Вимкнення ігор / програмного забезпечення Windows за допомогою обмежень програмного забезпечення GPO - Як

Вимкнення ігор / програмного забезпечення Windows за допомогою обмежень програмного забезпечення GPO

Іноді потрібно просто відключити доступ до певних програм, папок, які виконуються у вашій мережі. Використовуючи групову політику, ви можете вимкнути доступ до цих об'єктів за назвою файлу / ім'я шляху, значення хешу та багато іншого.

Ось Microsoft:

Адміністратори можуть використовувати політику обмеження програмного забезпечення, щоб дозволити роботі програмного забезпечення. За допомогою політики обмеження програмного забезпечення адміністратор може запобігти запуску небажаних програм. Це включає в себе віруси та програмне забезпечення троянського коня, або інше програмне забезпечення, яке, як відомо, викликає проблеми.

Для нашого прикладу тут ми відключимо доступ до вбудованої Freecell.

Я поклав це разом як короткий підсумок до більш глибокої технічної статті (а також, щоб застосувати її до реальної ситуації).

Загалом 8 кроків

Крок 1: Грунтовка: Типи правил

Обмеження політики програмного забезпечення мають чотири доступні методи (або "правила") для блокування запущених програм:

* Сертифікати
* Хеш
* Інтернет-зона
* Шлях

Докладніше про кожне з цих правил, знову ж таки від Microsoft:

* Hash - за допомогою правила Hash адміністратор перераховує файл програми, який буде заблокований або явно дозволений. Це хеш, що призводить до криптографічного відбитка, який залишається незмінним незалежно від назви файлу або розташування. Цей метод можна використовувати для запобігання запуску певної версії програми або для запобігання запуску програми незалежно від місця її розташування.

* Сертифікат - Ви можете створювати правила сертифіката, надаючи сертифікат видавця програмного забезпечення підпису коду. Як і правила Hash, правила сертифікатів застосовуються незалежно від того, де знаходиться файл програми або який він названий.

* Шляхи - Правила Шляху застосовуються до всіх програм, які виконуються з вказаного локального або мережевого шляху, або з підпапок, які знаходяться на шляху.

* Інтернет-зона - Ви можете використовувати правила зони Інтернету для застосування правил політики обмеження програм на основі зони безпеки Microsoft Internet Explorer, в якій запускається програма. Наразі ці правила поширюються лише на пакети інсталятора Microsoft Windows, які виконуються з зони. Правила зони Інтернету не застосовуються до програм, завантажених Internet Explorer.

Для нашого прикладу, я буду дотримуватися правила Hash. Таким чином, незалежно від того, де програма може бути розташована на ПК, вона все одно не буде працювати. Ви можете скористатися гібридним підходом з правилом шляху, щоб зловити різні версії конкретної програми, але це може бути трохи втомлює.

Крок 2. Відкрийте диспетчер групової політики; Назвіть свою політику


Першим кроком є ​​відкриття GPO MMC. Якщо ви не бачите цього на вашій робочій станції, вам може знадобитися встановити Adminpak.msi з папки i386 сервера CD. Це дозволить встановити всі необхідні бібліотеки DLL для використання GPO MMC (та інших).

Примітка. Можливо, вам також знадобиться оновити консоль керування груповими правилами w / SP1 від Microsoft. Це трохи полірованіша версія консолі.

Після відкриття консолі GPO розгорніть "Керування груповими політиками"> "Forest xxxx" (де "xxxx" є вашим доменом) '>' Домени '. Клацніть правою кнопкою миші 'Об'єкти групової політики'> 'Новий'.

Коли буде запропоновано, вкажіть нову політику назвою (моє "Тест").

Крок 3. Вирішіть застосувати політику до користувачів або комп'ютерів?

Вам пора прийняти рішення. Можна вибрати, чи потрібно, щоб ця політика застосовувалася до об'єктів користувача або комп'ютера. Якщо ви хочете, щоб він застосовувався до обох, вам доведеться створити для них налаштування (це можна зробити в тій же політиці).

