Jump to content

BlackTrack

  • entries
    93
  • comments
    279
  • views
    22248

GPOs και περιορισμοί χρηστών


Blackman

410 views

Αρχικά να αναφέρω ότι αυτή είναι η πρώτη φορά που γράφω blog και ελπίζω να συνεχιστεί. Εξαρτάται από τα σχόλια σας για να να γίνει αυτό.

-----

΄Μπαίνοντας στο θέμα μας τώρα...

"Θέλουμε ISA server", ήταν εδώ και αρκετό το αίτημα του τμήματος IT προς την διοίκηση, μαζί με όλες τις εξηγήσεις για το 'τι είναι;' ένας ISA.

Παρόλα αυτά, η λύση έπρεπε να βρεθεί ώστε να περιοριστεί το πρόβλημα. Ποιο ήταν το πρόβλημα; Οι χρήστες που είχαν το MSN και όχι απλά μιλούσαν αλλά και αντάλλαζαν αρχεία, μεγάλου μεγέθους πολλές φορές, με αποτέλεσμα η σύνδεση με τον έξω κόσμο να γίνετε τρομερά αργή. Η πρώτη σκέψη που έρχεται είναι το Group Policy. Έχοντας ενεργοποιημένο policy για την αποτροπή download μέσω του Internet Explorer (αναγκαστικά όταν οι χρήστες σου βλέπουν το δίκτυο σαν ένα καλό τρόπο για να κατεβάσουν ότι Torrent υπάρχει στο διαδίκτυο), έπρεπε να ενεργοποιηθεί και το policy για να 'κοπεί' και το MSN.

Ανατρέχοντας στην λίστα των policies, θα βρείτε εύκολα το Policy του Messenger. ΠΡΟΣΟΧΗ!!! Μιλάμε για το Windows Messenger, το οποίο βρίσκεται στο Administrator Templates -> Windows Components -> Windows Messenger (είστε στο User ή στο Computer Configuration).

Το πρόβλημα είναι όμως, ότι οι περισσότεροι χρήστες 'δουλεύουν' με τον Live Messenger. Με την παραπάνω διαδικασία απενεργοποιείς τον 'βασικό' των Windows. Τι κάνεις όμως όταν υπάρχει εγκατεστημένος ο Live;

Εξαρχής η σωστή κίνηση ήταν να είχε απενεργοποιηθεί από τον χρήστη την δυνατότητα να κάνει εγκαταστάσεις, οπότε δεν θα υπάρχει και το παραπάνω πρόβλημα. Αν, όμως αυτό δεν έχει γίνει από την αρχή, τότε η λύση είναι άλλη. Αναζητώντας στο Internet για να βρω "deny program from running through group policy" (και διάφορους άλλους τρόπους-λέξεις κλειδιά αναζήτησης), κατέληξα στο σημείο ότι πάρα πολλοί administrators θέλουν να το κάνουν, αλλά ελάχιστοι είναι αυτοί που το κάνουν χωρίς την χρήση ενός ISA server.

Σε συνδυασμό με το παραπάνω, αποφάσισα ότι οι χρήστες δεν θα ήθελα να τρέχουν άλλον browser και δη τον Mozilla, για τον λόγο που ανέφερα. Να μην κατεβάζουν τίποτα. (Είπαμε, δεν υπάρχει ISA Server) Οπότε η διαδικασία που θα πρέπει να ακολουθηθεί είναι η ίδια.

Windows Settings->Security Settings->Software Restrictions->Additional Rules (είτε στο User ή στο Computer Configuration)

εκεί κάνουμε δεξί κλικ

pic1bv4.jpg

και οι επιλογές που εμφανίζονται είναι άκρως ενδιαφέρουσες, για να κόψετε το...βήχα σε αρκετούς.

Αυτό που μας ενδιαφέρει περισσότερο σε αυτή την φάση είναι το New Path Rule και διαλέγουμε το path όπου βρίσκετε το πρόγραμμα που δεν θέλουμε ο χρήστης να τρέχει.

msnad3.jpg

Αντίστοιχα και για τον Mozilla κάνουμε το ίδιο πράγμα και όταν ενεργοποιηθεί το policy ο χρήστης βλέπει:

notbk7.jpg

Καλή φάση...ε;

Στην περίπτωση που κάποιος 'έξυπνος' χρήστης αποφασίσει να βάλει σε ένα usb flash stick τον Firefox Portable, οπότε και οι πολιτικές που αναφέρθησαν δεν θα τον επιρρεάζουν, η λύση είναι μέσω ενός New Hash Rule.

Όπου με αυτό τον τρόπο από οπουδήποτε και να τρέξει το πρόγραμμα και οποιοδήποτε όνομα να έχει το αρχείο, ο σύστημα βλέπει το Hash και το αποτρέπει από το να τρέξει. (ΠΡΟΣΟΧΗ) Φυσικά αυτό περιορίζεται σε επίπεδο έκδοσης του προγράμματος, οπότε αν ο χρήστης τρέξει άλλη έκδοση του προγράμματος σημαίνει αυτόματα και άλλο hash key.

