Velos
24.06.2010, 12:51
Всем доброго времени суток! Столкнулся с проблемой при работе с данной груповой политикой.
Дано: домен Windows, AD.
Задача стоит следующая: для конкретного пользователя исключить возможность запуска любого ПО на любой рабочей станции в домене, кроме того, что было явно разрешено правилами в политике (фактически реализовать White List для программ).
Для решения задачи использовал политику Restricted Software Policy (Политика ограниченного использования программ).
Политику настраивал следующим образом:
Создал юзера в отдельном OU, куда залинковал GPO со следующими настройками:
User Configuration -> Windows Settings -> Security Settings -> Software Restriction Policies:
Enforcement:
- Apply software restriction policies to All software files except libraries (such as DLLs)
- Apply software restriction policies to the following users All users
Designated File Types:
- оставил все по дефолту.
Software Restriction Policies/Security Levelshide
Policy Setting:
- Default Security Level Disallowed
Для Software Restriction Policies/Additional Rules удалил стандартные правила, и добавил РАЗРЕШАЮЩИЕ правила по Хешу для winlogon.exe и USERINIT.EXE.
Предполагал, что политикой после логина юзера на любую рабочую станцию, юзер не сможет запускать вообще ничего, кроме двух, разрешенных правилами программ (USERINIT собственно для самого логина и winlogon - для того чтобы пользователь смог войти в систему).
После применения политики и тестового логина под созданной учетной записью все выглядело похоже на это - при попытке запуска любого софта ЧЕРЕЗ ЯРЛЫКИ, который уже был установлен на тестовой машине, вылезало грозное окно, сообщающее, что запуск данного ПО политикой не разрешен.
Но при запуске этого же ПО через проводник (напрямую выполняя exe файл) или через cmd все программы вполне себе нормально запускаются... Более того, от имени пользователя стартовали многие процессы как встоенные виндовые, так и установленные (я ожидал, что после логина пользователя будет большое количество ошибок, связанное с их запуском).
Настроенная вышеописанным образом полтика предполагает, что после логина, юзер вообще ничего не сможет запустить (ни тот же cmd, ни проводник). А на выходе получилось, что запуск программ перестал быть возможен только через ярлыки.
В чем же сокральный смысл такого действия политики?
Юзер на рабочей станции, для которого была применена политика имеет права Пользователя. Политика Software Restriction применялась только к пользователю (Computer Configuration не назначалось).
Дано: домен Windows, AD.
Задача стоит следующая: для конкретного пользователя исключить возможность запуска любого ПО на любой рабочей станции в домене, кроме того, что было явно разрешено правилами в политике (фактически реализовать White List для программ).
Для решения задачи использовал политику Restricted Software Policy (Политика ограниченного использования программ).
Политику настраивал следующим образом:
Создал юзера в отдельном OU, куда залинковал GPO со следующими настройками:
User Configuration -> Windows Settings -> Security Settings -> Software Restriction Policies:
Enforcement:
- Apply software restriction policies to All software files except libraries (such as DLLs)
- Apply software restriction policies to the following users All users
Designated File Types:
- оставил все по дефолту.
Software Restriction Policies/Security Levelshide
Policy Setting:
- Default Security Level Disallowed
Для Software Restriction Policies/Additional Rules удалил стандартные правила, и добавил РАЗРЕШАЮЩИЕ правила по Хешу для winlogon.exe и USERINIT.EXE.
Предполагал, что политикой после логина юзера на любую рабочую станцию, юзер не сможет запускать вообще ничего, кроме двух, разрешенных правилами программ (USERINIT собственно для самого логина и winlogon - для того чтобы пользователь смог войти в систему).
После применения политики и тестового логина под созданной учетной записью все выглядело похоже на это - при попытке запуска любого софта ЧЕРЕЗ ЯРЛЫКИ, который уже был установлен на тестовой машине, вылезало грозное окно, сообщающее, что запуск данного ПО политикой не разрешен.
Но при запуске этого же ПО через проводник (напрямую выполняя exe файл) или через cmd все программы вполне себе нормально запускаются... Более того, от имени пользователя стартовали многие процессы как встоенные виндовые, так и установленные (я ожидал, что после логина пользователя будет большое количество ошибок, связанное с их запуском).
Настроенная вышеописанным образом полтика предполагает, что после логина, юзер вообще ничего не сможет запустить (ни тот же cmd, ни проводник). А на выходе получилось, что запуск программ перестал быть возможен только через ярлыки.
В чем же сокральный смысл такого действия политики?
Юзер на рабочей станции, для которого была применена политика имеет права Пользователя. Политика Software Restriction применялась только к пользователю (Computer Configuration не назначалось).