Hạn chế phần mềm GPO của Windows 2003

Chúng tôi đang điều hành trang trại Terminal Server trong Miền Windows 2003 và tôi đã gặp sự cố với cài đặt GPO Hạn chế phần mềm đang được áp dụng cho các máy chủ TS của chúng tôi. Dưới đây là chi tiết về cấu hình của chúng tôi và vấn đề:

Tất cả các máy chủ của chúng tôi (Bộ điều khiển miền và Máy chủ đầu cuối) đang chạy Windows Server 2003 SP2 và cả miền và rừng đều ở cấp độ Windows 2003. Các máy chủ TS của chúng tôi ở trong OU nơi chúng tôi có các GPO cụ thể được liên kết và bị chặn thừa kế, do đó, chỉ các GPO cụ thể của TS được áp dụng cho các máy chủ TS này. Tất cả người dùng của chúng tôi đều ở xa và không có máy trạm tham gia vào miền của chúng tôi, vì vậy chúng tôi không sử dụng xử lý chính sách loopback. Chúng tôi sử dụng cách tiếp cận "danh sách trắng" để cho phép người dùng chạy các ứng dụng, vì vậy chỉ những ứng dụng mà chúng tôi phê duyệt và thêm dưới dạng đường dẫn hoặc quy tắc băm mới có thể chạy. Chúng tôi có Cấp độ bảo mật trong Giới hạn phần mềm được đặt thành Không được phép và Thực thi được đặt thành "Tất cả các tệp phần mềm ngoại trừ thư viện".

Những gì tôi đã tìm thấy là nếu tôi cung cấp cho người dùng một lối tắt đến một ứng dụng, họ có thể khởi chạy ứng dụng ngay cả khi nó không nằm trong danh sách Quy tắc bổ sung của các ứng dụng "được liệt kê trong danh sách trắng". Nếu tôi cung cấp cho người dùng một bản sao của tệp thực thi chính cho ứng dụng và họ cố gắng khởi chạy nó, họ sẽ nhận được thông báo "chương trình này đã bị hạn chế ...". Dường như các Hạn chế Phần mềm đang thực sự hoạt động, ngoại trừ khi người dùng khởi chạy một ứng dụng bằng cách sử dụng phím tắt thay vì khởi chạy ứng dụng từ chính tệp thực thi chính, dường như mâu thuẫn với mục đích sử dụng Hạn chế Phần mềm.

Câu hỏi của tôi là: Có ai khác nhìn thấy hành vi này? Bất cứ ai khác có thể tái tạo hành vi này? Tôi có thiếu điều gì trong sự hiểu biết của tôi về Hạn chế Phần mềm không? Có khả năng là tôi có gì đó bị định cấu hình sai trong Hạn chế phần mềm không?

BIÊN TẬP

Để làm rõ vấn đề một chút:

Không có GPO cấp cao hơn đang được thi hành. Chạy gpresults cho thấy trên thực tế, chỉ có GPO cấp TS đang được áp dụng và tôi thực sự có thể thấy Hạn chế phần mềm của mình đang được áp dụng. Không có ký tự đại diện đang được sử dụng. Tôi đang thử nghiệm với một ứng dụng có tại "C: \ Program Files \ Application \ execable.exe" và ứng dụng thực thi không nằm trong bất kỳ quy tắc đường dẫn hoặc hàm băm nào. Nếu người dùng khởi chạy ứng dụng chính thực thi trực tiếp từ thư mục của ứng dụng, Hạn chế phần mềm được thi hành. Nếu tôi cung cấp cho người dùng một phím tắt trỏ đến ứng dụng thực thi tại "C: \ Program Files \ Application \ execable.exe" thì họ có thể khởi chạy chương trình.

BIÊN TẬP

Ngoài ra, các tệp LNK được liệt kê trong Loại tệp được chỉ định, do đó chúng phải được coi là có thể thực thi được, điều đó có nghĩa là chúng bị ràng buộc bởi cùng các cài đặt và quy tắc Hạn chế phần mềm.

Vì vậy, cuối cùng tôi đã tìm thấy câu trả lời. Trong quy tắc Hạn chế phần mềm của chúng tôi, có một quy tắc đường dẫn như sau:

% HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ ProgramFilesDir%

Điều này cho phép mọi thực thi bên trong thư mục Tệp chương trình và các thư mục con của nó chạy không bị cản trở. Đường dẫn này được thêm theo mặc định khi bạn định cấu hình Hạn chế phần mềm. Xóa quy tắc đường dẫn này làm cho tất cả các chương trình bị từ chối, ngay cả khi thực thi của chúng được thêm rõ ràng là một đường dẫn không bị hạn chế.

Điều này đặt ra câu hỏi: Nếu 99% tất cả các chương trình được cài đặt vào thư mục Tệp chương trình, nhưng tôi muốn hạn chế một số chương trình nhất định, làm cách nào tôi có thể đạt được điều này với Hạn chế phần mềm?

Điều quan trọng không kém là câu hỏi, chính xác những hạn chế phần mềm nào tốt ngoại trừ những chương trình hoặc thực thi không có trong Tệp chương trình?

Tôi sẽ kiểm tra ACL trên phím tắt mà bạn đã tạo cho Người dùng. Theo Chính sách hạn chế phần mềm Thực tiễn tốt nhất: Chính sách bảo mật; Dịch vụ bảo vệ ,

Người dùng có thể cố gắng phá vỡ các chính sách hạn chế phần mềm bằng cách đổi tên hoặc di chuyển các tệp không được phép hoặc bằng cách ghi đè các tệp không bị hạn chế. Do đó, bạn nên sử dụng danh sách kiểm soát truy cập (ACL) để từ chối người dùng quyền truy cập cần thiết để thực hiện các tác vụ này

Bạn có thể muốn thử loại bỏ LNK như một loại tệp được chỉ định. Mặc dù chúng đang được coi là thực thi, chúng không nên. Bằng cách này, các hạn chế phần mềm sẽ được áp dụng cho tệp thực thi được nhắm mục tiêu bởi tệp LNK chứ không phải chính tệp LNK.

Tôi đã trải nghiệm những gì bạn đang nói về - nó rất phiền phức. Tôi khá chắc chắn theo mặc định người dùng của bạn được phép chạy các ứng dụng được cài đặt trong Tệp chương trình.

Bạn đã thử hạn chế quyền truy cập vào các ứng dụng có Quyền NTFS và danh sách trắng theo cách đó chưa?

Sau đó, người dùng có thể có các phím tắt cho bất cứ điều gì họ muốn và nó sẽ không giúp họ vì họ không thể truy cập chương trình.

Tham chiếu: http://www.virtualizationadmin.com/articles-tutorials/terminal-service/security/locking-down-windows-terminal-service.html