[Tutorial] Como bloquear executáveis através de GPO

[puto 22]

Como bloquear executáveis através de GPO



Neste artigo vamos demonstrar como bloquear executáveis através de GPO em seu ambiente. Isso permite, por exemplo, bloquear aplicações e programas específicos para que os usuários sejam impedidos de usá-los.

Por questões de padronização e segurança, esta prática pode fazer sentido e ser muito útil mantendo as configurações originais do Desktop. Utilizamos o Windows Server 2012 e o Windows 8 para compor este exemplo.

Solução: nós criamos uma GPO (ou diretiva de segurança) e vinculamos ao domínio. Dependendo do escopo você pode ser menos abrangente e vincular a GPO somente a uma Unidade Organizacional.

Observamos abaixo que ela será aplicada ao grupo Authenticated Users (Usuários Autenticados), conforme destacado em verde na imagem:

Clique com o botão direito do mouse sob a GPO e selecione Edit:

Navegue até User Configuration > Policies > Administrative Templates > System e dê um duplo-clique em Don´t run specified Windows applications:

Habilite clicando em Enable, e posteriormente clique no botão Show. A tela Show Contents será exibida. Agora basta você completar a lista de executáveis indesejáveis ali:

Após confirmar as configurações clicando em OK nas telas Show Contents e Don´t run specified Windows applications, feche o Group Policy Management Editor e garanta que a estação da trabalho esteja com as GPOs atualizadas.

Para isso execute no prompt de comando GPUPDATE /FORCE.

Agora ao tentar executar algum executável de nossa lista de softwares indesejados, o usuário será impedido:

Conclusão:
Utilize as configurações de bloqueio de executáveis (trabalhando com as GPOs) para criar uma lista de EXEs indesejáveis. Você estará preservando as configurações dos Desktops e diminuirá incidentes relacionados a este softwares elevando a segurança de seu ambiente.

Clicar aqui para ver conteúdo escondido (Passar cursor para mostrar conteúdo)

Créditos: baboo

Agradecer e comentar nao custa nada e ajuda a motivar

[darkvengeance]

Utilizar o metodo de blacklist de executaveis para seguranca é algo que dá imenso trabalho e cujos resultados são altamente faliveis, e que normalmente leva a um falso sentido de segurança. Este método de "aumentar" segurança está provado à decadas que não é eficaz - basta pensar nas típicas firewall - é como imaginares uma firewall onde crias uma série de regras de bloqueio de tráfego, mas que no final não tem uma regra de negar todo o tráfego.
Recomendo vivamente a que se utilize o método de whitelist, algo que pode ser conseguido com GPO também ou alternativamente com software que se pode adquirir e que já traz listas de whitelist (embora uteis para o cenario de utilização pessoal, mas não recomendáveis para cenários empresariais).

p.s.: colocar informação de que apoia ou pertence a grupos da anonymous na assinatura não é a melhor ideia do planeta...

[puto 22]

Utilizar o metodo de blacklist de executaveis para seguranca é algo que dá imenso trabalho e cujos resultados são altamente faliveis, e que normalmente leva a um falso sentido de segurança. Este método de "aumentar" segurança está provado à decadas que não é eficaz - basta pensar nas típicas firewall - é como imaginares uma firewall onde crias uma série de regras de bloqueio de tráfego, mas que no final não tem uma regra de negar todo o tráfego.
Recomendo vivamente a que se utilize o método de whitelist, algo que pode ser conseguido com GPO também ou alternativamente com software que se pode adquirir e que já traz listas de whitelist (embora uteis para o cenario de utilização pessoal, mas não recomendáveis para cenários empresariais).

p.s.: colocar informação de que apoia ou pertence a grupos da anonymous na assinatura não é a melhor ideia do planeta...

Boas amigo

olha eu nao pertenco a grupo nenhum .