由于最近的勒索软件爆发(Cryptolocker/Cryptowall/等)产生的工作量,我最近的任务是实施软件限制策略以阻止程序从临时目录执行。这通常工作得很好,但是当我们需要安装软件时,我们遇到了一个问题,因为这些软件限制策略会阻止安装程序访问机器临时目录。
我们的 Active Directory 层次结构基本上是按照我们的物理站点进行组织的,我们的 AD 对象从域根及其特定站点 OU 中分别继承了大约几十个 GPO。因此,我没有选择在域根目录之外创建一个被阻止的策略 OU(因为不继承特定于站点的组策略设置会导致机器出现大问题,并且远程用户没有足够的技能来解决它们),或者将组策略对象重新链接到更靠近子 OU 的位置(因为这将涉及数百个取消链接和重新链接操作,我不愿意这样做),或者在每个子 OU 处创建一个继承被阻止的子 OU(因为我有在这种情况下要做数百个链接操作)。
也就是说,我确实需要一种方法来暂时阻止 GPO 应用软件限制策略,以便我们可以不时安装软件。我最初尝试通过在每个站点创建一个子 OU 并链接反向软件限制策略来解决此问题,认为反向策略的更高优先级将覆盖继承的策略,但这根本不起作用 - RSOP 显示计算机得到了补充disallow和unrestricted规则,disallow在那种情况下规则获胜。
因此,考虑到所有这些(无法重新链接我们所有的 GPO,无法创建简单的继承阻塞 OU,并且具有更高优先级的 GPO 似乎无法解决我的问题),我该怎么做 [暂时]阻止应用继承的软件限制 GPO?假设 Server 2008 R2 FL 域/林上的 Windows 7 客户端。
将指定的计算机添加到 Active Directory 安全组,并将组添加到 GPO,并为“应用策略”添加“拒绝”(不要完全拒绝,因为它会阻止 GPO 名称枚举,使故障排除变得困难)。然后,根据需要将机器添加到该组。
只需使用“软件限制策略强制执行”中的“适用于除本地管理员以外的所有用户”设置...您不会让所有用户以管理员身份运行...是吗?
作为替代方案,也许您可以在 GPO 的用户配置部分定义软件限制策略,然后使用安全过滤来允许该 GPO 仅适用于特定的安全用户组。