La casa della brugola informatica


il mondo che vorresti...o forse no...
Archivio Posts
Anno 2009

Anno 2008

Anno 2007

Anno 2006

Software Restriction Policies: How To...

A volte creare delle policy e impostare gli utenti come user, non è una cosa che impedisce loro di bypassare le regole da voi create.

Dopo aver disinstallato i giochi da Windows XP, facendo un giro tra i client vi accorgete che, in una cartella imboscata ci sono proprio gli stessi giochi che avete cancellato tanto tempo fa. Il perchè è semplice: i giochi di windows sono facilmente "trasportabili", infatti basta copiare il file exe da un computer all'altro ed il gioco sarà utilizzabile.

Quindi? Quindi per evitare questo, si possono utilizzare le GPO....o per meglio dire una Software Restriction Policies (o come la chiamo io, una regola di hash )

In cosa consiste? Questa regola serve per confrontare un file che deve essere bloccato con un file sorgente (o di verifica)

Andiamo a vedere come realizzare una regola che impedisca agli utenti di eseguire i giochi di Windows XP....

Strumenti:

- Windows Server 2003 R2
- GPMC

Procedimento:
 
per prima cosa, prendiamo gli exe dei giochi di windows xp. possiamo prenderli da un client qualunque. questi file li copiamo in una cartella di rete con accesso limitato solo agli amministratori di dominio

Creazione regola:
 
Apriamo GPMC - figura 1 - e creaiamo una nuova regola all'interno di una OU contenente i computer dell'azienda che chiameremo Software Restrictions.


figura 1 - Group Policy Management Console

Fatto questo clicchiamo il tasto destro su Software Restrictions Policies, e scegliamo New Software Restriction Policies nel menù contestuale - figura 2; verranno creati un serie di oggetti - figura 3.


figura 2


figura 3 - come creare una regola di Hash

A questo punto andiamo sulla categoria Additional Rules e scegliamo New Hash Rule, verrà visualizzata la finestra di configurazione - figura 4.


figura 4 - Regola di Hash

Premendo su Browse si aprirà la finestra per selezionare quale file andare a bloccare - figura 5


figura 5 - selezioniamo che file andare a bloccare

Selezioniamo il file che ci interessa e premiamo su OK, come potete notare dalla figura 6, il file viene analizzato e "scomposto"; la stringa relativa al hash, serve per fare il confronto con tutti i file aperti dai computer interessati dalla policy, appena viene trovato il file con lo stesso hash della policy, scatta il blocco all'esecuzione.


figura 6 - analisi del file ed eventuale vostro commento

Premendo su OK, viene creato il blocco per il file.
Si possono aggiungere altri file alla lista, sempre uno alla volta però.

Chiudiamo la finestra della policy e testiamo che la regola sia stata creata correttamente.
Andiamo su un client XP e lanciamo un gpupdate /force, attendiamo un paio di secondi e proviamo a lanciare il file che abbiamo bloccato via GPO.

Se avete fatto tutto correttamente, dovrebbe apparire il messaggio di errore - come da figura 7



Fatto!

Questo un modo per impedire di utilizzare file indesiderati, ci sono modi per bloccare l'esecuzione di intere cartelle o di estensioni di file....ma magari lo vedremo la prossima volta.

NB: gli utenti non devono essere admin della macchina, anche se la policy è a livello computer è sempre meglio evitare di dare troppi "poteri" agli utenti.

Ciao ciao
S
Categoria: Windows Server
venerdì, 26 mag 2006 Ore. 13.49








Ora e Data
Statistiche
  • Views Home Page: 346.180
  • Views Posts: 818.037
  • Views Gallerie: 41.942
  • n° Posts: 334
  • n° Commenti: 283
Mappa
Copyright © 2002-2007 - Blogs 2.0
dotNetHell.it | Home Page Blogs
ASP.NET 2.0 Windows 2003