Autor Tópico: [Tutorial] Como bloquear executáveis através de GPO  (Lida 544 vezes)

0 Membros e 1 Visitante estão a ver este tópico.

puto 22

  • Visitante
[Tutorial] Como bloquear executáveis através de GPO
« em: 17 de Dezembro de 2015, 15:40 »
Como bloquear executáveis através de GPO :windows:

:sinopse:

Neste artigo vamos demonstrar como bloquear executáveis através de GPO em seu ambiente. Isso permite, por exemplo, bloquear aplicações e programas específicos para que os usuários sejam impedidos de usá-los.

Por questões de padronização e segurança, esta prática pode fazer sentido e ser muito útil mantendo as configurações originais do Desktop. Utilizamos o Windows Server 2012 e o Windows 8 para compor este exemplo.

Solução: nós criamos uma GPO (ou diretiva de segurança) e vinculamos ao domínio. Dependendo do escopo você pode ser menos abrangente e vincular a GPO somente a uma Unidade Organizacional.

Observamos abaixo que ela será aplicada ao grupo Authenticated Users (Usuários Autenticados), conforme destacado em verde na imagem:

Clique com o botão direito do mouse sob a GPO e selecione Edit:

Navegue até User Configuration > Policies > Administrative Templates > System e dê um duplo-clique em Don´t run specified Windows applications:

Habilite clicando em Enable, e posteriormente clique no botão Show. A tela Show Contents será exibida. Agora basta você completar a lista de executáveis indesejáveis ali:

Após confirmar as configurações clicando em OK nas telas Show Contents e Don´t run specified Windows applications, feche o Group Policy Management Editor e garanta que a estação da trabalho esteja com as GPOs atualizadas.

Para isso execute no prompt de comando GPUPDATE /FORCE.

Agora ao tentar executar algum executável de nossa lista de softwares indesejados, o usuário será impedido:

Conclusão:
Utilize as configurações de bloqueio de executáveis (trabalhando com as GPOs) para criar uma lista de EXEs indesejáveis. Você estará preservando as configurações dos Desktops e diminuirá incidentes relacionados a este softwares elevando a segurança de seu ambiente.



:screenshots:

Clicar aqui para ver conteúdo escondido (Passar cursor para mostrar conteúdo)


:notasdicas:

Créditos: baboo


:apontar:
Agradecer e comentar nao custa nada e ajuda a motivar

darkvengeance

  • Reformado Juvenil
  • *
  • Agradecimentos
  • -Dados: 6636
  • -Recebidos: 1
  • Mensagens: 14
  • Sexo: Masculino
Re: [Tutorial] Como bloquear executáveis através de GPO
« Responder #1 em: 31 de Dezembro de 2015, 11:43 »
Utilizar o metodo de blacklist de executaveis para seguranca é algo que dá imenso trabalho e cujos resultados são altamente faliveis, e que normalmente leva a um falso sentido de segurança. Este método de "aumentar" segurança está provado à decadas que não é eficaz - basta pensar nas típicas firewall - é como imaginares uma firewall onde crias uma série de regras de bloqueio de tráfego, mas que no final não tem uma regra de negar todo o tráfego.
Recomendo vivamente a que se utilize o método de whitelist, algo que pode ser conseguido com GPO também ou alternativamente com software que se pode adquirir e que já traz listas de whitelist (embora uteis para o cenario de utilização pessoal, mas não recomendáveis para cenários empresariais).

p.s.: colocar informação de que apoia ou pertence a grupos da anonymous na assinatura não é a melhor ideia do planeta...

puto 22

  • Visitante
Re: [Tutorial] Como bloquear executáveis através de GPO
« Responder #2 em: 31 de Dezembro de 2015, 13:46 »
Utilizar o metodo de blacklist de executaveis para seguranca é algo que dá imenso trabalho e cujos resultados são altamente faliveis, e que normalmente leva a um falso sentido de segurança. Este método de "aumentar" segurança está provado à decadas que não é eficaz - basta pensar nas típicas firewall - é como imaginares uma firewall onde crias uma série de regras de bloqueio de tráfego, mas que no final não tem uma regra de negar todo o tráfego.
Recomendo vivamente a que se utilize o método de whitelist, algo que pode ser conseguido com GPO também ou alternativamente com software que se pode adquirir e que já traz listas de whitelist (embora uteis para o cenario de utilização pessoal, mas não recomendáveis para cenários empresariais).

p.s.: colocar informação de que apoia ou pertence a grupos da anonymous na assinatura não é a melhor ideia do planeta...

Boas amigo

olha eu nao pertenco a grupo nenhum .