none
Bloqueio Skype Via GPO não funciona

    Pergunta

  • Pessoal,

     

    Fiz o bloqueio por gop de alguns programas como msn, powerpoint, windows media player e skype.

     

    Tudo funciona mas tem alguns usuários teimosos que conseguem ainda se conectar no skype então fiquei um bom tempo com acesso na maquina remota deles para ver como fazem.

     

    Notei que eles acessam pelo instalável do skype que fica na pasta TEMP com noems SetupSkype.exe e SetupSkypeFull.exe eles clicam no instalável e le abre.

     

    Decidi bloquear o instalável também mas não funcionou quando eles entram por lá ainda conseguem.Como faço para bloquear geral para esses usuários? se eles forem pelo menu programas->skype dá bloqueio pelo gpo mas se forem pela pasta TEMP conseguem acessar.

    OBS.:Fiz o bloqueio pelo não executar os seguintes programas em system na GPO.


    Fernando Galvão
    quarta-feira, 26 de janeiro de 2011 20:26

Respostas

  • Olá

    Usando uma regra de bloqueio por hash  seria o mais fácil de fazer. Vê esse link que lhe mostra bloquear o ULTRASURF usando regras de hash

    http://tekniblog.wordpress.com/active-directory/gpos/bloquear-ultrasurf-usando-uma-gpo

    ou voce pode criar uma regra branca onde voce bloqueia todos os programas exceto programa X, Y e Z. Esse jeito é o mais difícil e requer que voce sabe todos os programas que são necessários.

     

    Abraço, Nassim


    Relação de Ajuda: Transitive e 2-way, A ajuda B ajuda C, então A ajudou C e C "deve" ajudar A.
    quinta-feira, 27 de janeiro de 2011 21:07
  • Eu sempre fica pelo caminho:

     

    OU->gpo criada->Configurações do usuário->Modelos administrativos->Sistema->Não executar os aplicativos do windows especificiado.

     

    Uma dúvida na regra de hash:

     

    1)na hora de indicar o caminho, tenho que indicar um caminho no server ok?então ele tem que ter todos aplicativos que quero bloquear? você tem que indicar o executável daquele aplicativo indenpendente de onde o mesmo esteja.

    você pode instalar o skype em um servidor ir na pasta de instalação copiar o executavél para outro local e desinstalar o aplicativo, o mesmo não precisa permanecer instalado.

    2)Dependendo da primeira resposta, para poder indicar o caminho de cada máquina, tenho que fazer a gpo em cada uma? porque ai não tenho como fazer o bloqueio para um certo grupo de usuário que está na OU. Não , você irá criar uma GPO para todo dominio ou para um grupo de estações ou usuários em OU's.

    3)O skype não mostra uma execuável tipo skype.exe ele mostra o caminho da pasta.

    claro que mostra um executável.

    4)Se eu for mostrar o caminho de um executável na rede por exemplo:

     

    máquina1: c:\....\Fernando\Arquivos de Programas\pasta do programa\programa.exe

    e na máquina2: c:\....maria\Arquivos de Programas\pasta do programa\programa.exe

     

    tenho que colocar o caminho de cada usuário? e se o mesmo programa estiver em caminhos diferentes para mais de um usuário da GPO tem que ir e colocar cada um?

    Por hash não precisa de caminho, basta indicar o executável daquele aplicativo

    que pode esta em qualquer lugar.

     

    Pergunto tudo isso pois a GPO que tenho hoje para uma OU e postado o caminho no início desse post, coloco somente o nome dos executáveis e independe de onde eles estejam, seja rede, seja local....ele bloqueia o problema está só com skype.

     

     

    5(e se eu tiver 1000 máquinas da rede, só preciso bloquear o executável colocando o caminho de uma que todos da OU receberão a permissão de blloqueio mesmo usando máquinas diferentes?e se essa máquina que eu indiquei o caminho estiver desligada, as gpos irão ser aplicadas na OU do mesmo jeito se o usuário dessa OU onde estiver a GPO tentar acessar o aplicativo indicado no caminho dessa máquina que está desligada?

     

     


    Fernando Galvão
    Missão dada é missão cumprida.
    terça-feira, 1 de fevereiro de 2011 23:08
    Moderador

Todas as Respostas

  • Voce efetuou bloqueio por caminho ou por hash ?

