Hvordan nekte brukere å kjøre .exe filer?

[FlameR2k]

Hei!

Sitter her på en sen lørdagskveld og førebuer meg til fagprøven førstkommande måndag og har nokre problem..

 

Eg har satt opp eit nettverk der brukarane skal ha minst mogleg tilgang, brukarane kan ikkje gjere ein drit egentlig bortsett fra å bruke office, surfe nett og lagre på nettverksområde.

 

Problemet mit er at eg vil at brukarane ikkje skal få lov til å installere noko som helst... lurte på om det går å sette i policy?

 

takker for alle tips!

[tyldum]

Her bør du lese oppgaven nøøøøøøye!

Dreier det seg om å nekte tilgang til å installere, eller til å kjøre filer? Det er to forskjellige ting.

Forstnevnte oppnår man som regel ved å ikke la brukerne være lokal administrator. Sistnevnte kan gjøres via Group Policy hvor du kun tillater kjøring spesifikke .exe, noe som er i overkant strengt og vil kreve mye arbeid for å tune fornuftig.

[FlameR2k]

brukeren har ikke lokal adm rettigheter, brukeren har ikkje lokal disker heller, men får installere exe filer osb på privat område... det er dette eg vil forhindre.

Eg vil sette opp eit system kor brukaren bare kan gjere det den må.. blir på ein måte ein terminal server.. programma som brukaren treng, lagring på server og tilgang til nett. thats it!

 

Dette pga minst mulig drifting!

 

Kor finn kan eg denne settingen under policy som eg nekter brukar å kjøre til dømes .exe ?

[arnizzz]

brukeren har ikke lokal adm rettigheter, brukeren har ikkje lokal disker heller, men får installere exe filer osb på privat område... det er dette eg vil forhindre.

Eg vil sette opp eit system kor brukaren bare kan gjere det den må.. blir på ein måte ein terminal server.. programma som brukaren treng, lagring på server og tilgang til nett. thats it!

 

Dette pga minst mulig drifting!

 

Kor finn kan eg denne settingen under policy som eg nekter brukar å kjøre til dømes .exe ?

9211583[/snapback]

 

Don't run specified Windows applications

Setting Path:

User Configuration/Administrative Templates/System

 

Vær oppmerksom på at det er nok å endre navn på .exe filen for å kjøre programmet. Man kan lage MD5 hash av .exe filen for å unngå den problematikken tror jeg, men er litt usikker på hvordan dette gjøres. Google litt på det så finner du nok ut av det.

 

Uansett så kan du fjerne alt av Run, Control Panel, Disker, Task Manager etc. og kun la de programmene som skal brukes ligge i start linja og på desktop til brukerene.

 

 

edit:

 

Run Only allowed windows applications er nok bedre policy for deg.

Endret 6. august 2007 av arnizzz

[roac]

Threats and Countermeasures

 

Les og lær, det er policy-bibelen. Å nekte en bruker å kjøre annet enn det han har lov til er en komplisert affære, som inbefatter streng sikring av filsystemet.

 

Jeg er tilbøyelig til å være enig med Tyldum i at dette vanligvis er for strengt, men det finnes gode grunner til å innføre slike retningslinjer, og det gjør driften vanvittig mye enklere når løsningen er på plass.

 

Forøvrig fant jeg denne artikkelen interessant

[MiniX]

Satte opp en maskin i en bar for et halvt år siden og brukte et verktøy fra ms. Det ser ut som at de har oppgradert det en del (og byttet navn), men du finner det på denne siden. Da kan du sette at brukerene ikke skal kunne kjøre noe som ikke ligger i programmfiler katalogen, at alle endringer skal slettes når de logger ut +++. Har spart meg for utrolig mye jobb ettersom vi har 60 forskjellige bartendere som er inne og knoter boksen.

 

 

edit:kverka leif

edit 2: Kom kansje litt sent ettersom du vel har hatt prøven nå, men litt ekstra info kan vel ikke skade

Endret 7. august 2007 av MiniX

[FlameR2k]

Hei, takk for tilbakemeldinger!

Ikke for seint enda. Driv på denne veka, skal framføres/innlevere fredag..

 

Har faktisk komt langt, levert inn planlegging, satt opp server med AD, DNS, DHCP, filstruktur, rettigheter, programvare på tenar og klient... pluss nesten ferdig med policy. Fant ut at eg kan bruke policy til så og sei alt eg treng.

 

"Run Only allowed windows applications" var veldi fin

[roac]

"Run Only allowed windows applications" var veldi fin

9227058[/snapback]

Jepp, men merk som sagt mine ord: Kun i kombinasjon med rettigheter på filsystemet.

[FlameR2k]

"Run Only allowed windows applications" var veldi fin

9227058[/snapback]

Jepp, men merk som sagt mine ord: Kun i kombinasjon med rettigheter på filsystemet.

