Restricted Software Policy работает крайне странно...
X

Привет дорогой друг

Наш сайт существует и развиваетется за счет рекламы. Пожалуйста, отключите блокировку рекламы AdBlock или подобное, для нашего сайта. Спасибо!
Показано с 1 по 1 из 1

Древовидный режим

  1. #1
    Гость форума

    Регистрация
    24.06.2010
    Сообщений
    1
    Сказал(а) спасибо
    0
    Поблагодарили 0 раз(а) в 0 сообщениях

    По умолчанию Restricted Software Policy работает крайне странно...

    Всем доброго времени суток! Столкнулся с проблемой при работе с данной груповой политикой.

    Дано: домен Windows, AD.
    Задача стоит следующая: для конкретного пользователя исключить возможность запуска любого ПО на любой рабочей станции в домене, кроме того, что было явно разрешено правилами в политике (фактически реализовать White List для программ).

    Для решения задачи использовал политику Restricted Software Policy (Политика ограниченного использования программ).

    Политику настраивал следующим образом:
    Создал юзера в отдельном OU, куда залинковал GPO со следующими настройками:
    User Configuration -> Windows Settings -> Security Settings -> Software Restriction Policies:
    Enforcement:
    - Apply software restriction policies to All software files except libraries (such as DLLs)
    - Apply software restriction policies to the following users All users

    Designated File Types:
    - оставил все по дефолту.

    Software Restriction Policies/Security Levelshide
    Policy Setting:

    - Default Security Level Disallowed

    Для Software Restriction Policies/Additional Rules удалил стандартные правила, и добавил РАЗРЕШАЮЩИЕ правила по Хешу для winlogon.exe и USERINIT.EXE.

    Предполагал, что политикой после логина юзера на любую рабочую станцию, юзер не сможет запускать вообще ничего, кроме двух, разрешенных правилами программ (USERINIT собственно для самого логина и winlogon - для того чтобы пользователь смог войти в систему).

    После применения политики и тестового логина под созданной учетной записью все выглядело похоже на это - при попытке запуска любого софта ЧЕРЕЗ ЯРЛЫКИ, который уже был установлен на тестовой машине, вылезало грозное окно, сообщающее, что запуск данного ПО политикой не разрешен.

    Но при запуске этого же ПО через проводник (напрямую выполняя exe файл) или через cmd все программы вполне себе нормально запускаются... Более того, от имени пользователя стартовали многие процессы как встоенные виндовые, так и установленные (я ожидал, что после логина пользователя будет большое количество ошибок, связанное с их запуском).

    Настроенная вышеописанным образом полтика предполагает, что после логина, юзер вообще ничего не сможет запустить (ни тот же cmd, ни проводник). А на выходе получилось, что запуск программ перестал быть возможен только через ярлыки.

    В чем же сокральный смысл такого действия политики?

    Юзер на рабочей станции, для которого была применена политика имеет права Пользователя. Политика Software Restriction применялась только к пользователю (Computer Configuration не назначалось).
    Последний раз редактировалось Velos; 24.06.2010 в 13:56.

Похожие темы

  1. Psychodiagnstic software
    от lop в разделе Полезности
    Ответов: 4
    Последнее сообщение: 16.02.2010, 17:40
  2. Nik Software Complete Collection plug-ins for Photoshop
    от tancja в разделе СОФТ (SOFT)
    Ответов: 0
    Последнее сообщение: 08.02.2010, 15:46
  3. Auslogics Software - Лучшие системные утилиты
    от ashtabahu в разделе Полезности
    Ответов: 0
    Последнее сообщение: 05.12.2009, 05:22
  4. Kerio Mail: странно работают алиасы
    от mago в разделе В помощь системному администратору
    Ответов: 0
    Последнее сообщение: 22.06.2009, 21:07
  5. sarg-reports странно работает (squid)
    от J0hn в разделе В помощь системному администратору
    Ответов: 1
    Последнее сообщение: 29.03.2009, 18:54

Социальные закладки

Социальные закладки

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •