¿Cómo bloqueo la herencia / aplicación de un solo GPO?

9

Debido a la carga de trabajo generada por los recientes brotes de ransomware (Cryptolocker / Cryptowall / etc.), Recientemente tuve la tarea de implementar políticas de restricción de software para bloquear la ejecución del programa desde directorios temporales. Esto generalmente funciona bastante bien, pero tenemos un problema cuando necesitamos instalar software, ya que estas políticas de restricción de software evitan que los instaladores accedan a los directorios temporales de la máquina.

Nuestra jerarquía de Active Directory está básicamente organizada según las líneas de nuestros sitios físicos, y nuestros objetos AD heredan aproximadamente una docena de GPO de la raíz del dominio y sus unidades organizativas de sitio específicas. Como tal, no tengo la opción de crear una OU de política bloqueada fuera de la raíz del dominio (ya que no heredar la configuración de la Política de grupo específica del sitio causa grandes problemas con las máquinas, y los usuarios remotos no tienen la habilidad suficiente para resolverlas ), o volver a vincular objetos de directiva de grupo más cercanos a las unidades organizativas secundarias (ya que eso implicaría varios cientos de operaciones de desvinculación y vinculación, que no estoy dispuesto a hacer), o crear una unidad organizativa secundaria en cada una con herencia bloqueada (porque habría varios cientos de operaciones de enlace para hacer en ese caso).

Dicho esto, necesito una forma de detener temporalmente la aplicación de la política de restricción de software GPO, para que podamos instalar software de vez en cuando. Intenté resolver esto inicialmente creando una unidad organizativa secundaria en cada sitio y vinculando una política de restricción de software inversa, pensando que la mayor precedencia de la política inversa anularía la heredada, pero eso no funcionó en absoluto: un RSOP mostró que las computadoras se estaban volviendo complementarias disallowy unrestrictedreglas, y las disallowreglas ganan en ese escenario.

Entonces, con todo eso en mente (no se puede volver a vincular todos nuestros GPO, no se puede crear una OU bloqueada de herencia simple, y un GPO con mayor precedencia no parece resolver mi problema), ¿qué puedo hacer para [temporalmente] bloquear la aplicación de los GPO de restricción de software heredados? Suponga clientes de Windows 7 en un dominio / bosque de Server 2008 R2 FL.

HopelessN00b
fuente
Debería usar AppLocker en lugar de las Políticas de restricción de software (SRP). SRP se ejecuta en el lado del usuario del límite de usuario / kernel, y puede ser burlado por usuarios no privilegiados (o el malware que están ejecutando) con inyección de DLL.
Evan Anderson
@EvanAnderson No es que no esté de acuerdo, pero teníamos algunas restricciones infligidas por la administración que nos llevaron a tomar la ruta SRP. Al igual que las razones por las que no podía excluir a los administradores de máquinas de la política, son vergonzosas, no técnicas y no es algo en lo que quiera entrar sin un mayor contenido de alcohol en sangre.
HopelessN00b

Respuestas:

8

Agregue las máquinas especificadas a un Grupo de seguridad de Active Directory y agregue el Grupo al GPO con un "Denegar" para "Aplicar política" (No caiga en una denegación completa ya que evitará que el nombre del GPO enumere, lo que dificulta la resolución de problemas ) Luego, agregue las máquinas a ese grupo según sea necesario.

Dan
fuente
5

Simplemente use la opción "Aplicar a todos los usuarios excepto los administradores locales" en la Aplicación de políticas de restricción de software ... no deja que todos sus usuarios se ejecuten como Administrador ... ¿verdad?

Políticas de restricción de software

Como alternativa, quizás podría definir las Políticas de restricción de software en la parte de Configuración de usuario del GPO, luego usar el Filtro de seguridad para permitir que ese GPO solo se aplique a un grupo de usuarios de seguridad en particular.

Ryan Ries
fuente
1
you don't let all your users run as Administrator... do you???Solo los que tengo que hacer, porque me superan / superan. (Y los pocos usuarios no técnicos que tienen necesidades legítimas de derechos de administrador).
HopelessN00b
Sí ... sabía que había una posibilidad de que esto no satisficiera totalmente tus necesidades, pero pensé en mencionarlo de todos modos, solo por el bien de la integridad.
Ryan Ries
Además, creo que vale la pena señalar que un usuario administrativo siempre podrá sortear su política de restricción de software de todos modos, si se determina lo suficiente.
Ryan Ries