9228175[/snapback]

 

Ja, men brukerne mine har bare tilgang til filområde på tenar, lokaldisk er fjernet!

Det burde gå fint, blir ein jobb med å legge inn alle servicer som maskinen trenger for å fungere

[arnizzz]

at lokaldisken er fjernet er ikke det samme som at de ikke har tilgang til den.

[roac]

at lokaldisken er fjernet er ikke det samme som at de ikke har tilgang til den.

9231089[/snapback]

Exactemente Og skal man være virkelig streng, det kommer også an på hvilke ANDRE programmer som er installert. Jeg har i skrivende stund ikke noe testsystem som jeg kan prøve dette ut på. Men gitt at du har en policy som sier at c:\windows\system32\cmd.exe får du ikke kjøre, og har WinZip installert. Da kan du be winzip om å åpne c:\windows\system32\cmd.exe, og den sier deg at den ikke gjenkjenner det som et arkiv, og spør om du vil kjøre den isteden.

 

Det er lengen siden jeg har prøvd det, men såvidt jeg har fått med meg er ikke måten slike policies sjekkes på nevneverdig endret de siste årene, så jeg mistenker at det fungerer fortsatt. Om det så gjør hadde det vært fint med en bekreftelse.

 

Sikkerhet er gøy, det finnes alltid noen kreative sjeler som finner omveier

[tyldum]

Om du trenger vanntett sikkerhet lokalt på systemet mot egne brukere har du egentlig allerede tapt.

 

For folk i arbeidslivet holder det å gjøre det tilstrekkelig vanskelig for brukerne å installere egne applikasjoner slik at de ikke gjør det 'ved uhell'. Resten reguleres via reglement (gir sanksjonsmulighet).

 

Mot elever o.l. må man bare gjøre så godt man kan, men samtidig være forberedt på å måtte reinstallere (les: legge inn image pånytt, selv på TS-server).

 

Hvis man avhenger av en slik sikkerhet av *reelle* grunner har man et uhyre dårlig design

[slettet]

Halla roac! Long time, no see..

 

Til problemet..

Eg tok sjølv fagprøven på ein skule, og gjorde akkurat det som er diskutert her.

"Run Only allowed windows applications" var det optimale for min del (brukte dette og i den daglege drifta på skulen). Huks og å legge til program som er for brukaren usynleg (script, drivarar, kix, osb.).

 

Det vart ei ganske lang liste med program etter kvart, men vart kvitt problemet med at folk kopierete inn Half Life, og køyrde hl.exe frå heimemappa si. (hl.exe er mi hatfil over alle.. : p )

[FlameR2k]

hehe, mange gode svar!

 

Eg er no "ferdig" med gjennomføringsdelen vil eg påstå!

 

Systemet er ekstremt strengt! Ettersom oppgåva berre seier at brukarane skal ha open office og ie så har eg fjerna alt anna...

C: kan ein gløyma, den er satt til access deny, det same gjeld A, B og D =)

Så har eg jo satt "Run only allowed windows appl" med servicane til Antivirus Trend, Open office, IE og logonscript.. Kva meir treng ein? Ps, brukarane kan ikkje høgreklikka..

 

Alt er testa ut og eg har konkludert med at brukarane kan gjera jobben sin ut i frå oppg.

 

Skal jobba med dokumentasjon og presentasjon av resultat, backup, kva brukarrettleiingar som kan ver aktuelt og til slutt eigenevaluering.

Får håpa det imponerar!

 

 

PS: eg har ein irri feil som dukkar opp over alt i evenviewer.. det er at: "write cache enable" på C:

Denne får eg heller ikkje deaktivert!! prøve å gå inn på egenskaper på C: og deaktivera men det går faen ikkje.. Forslag? Denne er irri ettersom han seie at data kan verta corrupt..

Endret 9. august 2007 av FlameR2k

[roac]

PS: eg har ein irri feil som dukkar opp over alt i evenviewer.. det er at: "write cache enable" på C:

Denne får eg heller ikkje deaktivert!! prøve å gå inn på egenskaper på C: og deaktivera men det går faen ikkje.. Forslag? Denne er irri ettersom han seie at data kan verta corrupt.

9239313[/snapback]

Da vil jeg si at du bør kjøre en skikkelig sjekk av disken din, for slike feilmeldinger/advarsler skal normalt ikke komme, og er typisk et dårlig tegn.

[FlameR2k]

PS: eg har ein irri feil som dukkar opp over alt i evenviewer.. det er at: "write cache enable" på C:

Denne får eg heller ikkje deaktivert!! prøve å gå inn på egenskaper på C: og deaktivera men det går faen ikkje.. Forslag? Denne er irri ettersom han seie at data kan verta corrupt.

9239313[/snapback]

Da vil jeg si at du bør kjøre en skikkelig sjekk av disken din, for slike feilmeldinger/advarsler skal normalt ikke komme, og er typisk et dårlig tegn.

