Windows 2003 GPO Software Ограничения

Мы запускаем ферму терминальных серверов в домене Windows 2003, и я обнаружил проблему с настройками GPO Software Restrictions, которые применяются к нашим серверам TS. Вот детали нашей конфигурации и проблемы:

Все наши серверы (контроллеры домена и терминальные серверы) работают под управлением Windows Server 2003 с пакетом обновления 2 (SP2), а домен и лес находятся на уровне Windows 2003. Наши серверы TS находятся в подразделении, в котором у нас есть определенные объекты GPO, связанные с заблокированным наследованием, поэтому только эти объекты GPO TS применяются к этим серверам TS. Все наши пользователи являются удаленными и не имеют рабочих станций, подключенных к нашему домену, поэтому мы не используем обработку политики обратной связи. Мы используем подход «белого списка», позволяющий пользователям запускать приложения, поэтому могут запускаться только те приложения, которые мы утвердили и добавили в качестве правил пути или хеша. У нас для уровня безопасности в ограничениях программного обеспечения установлено значение Disallowed, а для Enforcement установлено значение «Все файлы программного обеспечения, кроме библиотек».

Я обнаружил, что если я предоставлю пользователю ярлык приложения, он сможет запустить приложение, даже если его нет в списке «Дополнительные правила» «белого списка» приложений. Если я даю пользователю копию основного исполняемого файла приложения, и он пытается запустить его, он получает ожидаемое сообщение «эта программа была ограничена ...». Похоже, что ограничения программного обеспечения действительно работают, за исключением случая, когда пользователь запускает приложение с помощью ярлыка, а не запускает приложение из самого основного исполняемого файла, что, по-видимому, противоречит цели использования ограничений программного обеспечения.

Мои вопросы: кто-нибудь еще видел такое поведение? Кто-нибудь еще может воспроизвести это поведение? Я что-то упускаю из своего понимания ограничений программного обеспечения? Возможно ли, что я что-то неправильно настроил в Ограничениях программного обеспечения?

РЕДАКТИРОВАТЬ

Чтобы прояснить проблему немного:

GPO более высокого уровня не применяются. Запуск gpresults показывает, что на самом деле применяются только объекты групповой политики уровня TS, и я действительно вижу, как применяются мои ограничения программного обеспечения. Подстановочные знаки пути не используются. Я тестирую приложение, которое находится по адресу "C: \ Program Files \ Application \ executetable.exe", а исполняемый файл приложения не находится ни в каком пути или хэш-правиле. Если пользователь запускает исполняемый файл основного приложения прямо из папки приложения, применяются ограничения программного обеспечения. Если я дам пользователю ярлык, указывающий на исполняемый файл приложения в папке «C: \ Program Files \ Application \ executetable.exe», он сможет запустить программу.

РЕДАКТИРОВАТЬ

Кроме того, файлы LNK перечислены в назначенных типах файлов, поэтому они должны рассматриваться как исполняемые, что должно означать, что они связаны одинаковыми настройками и правилами Software Restrictions.

Так что я наконец нашел ответ. В наших правилах ограниченного использования программ есть правило пути как таковое:

% HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ ProgramFilesDir%

Это позволяет любому исполняемому файлу внутри каталога Program Files и его дочерних каталогов запускаться без ограничений. Этот путь добавляется по умолчанию при настройке ограничений программного обеспечения. Удаление этого правила пути приводит к запрету всех программ, даже если их исполняемый файл явно добавлен как неограниченный путь.

Возникает вопрос: если 99% всех программ установлены в каталоге Program Files, но я хочу ограничить некоторые программы, как я могу добиться этого с помощью Software Restrictions?

Не менее важным является вопрос: что хорошего в ограничениях программного обеспечения, кроме тех программ или исполняемых файлов, которые не находятся в программных файлах?

Я бы проверил ACL на ярлыке, который вы создали для пользователей. В соответствии с рекомендациями политик ограниченного использования программ: политика безопасности; Службы безопасности ,

Пользователи могут попытаться обойти политики ограниченного использования программ, переименовывая или перемещая запрещенные файлы или перезаписывая неограниченные файлы. В результате рекомендуется использовать списки контроля доступа (ACL), чтобы запретить пользователям доступ, необходимый для выполнения этих задач.

Вы можете попытаться удалить LNK как указанный тип файла. Даже если они рассматриваются как исполняемые файлы, они не должны быть. Таким образом, программные ограничения должны применяться к исполняемому файлу, на который нацелен файл LNK, а не сам файл LNK.

Я испытал то, о чем ты говоришь - это очень раздражает. Я уверен, что по умолчанию вашим пользователям разрешено запускать приложения, установленные в Program Files.

Вы пытались таким образом ограничить доступ к приложениям с разрешениями NTFS и белым списком?

Тогда пользователи могут иметь ярлыки к тому, что они хотят, и это не поможет им, так как они не смогут получить доступ к программе.

Ссылка: http://www.virtualizationadmin.com/articles-tutorials/terminal-services/security/locking-down-windows-terminal-services.html