Restrictions du logiciel GPO Windows 2003

9

Nous exécutons une batterie de serveurs Terminal Server dans un domaine Windows 2003, et j'ai trouvé un problème avec les paramètres GPO des restrictions logicielles qui sont appliqués à nos serveurs TS. Voici les détails de notre configuration et le problème:

Tous nos serveurs (contrôleurs de domaine et serveurs Terminal Server) exécutent Windows Server 2003 SP2 et le domaine et la forêt sont au niveau de Windows 2003. Nos serveurs TS sont dans une unité d'organisation où nous avons des GPO spécifiques liés et dont l'héritage est bloqué, donc seuls les GPO spécifiques TS sont appliqués à ces serveurs TS. Nos utilisateurs sont tous distants et n'ont pas de postes de travail joints à notre domaine, nous n'utilisons donc pas de traitement de politique de bouclage. Nous adoptons une approche de "liste blanche" pour permettre aux utilisateurs d'exécuter des applications, de sorte que seules les applications que nous approuvons et ajoutons en tant que chemin d'accès ou règles de hachage peuvent s'exécuter. Le niveau de sécurité dans les restrictions logicielles est défini sur Non autorisé et l'application est définie sur "Tous les fichiers logiciels sauf les bibliothèques".

Ce que j'ai trouvé, c'est que si je donne à un utilisateur un raccourci vers une application, il est capable de lancer l'application même s'il ne figure pas dans la liste des règles supplémentaires des applications "en liste blanche". Si je donne à un utilisateur une copie de l'exécutable principal de l'application et qu'il tente de le lancer, il obtient le message "ce programme a été restreint ..." attendu. Il semble que les restrictions logicielles fonctionnent effectivement, sauf lorsque l'utilisateur lance une application à l'aide d'un raccourci au lieu de lancer l'application à partir de l'exécutable principal lui-même, ce qui semble contredire l'objectif de l'utilisation des restrictions logicielles.

Mes questions sont les suivantes: quelqu'un d'autre a-t-il vu ce comportement? Quelqu'un d'autre peut-il reproduire ce comportement? Suis-je en train de manquer quelque chose dans ma compréhension des restrictions logicielles? Est-il probable que j'ai quelque chose de mal configuré dans les restrictions logicielles?

ÉDITER

Pour clarifier un peu le problème:

Aucun GPO de niveau supérieur n'est appliqué. L'exécution de gpresults montre qu'en fait, seuls les GPO de niveau TS sont appliqués et je peux en effet voir mes restrictions logicielles appliquées. Aucun caractère générique de chemin n'est utilisé. Je teste avec une application qui se trouve dans "C: \ Program Files \ Application \ executable.exe" et l'exécutable de l'application ne se trouve dans aucun chemin ni règle de hachage. Si l'utilisateur lance l'exécutable de l'application principale directement à partir du dossier de l'application, les restrictions logicielles sont appliquées. Si je donne à l'utilisateur un raccourci qui pointe vers l'exécutable de l'application dans "C: \ Program Files \ Application \ executable.exe", il pourra alors lancer le programme.

ÉDITER

En outre, les fichiers LNK sont répertoriés dans les types de fichiers désignés, ils doivent donc être traités comme exécutables, ce qui signifie qu'ils sont liés par les mêmes paramètres et règles de restrictions logicielles.

joeqwerty
la source
Avez-vous des GPO dans les unités d'organisation de niveau supérieur ou au niveau du domaine qui sont appliqués? Je vérifierais également les chemins qui ont des caractères génériques ou qui pourraient autrement permettre l'exécution à partir du chemin dans lequel se trouve le raccourci.
Chris S
@Chris S: Voir ma modification.
joeqwerty
avez-vous fait un "gpresult / z / user dom \ user" et examiné attentivement les résultats?
tony roth
Oui. Je ne vois rien qui me donne une idée de la cause. Merci pour la suggestion.
joeqwerty
@joeqwerty, Que signifie joeqwerty?
Pacerier

Réponses:

5

J'ai donc finalement trouvé la réponse. Dans nos règles de restrictions logicielles, il existe une règle de chemin d'accès en tant que telle:

% HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ ProgramFilesDir%

Cela permet à tout exécutable à l'intérieur du répertoire Program Files et de ses répertoires enfants de s'exécuter sans encombre. Ce chemin est ajouté par défaut lorsque vous configurez les restrictions logicielles. La suppression de cette règle de chemin d'accès entraîne le refus de tous les programmes, même si leur exécutable est explicitement ajouté en tant que chemin d'accès illimité.

Ce qui pose la question: si 99% de tous les programmes sont installés dans le répertoire Program Files, mais que je souhaite restreindre certains programmes, comment puis-je y parvenir avec les restrictions logicielles?

La question est également importante: à quoi servent exactement les restrictions logicielles, à l'exception des programmes ou exécutables qui ne se trouvent pas dans Program Files?

joeqwerty
la source
0

Je voudrais vérifier les ACL sur le raccourci que vous avez créé pour les utilisateurs. Conformément aux meilleures pratiques des politiques de restriction logicielle: politique de sécurité; Services de sécurité ,

Les utilisateurs peuvent essayer de contourner les stratégies de restriction logicielle en renommant ou en déplaçant des fichiers non autorisés ou en écrasant des fichiers sans restriction. Par conséquent, il est recommandé d'utiliser des listes de contrôle d'accès (ACL) pour refuser aux utilisateurs l'accès nécessaire pour effectuer ces tâches.

Vivek Kumbhar
la source
Les utilisateurs n'ont pas accès pour effectuer les actions, donc je ne pense pas que cela s'applique. Merci.
joeqwerty
0

Vous pouvez essayer de supprimer LNK en tant que type de fichier désigné. Même s'ils sont traités comme des exécutables, ils ne devraient pas l'être. De cette façon, les restrictions logicielles devraient être appliquées à l'exécutable ciblé par le fichier LNK, et non au fichier LNK lui-même.

IceMage
la source
Hmm ... je ne pensais pas essayer ça. Je vais lui faire un tourbillon et vous faire savoir si cela fonctionne.
joeqwerty
0

J'ai vécu ce dont vous parlez - c'est très ennuyeux. Je suis à peu près sûr que par défaut, vos utilisateurs sont autorisés à exécuter des applications installées dans Program Files.

Avez-vous essayé de restreindre l'accès aux applications avec des autorisations NTFS et une liste blanche de cette façon?

Ensuite, les utilisateurs pourraient avoir des raccourcis vers ce qu'ils voulaient et cela ne les aiderait pas car ils ne pourraient pas accéder au programme.

Réf: http://www.virtualizationadmin.com/articles-tutorials/terminal-services/security/locking-down-windows-terminal-services.html

fsckin
la source