9 votes

Windows 2003 Restrictions logicielles GPO

Nous exploitons une ferme de serveurs Terminal dans un domaine Windows 2003, et j'ai trouvé un problème avec les paramètres GPO de Restrictions de Logiciels qui sont appliqués à nos serveurs TS. Voici les détails de notre configuration et du problème :

Tous nos serveurs (contrôleurs de domaine et serveurs Terminal) exécutent Windows Server 2003 SP2 et le domaine et la forêt sont tous deux au niveau Windows 2003. Nos serveurs TS sont dans une OU où nous avons des GPO spécifiques liées et nous avons bloqué l'héritage, donc seuls les GPO spécifiques aux TS sont appliqués à ces serveurs TS. Nos utilisateurs sont tous distants et n'ont pas de postes de travail rejoignant notre domaine, donc nous n'utilisons pas le traitement des stratégies de bouclage. Nous adoptons une approche de "liste blanche" pour autoriser les utilisateurs à exécuter des applications, donc seules les applications que nous approuvons et ajoutons en tant que règles de chemin ou de hachage peuvent s'exécuter. Nous avons défini le Niveau de Sécurité des Restrictions de Logiciels sur Interdit et l'Application est définie sur "Tous les fichiers logiciels sauf les bibliothèques".

Ce que j'ai constaté, c'est que si je donne à un utilisateur un raccourci vers une application, il peut lancer l'application même si elle ne figure pas dans la liste des règles supplémentaires des applications en "liste blanche". Si je donne à un utilisateur une copie de l'exécutable principal de l'application et qu'il tente de le lancer, il reçoit le message attendu "ce programme a été restreint...". Il semble que les Restrictions de Logiciels fonctionnent effectivement, sauf lorsque l'utilisateur lance une application à l'aide d'un raccourci plutôt que de lancer l'application à partir de l'exécutable principal lui-même, ce qui semble contredire le but d'utiliser les Restrictions de Logiciels.

Mes questions sont les suivantes : Quelqu'un d'autre a-t-il remarqué ce comportement ? Quelqu'un d'autre peut-il reproduire ce comportement ? Est-ce que je manque quelque chose dans ma compréhension des Restrictions de Logiciels ? Est-il probable que j'ai mal configuré les Restrictions de Logiciels ?

ÉDIT

Pour clarifier un peu le problème :

Aucune GPO de niveau supérieur n'est en vigueur. L'exécution de gpresults montre en fait que seuls les GPO de niveau TS sont appliqués et je peux effectivement voir mes Restrictions de Logiciels appliquées. Aucun joker de chemin n'est utilisé. Je teste avec une application qui se trouve à "C:\Program Files\Application\executable.exe" et l'exécutable de l'application n'est pas dans une règle de chemin ou de hachage. Si l'utilisateur lance l'exécutable principal de l'application directement à partir du dossier de l'application, les Restrictions de Logiciels sont appliquées. Si je donne à l'utilisateur un raccourci pointant vers l'exécutable de l'application à "C:\Program Files\Application\executable.exe", alors il peut lancer le programme.

ÉDIT

De plus, les fichiers LNK sont répertoriés dans les Types de Fichiers Désignés, donc ils devraient être traités comme exécutables, ce qui signifie qu'ils sont soumis aux mêmes paramètres et règles de Restrictions de Logiciels.

5voto

joeqwerty Points 106914

J'ai enfin trouvé la réponse. Dans nos règles de restrictions logicielles, il y a une règle de chemin comme celle-ci :

%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%

Cela permet à n'importe quel exécutable à l'intérieur du répertoire Program Files et de ses sous-répertoires de s'exécuter sans entrave. Ce chemin est ajouté par défaut lorsque vous configurez les restrictions logicielles. Supprimer cette règle de chemin entraîne le refus de tous les programmes, même si leur exécutable est explicitement ajouté en tant que chemin non restreint.

Cela soulève la question : si 99 % de tous les programmes sont installés dans le répertoire Program Files, mais que je veux restreindre certains programmes, comment puis-je y parvenir avec les restrictions logicielles ?

Une question tout aussi importante est de savoir à quoi servent exactement les restrictions logicielles, sauf pour les programmes ou exécutables non situés dans Program Files ?

0voto

Vivek Kumbhar Points 3053

Je vérifierais les ACL sur le raccourci que vous avez créé pour les utilisateurs. Selon les meilleures pratiques de la stratégie de sécurité des Politiques de restriction logicielle; Services de sécurité,

Les utilisateurs pourraient essayer de contourner les politiques de restriction de logiciels en renommant ou en déplaçant des fichiers non autorisés ou en écrasant des fichiers non restreints. Par conséquent, il est recommandé d'utiliser des listes de contrôle d'accès (ACL) pour refuser aux utilisateurs l'accès nécessaire pour effectuer ces tâches

0voto

IceMage Points 1326

Vous voudrez peut-être essayer de supprimer LNK en tant que type de fichier désigné. Même s'ils sont traités comme des exécutables, ils ne devraient pas l'être. De cette manière, les restrictions logicielles devraient s'appliquer à l'exécutable ciblé par le fichier LNK, et non au fichier LNK lui-même.

0voto

Michael Chandra Points 21

J'ai vécu ce dont vous parlez -- c'est très ennuyeux. Je suis à peu près sûr que par défaut, vos utilisateurs sont autorisés à exécuter des applications qui sont installées dans Program Files.

Avez-vous essayé de restreindre l'accès aux applications avec des autorisations NTFS et en les ajoutant à la liste blanche de cette manière ?

Ensuite, les utilisateurs pourraient avoir des raccourcis vers ce qu'ils voulaient et cela ne les aiderait pas car ils ne pourraient pas accéder au programme.

Réf: http://www.virtualizationadmin.com/articles-tutorials/terminal-services/security/locking-down-windows-terminal-services.html

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

X