Devido à carga de trabalho gerada por recentes surtos de ransomware (Cryptolocker/Cryptowall/etc.), recebi recentemente a tarefa de implementar políticas de Restrição de Software para bloquear a execução de programas de diretórios temporários. Geralmente, isso funciona bem, mas temos um problema quando precisamos instalar o software, pois essas políticas de restrição de software impedem que os instaladores acessem os diretórios temporários da máquina.
Nossa hierarquia do Active Directory é basicamente organizada de acordo com as linhas de nossos sites físicos, e nossos objetos AD herdam cerca de duas dúzias de GPOs cada um da raiz do domínio e de suas OUs de site específicas. Como tal, não tenho a opção de criar uma OU de política bloqueada na raiz do domínio (já que não herdar as configurações de política de grupo específicas do site causa grandes problemas com as máquinas e os usuários remotos não são qualificados o suficiente para resolvê-los ), ou revincular objetos de política de grupo mais próximos das OUs filhas (pois isso envolveria várias centenas de operações de desvinculação e revinculação, o que não estou disposto a fazer) ou criar uma OU filha em cada uma com herança bloqueada (porque eu teria várias centenas de operações de ligação a fazer nesse caso).
Dito isso, preciso de uma maneira de interromper temporariamente a aplicação do GPO da política de Restrição de Software, para que possamos instalar o software de tempos em tempos. Tentei resolver isso inicialmente criando uma OU filha em cada site e vinculando uma política inversa de Restrição de Software, pensando que a precedência mais alta da política inversa substituiria a herdada, mas isso não funcionou - um RSOP mostrou que os computadores estavam recebendo cortesia disallowe unrestrictedregras, e as disallowregras vencem nesse cenário.
Portanto, com tudo isso em mente (não é possível vincular novamente todos os nossos GPOs, não é possível criar uma UO bloqueada por herança simples e um GPO com precedência mais alta não parece resolver meu problema), o que posso fazer para [temporariamente] bloquear a aplicação de GPOs de Restrição de Software herdados? Suponha que os clientes do Windows 7 em um domínio/floresta do Server 2008 R2 FL.
Adicione as máquinas especificadas a um grupo de segurança do Active Directory e adicione o grupo ao GPO com um "Negar" para "Aplicar política" (não caia em negar totalmente, pois isso impedirá a enumeração do nome do GPO, dificultando a solução de problemas ). Em seguida, adicione as máquinas a esse grupo conforme necessário.
Simplesmente use a configuração "Aplicar a todos os usuários, exceto administradores locais" na aplicação de políticas de restrição de software... você não permite que todos os seus usuários sejam executados como administrador... não é???
Como alternativa, talvez você possa definir as Diretivas de Restrição de Software na parte Configuração do Usuário do GPO e, em seguida, usar a Filtragem de Segurança para permitir que o GPO se aplique apenas a um determinado grupo de segurança de usuários.