     

    Uploaded with ImageShack.us
    Missão dada é missão cumprida.
    quarta-feira, 26 de janeiro de 2011 20:50
    Moderador
  • Olá

    Usando uma regra de bloqueio por hash  seria o mais fácil de fazer. Vê esse link que lhe mostra bloquear o ULTRASURF usando regras de hash

    http://tekniblog.wordpress.com/active-directory/gpos/bloquear-ultrasurf-usando-uma-gpo

    ou voce pode criar uma regra branca onde voce bloqueia todos os programas exceto programa X, Y e Z. Esse jeito é o mais difícil e requer que voce sabe todos os programas que são necessários.

     

    Abraço, Nassim


    Relação de Ajuda: Transitive e 2-way, A ajuda B ajuda C, então A ajudou C e C "deve" ajudar A.
    quinta-feira, 27 de janeiro de 2011 21:07
  • Amigos, boa tarde.

     

    O Felipe levantou uma bola interessante, eu era Adm de redes em um callcenter...coisa de 4mil maquinas...imagina..

     

    Ai descobri que os caras conseguiam abrir sol.exe.msn entre outro...fui direto no hash dos programas...nunca mais...
    Outra opçao, pode ser por script, manda desisntalar na gpo de maquina, na inicialização.

     

    Caso precise de um help posta ai...estamos para ajudar.

     

    Abs

     

     

    Se foi util,vote.

    quinta-feira, 27 de janeiro de 2011 21:36
  • Eu sempre fica pelo caminho:

     

    OU->gpo criada->Configurações do usuário->Modelos administrativos->Sistema->Não executar os aplicativos do windows especificiado.

     

    Uma dúvida na regra de hash:

     

    1)na hora de indicar o caminho, tenho que indicar um caminho no server ok?então ele tem que ter todos aplicativos que quero bloquear?

    2)Dependendo da primeira resposta, para poder indicar o caminho de cada máquina, tenho que fazer a gpo em cada uma? porque ai não tenho como fazer o bloqueio para um certo grupo de usuário que está na OU.

    3)O skype não mostra uma execuável tipo skype.exe ele mostra o caminho da pasta.

    4)Se eu for mostrar o caminho de um executável na rede por exemplo:

     

    máquina1: c:\....\Fernando\Arquivos de Programas\pasta do programa\programa.exe

    e na máquina2: c:\....maria\Arquivos de Programas\pasta do programa\programa.exe

     

    tenho que colocar o caminho de cada usuário? e se o mesmo programa estiver em caminhos diferentes para mais de um usuário da GPO tem que ir e colocar cada um?

     

    Pergunto tudo isso pois a GPO que tenho hoje para uma OU e postado o caminho no início desse post, coloco somente o nome dos executáveis e independe de onde eles estejam, seja rede, seja local....ele bloqueia o problema está só com skype.

     

     

    5(e se eu tiver 1000 máquinas da rede, só preciso bloquear o executável colocando o caminho de uma que todos da OU receberão a permissão de blloqueio mesmo usando máquinas diferentes?e se essa máquina que eu indiquei o caminho estiver desligada, as gpos irão ser aplicadas na OU do mesmo jeito se o usuário dessa OU onde estiver a GPO tentar acessar o aplicativo indicado no caminho dessa máquina que está desligada?

     

     


    Fernando Galvão
    sexta-feira, 28 de janeiro de 2011 21:50
  • Eu sempre fica pelo caminho:

     

    OU->gpo criada->Configurações do usuário->Modelos administrativos->Sistema->Não executar os aplicativos do windows especificiado.

     

    Uma dúvida na regra de hash:

     

    1)na hora de indicar o caminho, tenho que indicar um caminho no server ok?então ele tem que ter todos aplicativos que quero bloquear? você tem que indicar o executável daquele aplicativo indenpendente de onde o mesmo esteja.

    você pode instalar o skype em um servidor ir na pasta de instalação copiar o executavél para outro local e desinstalar o aplicativo, o mesmo não precisa permanecer instalado.

    2)Dependendo da primeira resposta, para poder indicar o caminho de cada máquina, tenho que fazer a gpo em cada uma? porque ai não tenho como fazer o bloqueio para um certo grupo de usuário que está na OU. Não , você irá criar uma GPO para todo dominio ou para um grupo de estações ou usuários em OU's.

    3)O skype não mostra uma execuável tipo skype.exe ele mostra o caminho da pasta.

    claro que mostra um executável.

    4)Se eu for mostrar o caminho de um executável na rede por exemplo:

     

    máquina1: c:\....\Fernando\Arquivos de Programas\pasta do programa\programa.exe

    e na máquina2: c:\....maria\Arquivos de Programas\pasta do programa\programa.exe

     

    tenho que colocar o caminho de cada usuário? e se o mesmo programa estiver em caminhos diferentes para mais de um usuário da GPO tem que ir e colocar cada um?