9240533[/snapback]

 

Les kva eg skreiv, pga at "write cache" står som enable og eg kan ikkje disable denne... står under "this device does not allow its write cache setting to be modified"

 

har lest andre som har ibm server system og at dem ikkje får den av heller, men at det vil komme ein controller driver i tredje kvartal i 2007 som fikser det..

[arnizzz]

C: kan ein gløyma, den er satt til access deny, det same gjeld A, B og D =)

 

Hvor ligger IE da? Brukerne får vel til å kjøre det. Ergo, du har ikke fjernet all tilgang til c:

 

Hidden != Deny access.

[FlameR2k]

Ved hjelp av "Run Only allowed windows applications" så har eg lagt til "iexplore.exe" "soffice.exe" "logonscript.bat" osb. er ei liste med servicer til trend officescan og diverse!

snarvegane er lagt til på skrivebordet til kvar enkelt brukar.

 

Anyway, finner ikkje ut av "cannot disable disk catch"

Endret 9. august 2007 av FlameR2k

[Grim_Fandango]

Så hvis de renamer hl.exe til soffice.exe så kan de kjøre HalfLife ?

 

Dette høres veldig upraktisk ut i det virkelige liv. Blir det ikke ei sabla lang liste med program du må enable?

 

Og hva skjer hvis MS endrer navn på exe filer etter at Windows Update har kjørt?

(kan dette være ett reelt problem, eller er det slik at de aldri endrer navn på filene sine, eller at det ikke kommer nye i updates? Skjer det kun i store updates som SP2?)

 

Kan ikke dette også kreve mye manuelt etterarbeid/oppfølging som gjør at gevinsten med redusert arbeid pga at de ikke kan installere tull gir deg mer ekstraarbeid i praksis med å holde dette vedlike?

 

Hadde vært interessant å få tilbakemelding etter noen måneder for å høre om dette fungerer med minimalt vedlikehold eller ikke.

 

PS. Hadde det ikke vært enklere å bare låse inn PC'ene slik at de ikke kommer til CD/DVD, USB, etc, og deretter passe på at de ikke har nok ledig diskområde til å lagre Half-Life på. Deretter kunne du jo enable file screening (MS Server 2003 R2) og blokkere tilgang til EXE, CMD, BAT filer fra brukerområdene. Det er jo ingen grunn til at de skal lagre exe filer her. Disse områdene er for data. Da er jo problemet løst med småprogram. Renamer de dem til *.doc, eller lignenede vil de jo ikke starte, og prøver de å lagre de som exe får de ikke lov.

Endret 9. august 2007 av Grim_Fandango

[roac]

Hadde det ikke vært enklere å bare låse inn PC'ene slik at de ikke kommer til CD/DVD, USB, etc, og deretter passe på at de ikke har nok ledig diskområde til å lagre Half-Life på. Deretter kunne du jo enable file screening (MS Server 2003 R2) og blokkere tilgang til EXE, CMD, BAT filer fra brukerområdene. Det er jo ingen grunn til at de skal lagre exe filer her. Disse områdene er for data. Da er jo problemet løst med småprogram. Renamer de dem til *.doc, eller lignenede vil de jo ikke starte, og prøver de å lagre de som exe får de ikke lov.

9245718[/snapback]

I en perfekt verden hvor ingen har behov for data fra eksterne medier går sikkert det greit, men det viser seg ofte å være problematisk å fjerne muligheten for å lese fra CD/DVD. Det fordrer at du har ressurser tilgjengelig for å foreta innlesing av slike data for brukerne, noe som etter min erfaring sjelden er tilfelle. Forsvaret er et unntak, de har jo nok vernepliktige å ta av

 

Nå vil jeg jo også si at halflife 2 er det minste problemet. For all del, det er ikke ønskelig at det blir installert, men det finnes mange "administrative verktøy" som jeg hadde vært vesentlig mer bekymret over, og de tar svært liten plass. Jeg gjentar derfor det jeg sa tidligere, software restriction policies fungerer kun sammen med god tilgangskontroll på filsystemet. Har du ikke dette, så kan du bare glemme det. Det er garantert noen som finner en omvei, og den kommer til å spre seg som ild i tørt gress. Folk er svært så ivrige etter å hjelpe andre med å få installert/brukt favorittprogrammene sine.

 

Når det gjelder filvedheng på filer, så fungerer det svært dårlig. Jeg har i hvert fall to måter å omgå den sperrene, hvorav den ene er å rename filene til .scr, og den andre er kommandoen start i kommandolinjemodus. Og jeg har vel allerede nevnt WinZip...

 

Og sånn til slutt til informasjon, det er ikke noe problem å drifte dette så snart det er satt opp, men konfigurasjon og testing koster tid og penger. I et etter norske forhold stort miljø vil jeg sågar hevde at man i lengden kan tjene på så strenge policies, da man kian redusere antallet saker på helpdesk siden brukerne ikke har tilgang til å ødelegge for seg selv.