak dapat membuat warisan sederhana yang diblokir OU, dan GPO dengan prioritas lebih tinggi tampaknya tidak menyelesaikan masalah saya), apa yang dapat saya lakukan untuk [sementara] memblokir aplikasi GPO Pembatasan Perangkat Lunak yang diwarisi? Asumsikan klien Windows 7 pada domain / hutan Server 2008 R2 FL.

HopelessN00b
sumber
Anda harus menggunakan AppLocker daripada Kebijakan Pembatasan Perangkat Lunak (SRP). SRP berjalan di sisi pengguna dari batas pengguna / kernel, dan dapat dielakkan oleh pengguna yang tidak memiliki hak (atau malware yang mereka jalankan) dengan injeksi DLL.
Evan Anderson
@ EvanAnderson Bukannya saya tidak setuju, tetapi kami memiliki beberapa kendala yang disebabkan oleh manajemen yang menyebabkan kami memilih rute SRP. Sama seperti alasan saya tidak bisa begitu saja mengecualikan administrator mesin dari kebijakan, mereka memalukan, non-teknis, dan bukan apa pun yang saya inginkan tanpa kandungan alkohol dalam darah yang lebih tinggi.
HopelessN00b

Jawaban:

8

Tambahkan mesin yang ditentukan ke Grup Keamanan Direktori Aktif dan tambahkan Grup ke GPO dengan "Tolak" untuk "Terapkan Kebijakan" (Jangan jatuh karena melakukan penolakan penuh karena akan menghentikan nama GPO dari penghitungan, membuat pemecahan masalah menjadi sulit ). Kemudian, tambahkan mesin ke Grup itu sesuai kebutuhan.

Dan
sumber
5

Cukup gunakan pengaturan "Terapkan ke Semua pengguna kecuali administrator lokal" di Penegakan Kebijakan Pembatasan Perangkat Lunak ... Anda tidak membiarkan semua pengguna Anda menjalankan sebagai Administrator ... kan ???

Kebijakan Pembatasan Perangkat Lunak

Sebagai alternatif, mungkin Anda bisa menetapkan Kebijakan Pembatasan Perangkat Lunak di bagian Konfigurasi Pengguna GPO, kemudian menggunakan Pemfilteran Keamanan untuk memungkinkan GPO hanya berlaku untuk sekelompok pengguna keamanan tertentu.

Ryan Ries
sumber
1
you don't let all your users run as Administrator... do you???Hanya yang saya harus, karena mereka mengungguli / mengungguli saya. (Dan beberapa pengguna non-teknis yang memiliki kebutuhan sah untuk hak admin.)
HopelessN00b
Yap ... Saya tahu ada kemungkinan bahwa ini tidak akan benar-benar memenuhi kebutuhan Anda, tapi saya pikir saya akan tetap menyebutkannya, hanya demi kelengkapan.
Ryan Ries
Selain itu, saya kira ada baiknya menunjukkan bahwa pengguna administratif akan selalu dapat menyiasati kebijakan pembatasan perangkat lunak Anda, jika mereka cukup bertekad.
Ryan Ries