... tre vie per bloccare un applicazione tramite GPO

-



Metodo 1) Applocker per windows 7 Ent e Ult

se abbiamo a disposizione un parco client costituito da Window Enterprise o Ultimate, Applocker ci viene in aiuto.
in sintesi i passi sono i seguenti:

a)Modellazione
b)Applicazione e Import sul Dominio
c)Start del servizio Identità Applicazione

----- Fase A: La Modellazione

da un client qualsiasi con le sucitate versioni di windows apriamo SECPOL.MSC. posizioniamoci su 
-Criteri di Controllo delle Applicazioni
-AppLocker

nel menu di destra andare su "Configura Imposizioni Regole", quindi su Regole Eseguibili, mettiamo la spunta su Configurate, e quindi dal menu a tendina scegliamo Imponi Regole.

Fatto cio, torniamo su 
-Criteri di Controllo delle Applicazioni
-AppLocker
-Regole Eseguibili - > bottone destro -> crea nuova regola

-nella schermata proposta ( denominata Prima di Iniziare), cliccare su Avanti
- sceglire il gruppo di sicurezza a cui negare o proibire l'esecuzione 
-nella seguente schermata scegliere Autore e quindi Avanti
- ci viene proposto il file di riferimento, e come si può intuire, clicchiamo su sfoglia per individuare il percorso dell'exe da bloccare. nella stessa schermata con il cursore scegliamo cosa bloccare dell'Autore, in particolar modoci sarà di aiuto bloccare le versioni passate e future di Chrome, quindi alzare il cursore di uno step fino a quando non appare un * nel versioning del file.
- Avanti  - Avanti - Avanti, Fine ;)

abbiamo creato la nostra policy localmente su nostro client di dominio

in SECPOL.MSC andiamo su

-Criteri di Controllo delle Applicazioni
-AppLocker - > bottone destro esporta Criterio e salviamo il file XML.


----- Fase B: Applicazione e Import sul Dominio

copiamo il file su uno dei nostri DC, tipicamente nella cartella TEMP
andiamo sul dc e apriamo il Group Policy snap in.

Posizioniamoci sulla corretta OU e creiamo una nuova GPO

-Computer
-Criteri
-Impostazioni di windows
-Impostazioni di sicurezza
-Criteri di Controllo delle Applicazioni - > bottone destro -> importa il file XML nella ---TEMP

------ Fase C: Start del servizio Identità Applicazione

nel contesto della stessa GPO precedentemente creata.... cliccare in sequenza su...

-Computer
-Impostazione di Windows
-Impostazioni di Sicurezza
-Servizi Sistema

Trovare il servizio Identità Applicazione e configurarlo per l'avvio automatico.

Riavviare i client nella OU.  Fatto ;)




METODO 2) GPO + VBS (windows 2000 e successivi...)

 ... eviterò di descrivere i banali passaggi per la creazione di una GPO di Logon Script utente e riporterò solo il codice del *.VBS da editare con il notepad e da mettere in esecuzione:

 strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
    & "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")

 Set colMonitoredProcesses = objWMIService. _        
    ExecNotificationQuery("select * from __instancecreationevent " _ 
        & " within 1 where TargetInstance isa 'Win32_Process'")
i = 0

 Do While i = 0
    Set objLatestProcess = colMonitoredProcesses.NextEvent
    If objLatestProcess.TargetInstance.Name = "NOMEPROCESSO.EXE" Then
        objLatestProcess.TargetInstance.Terminate
    End If
Loop


 METODO 3) GPO blocco applicazioni per windows 2000 e successivi...

creare una gpo per l'apposita OU

 modificarla  andando su

 -Criteri
-impostazioni utente
-Modelli Amministrativi
-Sistema
-non eseguire le applicazioni windows specificate

 attivare la policy e cliccando su 'mostra' inserire i processi da bloccare (process name)

 gpudate sui client della ou o attendere il tempo di propagazione ; )

 ovviamente dato che il blocco si basa sul nome del processo, se si rinomina l'exe... la gpo non ha effetto!

Commenti

Posta un commento

Post popolari in questo blog

AZURE: Nomi eccellenti sul marketplace

-
Immagine
Nelle mie sessioni di training su Azure, ho esplorato con interesse il marketplace, trovando non pochi nomi eccellenti. La cosa non può che farmi piacere, in quanto anche se alla fine spesso non di tratta si servizi SaaS, ma servizi per Azure Compute, quindi VM, si tagliano completamente i tempi e le possibilità di errore. Ma tornando al titolo del post, chi ho incontrato? Cis Standard Sonicwall Citrix  Oracle  Linux... RedHat, Suse, Oracle...
Continua a leggere

Gestire e ordinare client di WSUS 3.0 da GPO

-
Immagine
Spesso e volentieri, su molti domini Microsoft, trovo i client di Wsus ingestibili per via della caotica gestione che offre di standard il prodotto in questione. Le strategie vincenti per una distribuzione di pacht a basso impatto operativo lato utente iniziano con la differenziazione del parco macchine di loro utilizzo in base alle loro mansioni. Poniamo ad esempio un istituto bancario costituito di client  7, 8.1, XP. Molti potranno pensar di differenziare le distribuzioni in base al sistema operativo, cosa sbagliatissima in quanto i client allo sportello potrebbero essere sia XP che 8.1. Dato che gli sportelli sono quelli che non vanno bloccati in business hour, si potrebbe scegliere di temporizzare gli aggiornamenti in notturna.  vediamo come differenziare i client in base alle mansioni a) Il primo passo da fare è loggarsi sul server, aprire lo snap in di Wsus e andare sulle Opzioni (nel ramo sulla sinistra) e quindi scegliere Computer, e mettere la spunta sulla ...
Continua a leggere