Windows 2003 GPO 소프트웨어 제한

9

Windows 2003 도메인에서 터미널 서버 팜을 실행하고 있으며 TS 서버에 적용되는 소프트웨어 제한 GPO 설정에 문제가 있습니다. 구성 및 문제에 대한 자세한 내용은 다음과 같습니다.

모든 서버 (도메인 컨트롤러 및 터미널 서버)는 Windows Server 2003 SP2를 실행하고 있으며 도메인과 포리스트는 모두 Windows 2003 수준입니다. TS 서버는 특정 GPO가 연결되어 있고 상속이 차단 된 OU에 있으므로 TS 특정 GPO 만이 TS 서버에 적용됩니다. 우리의 사용자는 모두 원격이며 도메인에 워크 스테이션이 연결되어 있지 않으므로 루프백 정책 처리를 사용하지 않습니다. 우리는 사용자가 응용 프로그램을 실행할 수 있도록 "허용 목록"방식을 사용하므로 경로 또는 해시 규칙으로 승인하고 추가 한 응용 프로그램 만 실행할 수 있습니다. 소프트웨어 제한의 보안 수준이 허용 안 함으로 설정되어 있으며 적용이 "라이브러리를 제외한 모든 소프트웨어 파일"로 설정되어 있습니다.

내가 찾은 것은 사용자에게 응용 프로그램 바로 가기를 제공하면 "허용 된"응용 프로그램의 추가 규칙 목록에없는 경우에도 응용 프로그램을 시작할 수 있다는 것입니다. 사용자에게 응용 프로그램의 기본 실행 파일 복사본을 제공하고 실행하려고하면 "이 프로그램이 제한되었습니다 ..."라는 메시지가 표시됩니다. 사용자가 주 실행 파일 자체에서 응용 프로그램을 시작하는 대신 바로 가기를 사용하여 응용 프로그램을 시작하는 경우를 제외하고는 소프트웨어 제한이 실제로 작동하는 것으로 보입니다.

내 질문은 : 다른 사람이이 행동을 본 적이 있습니까? 다른 사람이이 동작을 재현 할 수 있습니까? 소프트웨어 제한 사항에 대한 이해가 부족합니까? 소프트웨어 제한에서 잘못 구성되었을 가능성이 있습니까?

편집하다

문제를 조금 명확히하려면 :

더 높은 수준의 GPO는 시행되지 않습니다. gpresults를 실행하면 실제로 TS 수준 GPO 만 적용되고 실제로 내 소프트웨어 Restictions가 적용되는 것을 볼 수 있습니다. 사용중인 경로 와일드 카드가 없습니다. "C : \ Program Files \ Application \ executable.exe"에있는 응용 프로그램으로 테스트 중이며 응용 프로그램 실행 파일이 경로 나 해시 규칙에 없습니다. 사용자가 응용 프로그램의 폴더에서 직접 기본 응용 프로그램 실행 파일을 시작하면 소프트웨어 제한이 적용됩니다. "C : \ Program Files \ Application \ executable.exe"에서 응용 프로그램 실행 파일을 가리키는 바로 가기를 사용자에게 제공하면 프로그램을 시작할 수 있습니다.

편집하다

또한 LNK 파일은 지정된 파일 형식에 나열되므로 실행 파일로 취급되어야합니다. 이는 동일한 소프트웨어 제한 설정 및 규칙에 의해 구속됨을 의미합니다.

windows  windows-server-2003  group-policy 
joeqwerty
소스
상위 수준의 OU 또는 적용되는 도메인 수준의 GPO가 있습니까? 또한 와일드 카드가 있거나 바로 가기가있는 경로에서 실행을 허용 할 수있는 경로도 확인합니다.
Chris S
@Chris S : 나의 편집을보십시오.
joeqwerty
"gpresult / z / user dom \ user"를 수행하고 결과를주의 깊게 보셨습니까?
tony roth
예. 원인에 대한 통찰력을 제공하는 것이 없습니다. 제안 해 주셔서 감사합니다.
joeqwerty
@ joeqwerty, joeqwerty은 무슨 뜻인가요?
Pacerier

답변:

5

그래서 마침내 답을 찾았습니다. 소프트웨어 제한 규칙에는 다음과 같은 경로 규칙이 있습니다.

% HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ ProgramFilesDir %

이를 통해 Program Files 디렉토리 내부의 모든 실행 파일과 하위 디렉토리가 방해받지 않고 실행될 수 있습니다. 이 경로는 소프트웨어 제한을 구성 할 때 기본적으로 추가됩니다. 이 경로 규칙을 제거하면 실행 파일이 무제한 경로로 명시 적으로 추가 되더라도 모든 프로그래밍 된 프로그램이 거부됩니다.

질문은 다음과 같습니다. 모든 프로그램의 99 %가 Program Files 디렉토리에 설치되었지만 특정 프로그램을 제한하려는 경우 소프트웨어 제한을 사용하여이를 달성 할 수 있습니까?

프로그램 파일에없는 프로그램이나 실행 파일을 제외하고는 소프트웨어 제한이 정확히 무엇입니까?

joeqwerty
소스
0

사용자를 위해 작성한 바로 ​​가기에서 ACL을 확인합니다. 당으로 소프트웨어 제한 정책 모범 사례 : 보안 정책; 보안 서비스 ,

사용자는 허용되지 않는 파일의 이름을 바꾸거나 이동하거나 무제한 파일을 덮어 써서 소프트웨어 제한 정책을 우회하려고 할 수 있습니다. 따라서 ACL (액세스 제어 목록)을 사용하여 이러한 작업을 수행하는 데 필요한 액세스를 사용자에게 거부하는 것이 좋습니다.

비벡 쿰 바르
소스
사용자는 작업을 수행 할 수있는 권한이 없으므로 이것이 적용되지 않는다고 생각합니다. 감사.
joeqwerty
0

지정된 파일 형식으로 LNK를 제거하려고 할 수 있습니다. 그것들은 실행 파일로 취급되고 있지만 그렇게해서는 안됩니다. 이렇게하면 LNK 파일 자체가 아니라 LNK 파일이 대상으로하는 실행 파일에 소프트웨어 제한이 적용되어야합니다.

아이스 메이지
소스
흠 ... 나는 그것을 시도하지 않았다. 소용돌이를 내고 작동하는지 알려 드리겠습니다.
joeqwerty
0

나는 당신이 말하는 것을 경험했습니다-그것은 매우 성가시다. 기본적으로 사용자는 프로그램 파일에 설치된 앱을 실행할 수 있습니다.

NTFS 권한 및 화이트리스트를 사용하여 애플리케이션에 대한 액세스를 제한하려고 시도 했습니까?

그러면 사용자는 원하는 바로 가기를 가질 수 있으며 프로그램에 액세스 할 수 없으므로 도움이되지 않습니다.

참조 : http://www.virtualizationadmin.com/articles-tutorials/terminal-services/security/locking-down-windows-terminal-services.html

fsckin
소스
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.