Restrizioni del software GPO per Windows 2003

Stiamo eseguendo una farm di Terminal Server in un dominio Windows 2003 e ho riscontrato un problema con le impostazioni dell'oggetto Criteri di gruppo Restrizioni software che vengono applicate ai nostri server TS. Ecco i dettagli della nostra configurazione e il problema:

Tutti i nostri server (controller di dominio e terminal server) eseguono Windows Server 2003 SP2 e sia il dominio che la foresta sono a livello di Windows 2003. I nostri server TS si trovano in un'unità organizzativa in cui sono collegati oggetti Criteri di gruppo specifici e l'ereditarietà è bloccata, quindi solo questi oggetti Criteri di gruppo specifici TS vengono applicati a questi server TS. I nostri utenti sono tutti remoti e non hanno workstation unite al nostro dominio, quindi non utilizziamo l'elaborazione dei criteri di loopback. Adottiamo un approccio di "whitelist" per consentire agli utenti di eseguire applicazioni, quindi è possibile eseguire solo le applicazioni che approviamo e aggiungiamo come regole di percorso o hash. Il livello di sicurezza in Restrizioni software è impostato su Non consentito e l'applicazione è impostata su "Tutti i file software tranne le librerie".

Quello che ho scoperto è che se do a un utente un collegamento a un'applicazione, sono in grado di avviare l'applicazione anche se non è nell'elenco Regole aggiuntive delle applicazioni "autorizzate". Se do a un utente una copia dell'eseguibile principale per l'applicazione e tentano di avviarlo, ottengono il messaggio "questo programma è stato limitato ..." previsto. Sembra che le Restrizioni software stiano effettivamente funzionando, tranne quando l'utente avvia un'applicazione utilizzando una scorciatoia rispetto all'avvio dell'applicazione dall'eseguibile principale stesso, il che sembra contraddire lo scopo dell'utilizzo delle Restrizioni software.

Le mie domande sono: qualcun altro ha visto questo comportamento? Qualcun altro può riprodurre questo comportamento? Mi manca qualcosa nella mia comprensione delle restrizioni del software? È probabile che qualcosa sia stato configurato in modo errato nelle Restrizioni software?

MODIFICARE

Per chiarire un po 'il problema:

Non vengono applicati oggetti Criteri di gruppo di livello superiore. L'esecuzione di gpresults mostra che, di fatto, vengono applicati solo gli oggetti Criteri di gruppo di livello TS e posso effettivamente vedere le mie restrizioni software. Non sono in uso caratteri jolly di percorso. Sto testando un'applicazione che si trova in "C: \ Programmi \ Applicazione \ eseguibile.exe" e l'eseguibile dell'applicazione non è in alcun percorso o regola hash. Se l'utente avvia il file eseguibile dell'applicazione principale direttamente dalla cartella dell'applicazione, vengono applicate le restrizioni software. Se do all'utente un collegamento che punta all'eseguibile dell'applicazione in "C: \ Programmi \ Application \ eseguable.exe", sono in grado di avviare il programma.

MODIFICARE

Inoltre, i file LNK sono elencati nei tipi di file designati, quindi devono essere trattati come eseguibili, il che dovrebbe significare che sono vincolati dalle stesse impostazioni e regole delle restrizioni software.

Quindi ho finalmente trovato la risposta. Nelle nostre regole sulle restrizioni del software esiste una regola di percorso in quanto tale:

% HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ ProgramFilesDir%

Ciò consente a qualsiasi eseguibile all'interno della directory dei file di programma e delle relative directory figlio di funzionare senza restrizioni. Questo percorso viene aggiunto per impostazione predefinita quando si configurano le restrizioni del software. La rimozione di questa regola di percorso comporta la negazione di tutti i programmi, anche se il loro eseguibile viene aggiunto esplicitamente come percorso senza restrizioni.

Il che pone la domanda: se il 99% di tutti i programmi è installato nella directory Programmi, ma voglio limitare alcuni programmi, come posso ottenere questo con le restrizioni del software?

Altrettanto importante è la domanda, esattamente a che cosa servono le restrizioni del software ad eccezione di quei programmi o file eseguibili che non si trovano nei file di programma?

Vorrei controllare gli ACL sul collegamento che è stato creato per gli utenti. Secondo le migliori pratiche relative alle politiche di restrizione del software: politica di sicurezza; Servizi di sicurezza ,

Gli utenti potrebbero tentare di eludere i criteri di restrizione software rinominando o spostando i file non consentiti o sovrascrivendo i file senza restrizioni. Di conseguenza, si consiglia di utilizzare gli elenchi di controllo di accesso (ACL) per negare agli utenti l'accesso necessario per eseguire queste attività

Puoi provare a rimuovere LNK come tipo di file designato. Anche se vengono trattati come eseguibili, non dovrebbero esserlo. In questo modo le restrizioni del software dovrebbero essere applicate all'eseguibile scelto come target dal file LNK e non dal file LNK stesso.

Ho sperimentato di cosa stai parlando - è molto fastidioso. Sono abbastanza sicuro per impostazione predefinita che agli utenti è consentito eseguire app installate in Programmi.

Hai provato a limitare l'accesso alle applicazioni con autorizzazioni NTFS e white list in quel modo?

Quindi gli utenti potrebbero avere scorciatoie per quello che volevano e non li aiuterebbe poiché non sarebbero in grado di accedere al programma.

Rif: http://www.virtualizationadmin.com/articles-tutorials/terminal-services/security/locking-down-windows-terminal-services.html