Windows 2003 GPO Yazılım Kısıtlamaları

9

Windows 2003 Etki Alanında bir Terminal Server grubu çalıştırıyoruz ve TS sunucularımıza uygulanan Yazılım Kısıtlamaları GPO ayarlarında bir sorun buldum. Yapılandırmamızın ayrıntıları ve sorun:

Tüm sunucularımızda (Etki Alanı Denetleyicileri ve Terminal Sunucuları) Windows Server 2003 SP2 çalışmaktadır ve hem etki alanı hem de orman Windows 2003 düzeyindedir. TS sunucularımız, belirli GPO'ların bağlı olduğu ve kalıtımın engellendiği bir OU'dadır, bu nedenle bu TS sunucularına yalnızca TS'ye özgü GPO'lar uygulanır. Kullanıcılarımızın tümü uzaktır ve alanımıza eklenmiş iş istasyonları yoktur, bu nedenle geri döngü politikası işlemeyi kullanmayız. Kullanıcıların uygulamaları çalıştırmasına izin vermek için "beyaz liste" yaklaşımını kullanırız, böylece yalnızca onayladığımız ve yol veya karma kuralları olarak eklediğimiz uygulamalar çalışabilir. Yazılım Kısıtlamalarındaki Güvenlik Seviyesine İzin Verilmedi ve Uygulama "kütüphaneler hariç tüm yazılım dosyaları" olarak ayarlandı.

Bulduğum şey, bir kullanıcıya bir uygulamaya kısayol verirsem, uygulamayı "beyaz listeye alınan" uygulamalar Ek Kurallar listesinde olmasa bile başlatabilmeleridir. Bir kullanıcıya uygulama için ana yürütülebilir dosyanın bir kopyasını verir ve başlatmayı denerse, beklenen "bu program kısıtlandı ..." iletisini alırlar. Yazılım Kısıtlamalarını kullanma amacına aykırı görünen, uygulamanın ana yürütülebilir dosyadan başlatılmasının aksine bir kısayol kullanarak bir uygulama başlatması haricinde Yazılım Kısıtlamaları gerçekten işe yarıyor gibi görünüyor.

Sorularım: Başka kimse bu davranışı gördü mü? Başka kimse bu davranışı yeniden üretebilir mi? Yazılım Kısıtlamaları anlayışında bir şey mi eksik? Yazılım Kısıtlamalarında yanlış yapılandırılmış bir şey olması muhtemel mi?

DÜZENLE

Sorunu biraz açıklığa kavuşturmak için:

Hiçbir üst düzey GPO uygulanmamaktadır. Gpresults çalıştırmak aslında sadece TS seviyesi GPO'ların uygulandığını ve gerçekten Yazılım Direnişlerimin uygulandığını görebiliyorum. Hiçbir yol joker karakteri kullanılmıyor. "C: \ Program Files \ Application \ executable.exe" de bulunan bir uygulama ile test ediyorum ve uygulama yürütülebilir herhangi bir yol veya karma kural değil. Kullanıcı, yürütülebilir uygulamayı doğrudan uygulamanın klasöründen başlatırsa, Yazılım Kısıtlamaları uygulanır. Kullanıcıya "C: \ Program Files \ Application \ executable.exe" de yürütülebilir uygulamaya işaret eden bir kısayol verirsem programı başlatabilirler.

DÜZENLE

Ayrıca, LNK dosyaları Atanmış Dosya Türlerinde listelenir, bu nedenle yürütülebilir dosyalar olarak ele alınmalıdır; bu, aynı Yazılım Kısıtlamaları ayarları ve kurallarına bağlı oldukları anlamına gelmelidir.

windows  windows-server-2003  group-policy 
joeqwerty
kaynak
Daha yüksek OU'larda veya Alan düzeyinde Zorlanan GPO'larınız var mı? Ayrıca joker karakterleri olan veya kısayolun bulunduğu yoldan yürütmeye izin verebilecek yolları da kontrol ederim.
Chris S
@Chris S: Düzenlememi görün.
joeqwerty
"gpresult / z / user dom \ user" yaptınız ve sonuçlara dikkatlice baktınız mı?
tony roth
Evet. Sebep hakkında bana bir fikir veren hiçbir şey görmüyorum. Önerin için teşekkürler.
joeqwerty
@joeqwerty, joeqwerty ne anlama geliyor?
Pacerier

Yanıtlar:

5

Sonunda cevabı buldum. Yazılım Kısıtlamaları kurallarımızda aşağıdaki gibi bir yol kuralı vardır:

% HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ ProgramFilesDir%

Bu, Program Files dizininin içindeki yürütülebilir dosyaların ve alt dizinlerinin numarasız çalışmasına izin verir. Yazılım Kısıtlamaları'nı yapılandırdığınızda bu yol varsayılan olarak eklenir. Bu yol kuralının kaldırılması, yürütülebilir dosyaları açıkça kısıtlanmamış bir yol olarak eklenmiş olsa bile, tüm programın reddedilmesine neden olur.

Hangi soru yalvarır: Tüm programların% 99'u Program Files dizinine yüklenir, ancak belirli programları kısıtlamak istiyorsam, bunu Yazılım Kısıtlamaları ile nasıl başarabilirim?

Aynı derecede önemli olan soru, Program Dosyalarında bulunmayan programlar veya yürütülebilir dosyalar dışında Yazılım Kısıtlamaları tam olarak ne kadar iyidir?

joeqwerty
kaynak
0

Kullanıcılar için oluşturduğunuz kısayoldaki ACL'leri kontrol ederdim. Gereğince Yazılım Kısıtlama İlkeleri En İyi Uygulamalar: Güvenlik Politikası; Güvenlik Hizmetleri ,

Kullanıcılar izin verilmeyen dosyaları yeniden adlandırarak veya taşıyarak veya kısıtlanmamış dosyaların üzerine yazarak yazılım kısıtlama ilkelerini atlatmayı deneyebilir. Sonuç olarak, kullanıcılara bu görevleri gerçekleştirmek için gereken erişimi reddetmek için erişim denetim listelerini (ACL) kullanmanız önerilir.

Vivek Kumbhar
kaynak
Kullanıcıların eylemleri gerçekleştirme erişimi yok, bu yüzden bunun geçerli olduğunu düşünmüyorum. Teşekkürler.
joeqwerty
0

LNK'yi belirtilen bir dosya türü olarak kaldırmayı deneyebilirsiniz. Çalıştırılabilir olarak muamele görmelerine rağmen, olmamalıdırlar. Bu şekilde, yazılım kısıtlamaları LNK dosyasının kendisi tarafından değil, LNK dosyası tarafından hedeflenen yürütülebilir dosyaya uygulanmalıdır.

IceMage
kaynak
Hmm ... Bunu denemeyi düşünmedim. Bir koşuşturma vereceğim ve işe yarayıp yaramadığını size bildireceğim.
joeqwerty
0

Bahsettiğiniz şeyi deneyimledim - çok sinir bozucu. Varsayılan olarak kullanıcılarınızın Program Dosyalarında yüklü uygulamaları çalıştırmalarına izin verildiğinden eminim.

Bu şekilde NTFS İzinleri ve beyaz listeleme içeren uygulamalara erişimi kısıtlamayı denediniz mi?

Sonra kullanıcılar istedikleri kısayollara sahip olabilirler ve programa erişemeyecekleri için onlara yardımcı olmazlar.

Ref: http://www.virtualizationadmin.com/articles-tutorials/terminal-services/security/locking-down-windows-terminal-services.html

fsckin
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.