Παρόλα αυτά, αυτός είναι ένας τρόπος για να περιορίσεις τους χρήστες χωρίς την χρήση ενός ISA Server και ελπίζω ότι απαντάει σε όσους ψάχνουν τρόπο για να αποτρέψουν ένα πρόγραμμα να τρέξει.

Δεν έχω να προσθέσω τίποτα άλλο κύριε πρόεδρε...

7 Comments


Recommended Comments

Αρχικά συγχαρητήρια για το πρώτο post. Χάρηκα που οι bloggers στο autoexec.gr γινόμαστε περισσότεροι. Έπίσης μου άρεσε το θέμα και η περιγραφή. Και φυσικά έπρεπε να γράψεις οτι την λύση στην έδωσε το forum. Τέλος χαίρομαι που επέλεξες σοβαρό λειτουργικό για το πρώτο σου post.!!!!

Link to comment

Εξαιρετκή η δημοσίευση, για να θυμούνται οι παλιότεροι και να μαθαίνουν οι νεώτεροι ότι τα gpos είναι πανίσχυρα. Θυμήθηκα τώρα έναν υπάλληλο σε μια εταιρία που έπαιζε συνέχεια πασιέντζες. Δυστυχώς τον στεναχωρήσαμε όταν πήγε να παίξει και είδε το παραπάνω παραθυράκι!

Link to comment

Ένα κρυφό πόθο έχει κάθε admin... να δει το χρήστη να μη μπορεί να τρέξει την ηλίθια ή/και άχρηστη εφαρμογή που διάβασε το προηγούμενο βράδυ σε κάποιο περιοδικό/blog/site και πιθανότατα θα σκίσει το ήδη βεβαρημένο από business εφαρμογές PC του. Εμπρός συνάδελφοι στην αιώνια εκπλήρωση του πόθου αυτού με φαρέτρα τα GPOs...

Link to comment

Πολύ χάρηκα για το συγκεκριμένο post!

Πάντα είναι ωραίο να νοιώθεις ότι υπάρχουν ομοιοπαθείς "εκεί έξω"! ;-)

 

Ως

η-administrator-δίχως-ISA-μα-με-φασιστική-διάθεση, με δίκτυο που

έχουν-προηγουμένως-σχεδόν-όλοι-εγκαταστήσει-ό,τι-βρήκαν-μπροστά-τους και με χρήστες τύπου

η-δουλειά-μου-επιβάλλει-να-κάνω-εγκαταστάσεις-και-το-εγκρίνει-η-διοίκηση και τύπου

οι-άλλοι-γιατί-το-έχουν-το-θέλω-κι-εγώ,

θέλω να επισημάνω ένα πράγμα για την λύση αυτή, την οποία και χρησιμοποιώ πολύ καιρό.

 

Η λύση αν και αποτελεσματική, μπορεί να γίνει μπελάς.

 

Δυσκολεύει αναλόγως του πλήθους των εφαρμογών που θέλεις να κόψεις σε συνδυασμό με το πόσο σύντομα πρέπει να γίνει η δουλειά και τον διαθέσιμό σου (ή άλλων) χρόνο για υλοποίηση. Τίποτα το καινούριο δηλαδή...

 

Για λίγα Paths είναι τέλεια ιδέα.

Αν πρόκειται για 50+ paths (που ανακάλυψες πριν από λίγο μαζεμένα), που πρέπει να τοποθετηθούν ΤΩΡΑ σε policy και το ΤΩΡΑ είναι ήδη 18:00 και θέλεις να σχολάσεις πριν από τις 23:00 (και ακόμη σκαλίζεις τους δίσκους των συναδέλφων για περισσότερες ύποπτες εφαμογές που σου καταστρέφουν το δίκτυο ...ΤΩΡΑ), τότε γίνεται κάπως κουραστικό.

 

Bottom line: Αν και κουραστική, είναι πολύ καλή λύση!

 

Link to comment

Δεν είναι τόσο δύσκολο όσο το λες. Βάζεις μία free εφαρμογή να σκανάρει το δίκτυο σου, το οποίο φροντίζεις να είναι όλοι οι υπολογιστές ανοιχτοί και βλέπεις τι τρέχει ο καθένας. Το spyworks είναι ένα ωραίο πρόγραμμα να δουλέψεις μέσα στα πάρα πολλά που σου βγάζουν τι είναι εγκατεστημένο και που με πλήρη αναφορά.

 

Μετά απλά ανοίγεις τον Policy editor και προσθέτεις paths ή hash keys.

Link to comment

Συμφωνώ. Η δυσκολία μου δεν ήταν τόσο στο να τα εντοπίσω όσο στο να τα περάσω "χεράτα" όλα τα paths.

 

Είμαι τεμπέλα! :-)

Link to comment

Εντυπωσιασμένος από αυτά που μάθαμε στο SecurityForum που μόλις τελείωσε (δυστυχώς), παρατηρούσα εμείς

Link to comment
Guest
Add a comment...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
×
×
  • Create New...