最近のランサムウェアのアウトブレイク(Cryptolocker/Cryptowall/etc。)によって生成されたワークロードのため、最近、一時ディレクトリからのプログラム実行をブロックするソフトウェア制限ポリシーの実装を任されました。これは通常十分に機能しますが、ソフトウェアをインストールする必要がある場合、これらのソフトウェア制限ポリシーによってインストーラーがマシンの一時ディレクトリにアクセスできないという問題があります。
Active Directory階層は基本的に物理サイトのラインに沿って編成されており、ADオブジェクトはドメインルートとその特定のサイトOUからそれぞれ約数十のGPOを継承します。そのため、ドメインルートからブロックされたポリシーOUを作成するオプションはありません(サイト固有のグループポリシー設定を継承しないと、マシンに大きな問題が発生し、リモートユーザーはそれらを解決するのに十分なスキルがありません) )、または子OUに近いグループポリシーオブジェクトを再リンクする(これには数百のリンク解除および再リンク操作が含まれるため、私は望んでいません)、または継承をブロックして子OUを作成します(私が持っているため)その場合に実行する数百のリンク操作)。
とはいえ、ソフトウェア制限ポリシーの適用を一時的に停止する方法が必要ですGPO時々ソフトウェアをインストールできるようにします。私は最初に子OUを作成してこれを解決しようとしました各サイトで、逆ソフトウェア制限ポリシーをリンクし、逆ポリシーの優先順位が高い方が継承されたポリシーを上書きすると考えていましたが、まったく機能しませんでした。RSOPは、コンピュータが無料で使用されていることを示しましたdisallow
そしてunrestricted
ルール、そしてdisallow
ルールがそのシナリオで勝つ。
したがって、これらすべてを念頭に置いて(すべてのGPOを再リンクすることはできず、単純な継承ブロックOUを作成することはできません。また、GPO優先順位が高くても問題が解決しないようです) 、継承されたソフトウェア制限GPOのアプリケーションを[一時的に]ブロックするにはどうすればよいですか?サーバー2008 R2 FLドメイン/フォレスト上のWindows 7クライアントを想定しています。
指定されたマシンをActive Directoryセキュリティグループに追加し、グループをGPOに「ポリシーの適用」の「拒否」と共に追加します(停止するため、完全な拒否を実行しても失敗しません。 GPO名前が列挙されないため、トラブルシューティングが困難になります)次に、必要に応じてマシンをそのグループに追加します。
ソフトウェア制限ポリシーの適用で「ローカル管理者以外のすべてのユーザーに適用する」設定を使用するだけです...すべてのユーザーを次のように実行することはできませんしない管理者... あなたは???
別の方法として、GPOのユーザー構成部分でソフトウェア制限ポリシーを定義し、セキュリティフィルターを使用して、GPOがユーザーの特定のセキュリティグループにのみ適用されるようにすることができます。