У нашому прикладі ми застосуємо до "об'єктів користувачів"

Крок 4. Створіть політику


Мені потрібно застосувати це до своїх об'єктів користувача, тому, коли з'явиться редактор групової політики, нам потрібно розгорнути "Конфігурація користувача"> "Налаштування Windows"> "Налаштування безпеки".

Якщо ви робите політику, призначену для об’єктів комп'ютера, перейдіть до "Конфігурація комп'ютера"> "Налаштування Windows"> "Налаштування безпеки".

Якщо це нова політика, ви побачите повідомлення:

"Не визначено політику обмеження програмного забезпечення. У цій груповій політиці не визначено політик обмеження програмного забезпечення. Ви можете визначити такі правила, але вони перевизначать політики, визначені батьківськими об'єктами. Щоб визначити правила обмеження програмного забезпечення, у меню адміністратора натисніть кнопку Створити нові правила .

Клацніть правою кнопкою миші "Політики обмеження програмного забезпечення"> "Створити нові правила".

Крок 5. Створіть правило


На правій панелі (або нижче "Параметри безпеки" на лівій панелі) двічі клацніть "Додаткові правила".

Коли з'явиться список правил - має бути вже визначено чотири - клацніть правою кнопкою миші на правій панелі та клацніть 'New Hash Rule'.

Крок 6: Вкажіть деталі вашого правила


Ви побачите діалогове вікно "Нове правило".

У цьому вікні ви можете переглянути потрібний файл (у вашій системі або через мережу). Хеш-файл обчислюється після вибору файлу, і інформація автоматично витягується і заповнює текстове поле "Інформація про файл". Якщо ця інформація не існує, її можна ввести вручну.

У нашому прикладі ми будемо обмежувати 'Freecell'.

Під ним можна встановити рівень безпеки "Заборонено" або "Необмежений" - вам може знадобитися "Необмежений", якщо ви блокуєте все і хочете створити деякі винятки ...

Нарешті, у полі Опис можна ввести будь-який текст, який вам подобається.

Коли ви натискаєте "ОК", правило буде застосовано до цього об'єкта.

Крок 7. Перегляньте створення правила


Тепер ви повинні побачити ваше нове правило у списку правил у вашій політиці.

Крок 8. Застосуйте ваш GPO до OU


Останній крок полягає у застосуванні цього об'єкта групової політики до підрозділу, який містить об'єкти користувача, клацнувши правою кнопкою миші на підрозділі "Зв'язати існуючий GPO". Як тільки цей GPO буде застосовано, він повинен оновлюватися автоматично (за замовчуванням 90 хвилин), що забороняє доступ до вказаних програм.

Якщо ви хочете прискорити процес оновлення GP на певному комп'ютері, ви можете запустити "GPUpdate / force" на цьому комп'ютері.

Не впевнені, чи правильно застосовується політика? Запустіть "GPResult" на вікні та отримайте докладний вивід застосованих політик і налаштувань на зареєстрованого користувача і комп'ютера.

Отже, тепер, коли користувач намагається запустити обмежену програму, вони побачать таке повідомлення:

"Windows не може відкрити програму, тому що її запобігала політика обмеження програмного забезпечення. Щоб отримати додаткові відомості, відкрийте програму перегляду подій або зверніться до системного адміністратора."

Якщо у вас все ще є проблеми з деякими користувачами, які можуть запускати freecell тощо, вам може знадобитися створити нове правило, використовуючи їх виконуваний файл як базовий файл, оскільки це може бути інша версія, ніж те, що ви створили для цього правила.

FYI: Ви хочете зробити велике тестування з тестовим комп'ютером та / або OU.

Як бачите, використання об'єктів групової політики може допомогти вам керувати доступом до програм або папок на клієнтських комп'ютерах, але це не є дурним. Якщо ви продовжуєте мати проблеми з користувачами, які вводять відеоігри, неліцензовані або взагалі неавторизовані програми, жодне обмеження об'єктів групової політики не вирішить цю проблему ... вам потрібно звернутися до персоналу чи керівництва, щоб створити прийнятні політики прийнятного використання.