** GPO - Jak zablokować tworzenie folderu i plików w katalogu głównym w systemie Windows 10

0

Chciałbym użyć ustawienia GPO, aby zablokować użytkownikom tworzenie folderów i plików w katalogu głównym w systemie Windows 10. Podczas wyszukiwania w Internecie znalazłem to ustawienie

Konfiguracja komputera -> Zasady -> Ustawienia systemu Windows -> Ustawienia zabezpieczeń -> System plików

gdzie utworzyłem wpis dla% SystemDrive% \, gdzie uwierzytelnieni użytkownicy mają opcjęOdmów ” do „ Utwórz pliki / Zapis danych ” i „ Utwórz foldery / dołącz dane ”, zastosowaną do „ Tylko ten folder ”.

Po zapisaniu i połączeniu obiektu zasad grupy ponownie uruchomiłem stację roboczą, aby uzyskać nowe zasady, ale ustawienia niczego nie blokują.

Masz pojęcie, co może być nie tak? jakieś inne sugestie, aby osiągnąć ten sam wynik?

wielkie dzięki.

windows-10 filesystems group-policy YaKs
źródło
To jest komentarz, ponieważ nie odpowiada na twoje pytanie: nie musisz używać GPO do blokowania tworzenia folderów. Wszystko, co musisz zrobić, to zmienić ustawienia zabezpieczeń. Pamiętaj, że administrator ZAWSZE może cofnąć zmiany lub obejść je. Ponadto, jeśli chcesz odmówić uprawnień do katalogu głównego, pamiętaj, że spowoduje to propagację wszystkich folderów, więc musisz zmienić uprawnienia do każdego podfolderu i wyłączyć dziedziczenie.
LPChip
Zapomniałem wspomnieć, że jestem w środowisku korporacyjnym i ten obiekt zasad grupy zostanie zastosowany do 10 000 stacji roboczych. Potrzebuję użyć obiektu GPO. Prawa nie powinny być propagowane, jak wspomniałem „Tylko ten folder”.
YaKs

Odpowiedzi:

0

Możemy spróbować rozwiązać problem, jak poniżej:

  1. Jeśli system Windows 10 jest w środowisku domeny? Jeśli jest w domenie, możemy uruchomić raport gpresult w systemie Windows 10, aby sprawdzić, czy zasada jest stosowana. Jeśli jest zastosowany, ale nie może blokować folderów tworzenia i plików, przejdź do kroku 2.
  2. Zablokuj inne foldery w katalogu głównym, aby sprawdzić, czy możemy pomyślnie zastosować zasady grupy. Jeśli możemy, może nie możemy ustawić uprawnień do katalogu głównego systemu.
  3. Jeśli Windows 10 nie znajduje się w środowisku domeny, pamiętaj, że ten proces jest dostępny tylko dla domeny z serwerem z funkcją zarządzania zasadami grupy ... samodzielne systemy i grupy robocze nadal muszą ręcznie przypisywać te uprawnienia! Możemy więc spróbować ustawić uprawnienia ręcznie.

Odniesienie:

Przypisywanie uprawnień do plików i folderów za pomocą zasad grupy

https://www.linkedin.com/pulse/assign-file-folder-permissions-via-group-policy-farid-soltani

Tworzenie obiektów zasad grupy zabezpieczeń systemu plików

https://library.netapp.com/ecmdocs/ECMP1401220/html/GUID-A8D101D3-729F-4299-A591-4AC55A5DD12E.html

Zasady grupy - Przykłady GPResult

https://blog.thesysadmins.co.uk/group-policy-gpresult-examples.html

Daisy Zhou
źródło
Widzę, że obiekt GPO jest zastosowany na komputerze przy użyciu programu gprsult, ale obiekt GPO po prostu nie wydaje żadnego efektu. Próbowałem również utworzyć lokalną politykę za pomocą lokalnego edytora zasad grupy i opcja nie istnieje. Mój ostatni test polegał na próbie ręcznej modyfikacji uprawnień użytkowników w C: \ i dostałem błąd z powodu użycia niektórych plików, takich jak hiberfil.sys.
YaKs
0

Zły pomysł. Nie idź tam.
Chyba że WSZYSTKIE systemy są całkowicie zablokowane do tego stopnia, że ​​nikt nigdy nie będzie musiał niczego instalować.
Blokowanie tworzenia folderów / plików w katalogu głównym dysku systemowego spowoduje uszkodzenie wielu programów, zwłaszcza instalatorów sterowników urządzeń, ponieważ często tworzą one foldery robocze bezpośrednio z katalogu głównego dysku.
Również aktualizacje InPlace systemu Windows 10 (i prawdopodobnie także niektóre inne aktualizacje systemu Windows) muszą zapisywać w folderze głównym.
Niektóre procesy systemowe, takie jak Hibernacja, prawdopodobnie też tego nie lubią

I „ODMAWIAJ uwierzytelnionych użytkowników”, jak sugerują niektóre osoby w innych odpowiedziach, TAKŻE ODMAWIAJĄ Administratorzy. DENY unieważnia wszystko. Administrator może to cofnąć, ale wymaga to ręcznej interwencji, czego nie może zrobić WindowsUpdate itp.

W zarządzanym środowisku oprogramowania (takim jak SCCM) można stworzyć coś wokół każdego instalatora, ale to dużo pracy.
Możesz też użyć lokalnego konta administratora (spoza domeny) dla SCCM i ograniczyć dostęp do folderu dla „użytkowników domeny”. Ale jest to również trudne do skonfigurowania i prawdopodobnie stanowi zagrożenie bezpieczeństwa. (Musisz skonfigurować indywidualne hasła do tego konta na każdym komputerze i przechowywać je gdzieś w celu użycia przez SCCM. Jeśli używasz tego samego hasła wszędzie, jeśli jeden jest zagrożony, każdy komputer jest.)
W rzeczywistości: Firma, dla której pracuję, faktycznie to robi podobnie jest z SCCM i indywidualnymi lokalnymi kontami administracyjnymi na każdym komputerze (około 200 000 systemów), ale nie jesteśmy wystarczająco szaleni, aby zablokować dysk root. Zbyt duży potencjał powodowania różnego rodzaju dziwnych efektów ubocznych / problemów.

Tonny
źródło
Cześć Tonny. Dziękuję za odpowiedź. Rozumiem twój punkt widzenia, ale staram się zapobiegać atakom takim jak commonexploits.com/unquoted-service-paths . np .: jeśli na ścieżce „c: \ program files \ ...” występuje luka w zabezpieczeniach, a złośliwy użytkownik utworzy folder o nazwie „Program” i po prostu umieści szkodliwe oprogramowanie w tej samej ścieżce o nazwie tak jak oryginał jeden. Przy następnym ponownym uruchomieniu szkodliwe oprogramowanie zostanie wykonane zamiast oryginalnego.
YaKs