Jak zablokować dziedziczenie / zastosowanie pojedynczego obiektu zasad grupy?

9

Ze względu na obciążenie generowane przez ostatnie epidemie oprogramowania ransomware (Cryptolocker / Cryptowall / itp.) Ostatnio miałem zadanie wdrożenia zasad ograniczeń oprogramowania w celu zablokowania wykonywania programu z katalogów tymczasowych. Zasadniczo działa to wystarczająco dobrze, ale mamy problem, gdy musimy zainstalować oprogramowanie, ponieważ te zasady ograniczeń oprogramowania uniemożliwiają instalatorom dostęp do katalogów tymczasowych komputera.

Nasza hierarchia usługi Active Directory jest zasadniczo zorganizowana zgodnie z naszymi fizycznymi witrynami, a nasze obiekty AD dziedziczą około kilkudziesięciu obiektów zasad grupy każdy z katalogu głównego domeny i jednostek organizacyjnych poszczególnych witryn. W związku z tym nie mam możliwości utworzenia zablokowanej jednostki organizacyjnej zasad poza katalogiem głównym domeny (ponieważ nie dziedziczenie specyficznych dla witryny ustawień zasad grupy powoduje duże problemy z komputerami, a zdalni użytkownicy nie są wystarczająco wykwalifikowani, aby je rozwiązać ) lub ponowne łączenie obiektów zasad grupy bliżej podrzędnych jednostek organizacyjnych (ponieważ wymagałoby to kilkuset operacji usuwania i ponownego łączenia, których nie jestem skłonny wykonać), lub tworzenie podrzędnej jednostki organizacyjnej dla każdego z zablokowanym dziedziczeniem (ponieważ miałbym kilkaset operacji łączenia w tym przypadku).

To powiedziawszy, potrzebuję sposobu, aby tymczasowo zatrzymać stosowanie GPO zasad ograniczeń oprogramowania, abyśmy mogli od czasu do czasu instalować oprogramowanie. Na początku próbowałem rozwiązać ten problem, tworząc podrzędną jednostkę organizacyjną w każdej witrynie i łącząc odwrotną zasadę ograniczeń oprogramowania, myśląc, że wyższy priorytet zasady odwrotnej zastąpi odziedziczoną, ale to nie zadziałało - pokazał RSOP że komputery były komplementarne disallowi unrestrictedreguły, a disallowreguły wygrywają w tym scenariuszu.

Biorąc to wszystko pod uwagę (nie mogę ponownie połączyć wszystkich naszych obiektów zasad grupy, nie mogę utworzyć prostej jednostki organizacyjnej z zablokowanym dziedziczeniem, a obiekt zasad grupy o wyższym priorytecie nie wydaje się rozwiązać mojego problemu), co mogę zrobić, aby [tymczasowo] zablokować stosowanie odziedziczonych obiektów zasad grupy ograniczeń oprogramowania? Załóżmy klientów Windows 7 w domenie / lesie FL 2008 Server 2008 R2.

Beznadziejny
źródło
Powinieneś używać AppLocker zamiast zasad ograniczeń oprogramowania (SRP). SRP działa po stronie użytkownika na granicy użytkownik / jądro i może być obchodzony przez nieuprzywilejowanych użytkowników (lub uruchamiane przez nich złośliwe oprogramowanie) za pomocą wstrzykiwania DLL.
Evan Anderson
@EvanAnderson Nie, że się nie zgadzam, ale mieliśmy pewne ograniczenia wynikające z zarządzania, które spowodowały, że poszliśmy drogą SRP. Podobnie jak z powodów, dla których nie mogłem po prostu wykluczyć administratorów maszyn z polityki, są zawstydzające, nietechniczne i nie mają nic, na co chciałbym wejść bez wyższej zawartości alkoholu we krwi.
HopelessN00b

Odpowiedzi:

8

Dodaj określone komputery do grupy zabezpieczeń usługi Active Directory i dodaj grupę do obiektu zasad grupy za pomocą „Odmów” dla „Zastosuj zasady” (nie daj się nabrać na całkowite odrzucenie, ponieważ zatrzyma to wyliczanie nazwy obiektu zasad grupy, co utrudni rozwiązywanie problemów ). Następnie dodaj komputery do tej grupy zgodnie z wymaganiami.

Dan
źródło
5

Po prostu użyj ustawienia „Zastosuj do wszystkich użytkowników z wyjątkiem lokalnych administratorów” w Egzekwowaniu zasad ograniczeń oprogramowania ... nie pozwalasz wszystkim użytkownikom działać jako Administrator… prawda?

Zasady ograniczeń oprogramowania

Alternatywnie, być może możesz zdefiniować zasady ograniczeń oprogramowania w części GPO dotyczącej konfiguracji użytkownika, a następnie użyć filtrowania zabezpieczeń, aby zezwolić, aby ten GPO miał zastosowanie tylko do określonej grupy zabezpieczeń użytkowników.

Ryan Ries
źródło
1
you don't let all your users run as Administrator... do you???Tylko te, które muszę, ponieważ przewyższają mnie / są ważniejsze ode mnie. (I niewielu nietechnicznych użytkowników, którzy mają uzasadnione potrzeby w zakresie uprawnień administratora.)
HopelessN00b,
Tak ... Wiedziałem, że istnieje szansa, że ​​nie zaspokoi to całkowicie twoich potrzeb, ale pomyślałem, że i tak o tym wspomnę, dla samej kompletności.
Ryan Ries,
Plus, myślę, że warto zauważyć, że użytkownik administracyjny i tak zawsze będzie w stanie ominąć twoje zasady ograniczeń oprogramowania, jeśli są wystarczająco zdeterminowani.
Ryan Ries,