** GPO - Come bloccare la creazione di cartelle e file nella directory principale in Windows 10

0

Vorrei utilizzare un'impostazione dell'oggetto Criteri di gruppo per bloccare gli utenti per creare cartelle e file nella directory principale di Windows 10. Cercando su Internet ho trovato l'impostazione

Configurazione computer -> Politiche -> Impostazioni di Windows-> Impostazioni di sicurezza-> File system

dove ho creato una voce per% SystemDrive% \ dove gli utenti autenticati hanno " Nega " su " Crea file / Scrivi dati " e " Crea cartelle / aggiungi dati ", applicato a "Solo questa cartella ".

Dopo aver salvato e collegato l'oggetto Criteri di gruppo, ho riavviato la workstation per ottenere i nuovi criteri ma le impostazioni non bloccano nulla.

Qualche idea di cosa potrebbe esserci di sbagliato? qualche altro suggerimento per ottenere lo stesso risultato?

molte grazie.

windows-10  filesystems  group-policy 
YaKs
fonte
Questo è un commento perché non risponde alla tua domanda: non è necessario utilizzare GPO per bloccare le creazioni di cartelle. Tutto quello che devi fare è cambiare le impostazioni di sicurezza. Tieni presente che un amministratore può SEMPRE annullare le modifiche o aggirarle. Inoltre, se si desidera negare i diritti sul root, tenere presente che ciò si propagherà in tutte le cartelle, quindi è necessario modificare le autorizzazioni su ciascuna sottocartella e disabilitare l'ereditarietà.
LPChip
Ho dimenticato di menzionare che mi trovo in un ambiente aziendale e questo oggetto Criteri di gruppo verrà applicato a 10.000 workstation. Devo usare un oggetto Criteri di gruppo. E i diritti non dovrebbero essere propagati come ho specificamente menzionato "Solo questa cartella".
YaKs

Risposte:

0

Possiamo provare a risolvere come di seguito:

  1. Se Windows 10 si trova nell'ambiente di dominio? Se è nel dominio, possiamo eseguire gpresult report in Windows 10 per vedere se il criterio è applicato. Se viene applicato, ma non può bloccare cartelle e file di creazione, andare al passaggio 2.
  2. Blocca altre cartelle nella directory principale per vedere se possiamo applicare correttamente i criteri di gruppo. Se possibile, forse non possiamo impostare l'autorizzazione della directory principale di sistema.
  3. Se Windows 10 non si trova nell'ambiente di dominio, tieni presente che questo processo è disponibile solo per un dominio con un server che esegue la funzione Gestione criteri di gruppo ... I sistemi autonomi e i gruppi di lavoro devono ancora assegnare manualmente queste autorizzazioni! Quindi possiamo provare a impostare l'autorizzazione manualmente.

Riferimento:

Assegnare autorizzazioni per file e cartelle tramite Criteri di gruppo

https://www.linkedin.com/pulse/assign-file-folder-permissions-via-group-policy-farid-soltani

Creazione di oggetti Criteri di gruppo per la sicurezza del file system

https://library.netapp.com/ecmdocs/ECMP1401220/html/GUID-A8D101D3-729F-4299-A591-4AC55A5DD12E.html

Criteri di gruppo - Esempi di risultati GPR

https://blog.thesysadmins.co.uk/group-policy-gpresult-examples.html

Daisy Zhou
fonte
Vedo l'oggetto Criteri di gruppo applicato al computer tramite gprsult, ma l'oggetto Criteri di gruppo non sembra avere alcun effetto. Ho anche provato a creare una politica locale con l'editor delle politiche di gruppo locale e l'opzione non esiste. Il mio ultimo test è stato quello di provare a modificare manualmente le autorizzazioni degli utenti in C: \ e ho ricevuto un errore a causa dell'utilizzo di alcuni file, come hiberfil.sys.
YaKs
0

Cattiva idea. Non ci andare.
A meno che TUTTI i tuoi sistemi non siano completamente bloccati al punto che nessuno dovrà mai installare nulla.
Il blocco della creazione di cartelle / file nella directory principale di systemdrive interromperà la maggior parte del software, in particolare gli installatori per i driver di dispositivo poiché spesso creano cartelle di lavoro direttamente dalla directory principale dell'unità.
Anche gli aggiornamenti di Windows 10 InPlace (e probabilmente anche altri aggiornamenti di Windows) devono scrivere nella cartella principale.
E ad alcuni processi di sistema, come Hibernate, probabilmente non piace neanche questo

E "DENY Authenticated Users", come alcuni suggeriscono in altre risposte, ANCHE è DENY per amministratori. DENY ha la precedenza su tutto. Un amministratore può annullarlo, ma ciò richiede un intervento manuale, cosa che WindowsUpdate, ecc. Non può fare.

In un ambiente software gestito (come SCCM) puoi creare qualcosa di avvolgente come wrapper per ogni programma di installazione, ma è un sacco di lavoro.
In alternativa, è possibile utilizzare un account amministratore locale (non di dominio) per SCCM e limitare l'accesso alle cartelle per "Utenti di dominio". Ma è anche difficile da configurare e forse un rischio per la sicurezza. (Dovresti impostare singole password per quell'account su ogni computer e archiviarle da qualche parte per l'uso da parte di SCCM. Se usi la stessa password ovunque se ne viene compromessa, ogni computer lo è.)
In effetti: la società per cui lavoro effettivamente lo fa come quello con SCCM e singoli account di amministratore locale su ogni computer (circa 200.000 sistemi), ma non siamo abbastanza pazzi da bloccare il root-drive. Troppo potenziale per causare tutti i tipi di strani effetti collaterali / problemi.

Tonny
fonte
Ciao Tonny. Grazie per la risposta. Vedo il tuo punto, ma provo a prevenire attacchi come commonexploits.com/unquoted-service-paths . ad esempio: se esiste un servizio vulnerabile nel percorso "c: \ programmi \ ..." e un utente malintenzionato crea una cartella chiamata "Programma" e posiziona il malware nello stesso percorso e con il nome dell'originale uno. Al prossimo riavvio, il malware verrebbe eseguito al posto di quello originale.
YaKs
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.