    Por hash não precisa de caminho, basta indicar o executável daquele aplicativo

    que pode esta em qualquer lugar.

     

    Pergunto tudo isso pois a GPO que tenho hoje para uma OU e postado o caminho no início desse post, coloco somente o nome dos executáveis e independe de onde eles estejam, seja rede, seja local....ele bloqueia o problema está só com skype.

     

     

    5(e se eu tiver 1000 máquinas da rede, só preciso bloquear o executável colocando o caminho de uma que todos da OU receberão a permissão de blloqueio mesmo usando máquinas diferentes?e se essa máquina que eu indiquei o caminho estiver desligada, as gpos irão ser aplicadas na OU do mesmo jeito se o usuário dessa OU onde estiver a GPO tentar acessar o aplicativo indicado no caminho dessa máquina que está desligada?

     

     


    Fernando Galvão


    Missão dada é missão cumprida.
    • Sugerido como Resposta Fernando Macedo terça-feira, 12 de março de 2013 20:00
    segunda-feira, 31 de janeiro de 2011 12:15
    Moderador
  • Felipe, não veio resposta no post...somente o que citei.
    Fernando Galvão
    segunda-feira, 31 de janeiro de 2011 14:55
  • A resposta esta em negrito dentro da citação.
    Missão dada é missão cumprida.
    terça-feira, 1 de fevereiro de 2011 19:54
    Moderador
  • Eu sempre fica pelo caminho:

     

    OU->gpo criada->Configurações do usuário->Modelos administrativos->Sistema->Não executar os aplicativos do windows especificiado.

     

    Uma dúvida na regra de hash:

     

    1)na hora de indicar o caminho, tenho que indicar um caminho no server ok?então ele tem que ter todos aplicativos que quero bloquear? você tem que indicar o executável daquele aplicativo indenpendente de onde o mesmo esteja.

    você pode instalar o skype em um servidor ir na pasta de instalação copiar o executavél para outro local e desinstalar o aplicativo, o mesmo não precisa permanecer instalado.

    2)Dependendo da primeira resposta, para poder indicar o caminho de cada máquina, tenho que fazer a gpo em cada uma? porque ai não tenho como fazer o bloqueio para um certo grupo de usuário que está na OU. Não , você irá criar uma GPO para todo dominio ou para um grupo de estações ou usuários em OU's.

    3)O skype não mostra uma execuável tipo skype.exe ele mostra o caminho da pasta.

    claro que mostra um executável.

    4)Se eu for mostrar o caminho de um executável na rede por exemplo:

     

    máquina1: c:\....\Fernando\Arquivos de Programas\pasta do programa\programa.exe

    e na máquina2: c:\....maria\Arquivos de Programas\pasta do programa\programa.exe

     

    tenho que colocar o caminho de cada usuário? e se o mesmo programa estiver em caminhos diferentes para mais de um usuário da GPO tem que ir e colocar cada um?

    Por hash não precisa de caminho, basta indicar o executável daquele aplicativo

    que pode esta em qualquer lugar.

     

    Pergunto tudo isso pois a GPO que tenho hoje para uma OU e postado o caminho no início desse post, coloco somente o nome dos executáveis e independe de onde eles estejam, seja rede, seja local....ele bloqueia o problema está só com skype.

     

     

    5(e se eu tiver 1000 máquinas da rede, só preciso bloquear o executável colocando o caminho de uma que todos da OU receberão a permissão de blloqueio mesmo usando máquinas diferentes?e se essa máquina que eu indiquei o caminho estiver desligada, as gpos irão ser aplicadas na OU do mesmo jeito se o usuário dessa OU onde estiver a GPO tentar acessar o aplicativo indicado no caminho dessa máquina que está desligada?

     

     


    Fernando Galvão
    Missão dada é missão cumprida.
    terça-feira, 1 de fevereiro de 2011 23:08
    Moderador
  • Blz..vou testar aqui..uma coisa que descobri foi a seguinte..na gpo antiga que já tenho consigo bloquear tudo da forma que sempre fiz mas o problema está na GPO nova que criei.

     

    Criei uma nova OU e joguei os usuários dentro dela.Fiz a GPO em cima dessa OU bloqueando somente o skype depois testei com outros programas e notei que nessa nova gpo nada está sendo barrado...nenhum aplicativo.

     

    Já dei o gpupdate /force e nada.

     

    Testei a regra de hash na gpo antiga na OU antiga e funciona, já na GPO nova, também não funciona nada.


    Fernando Galvão
    quarta-feira, 9 de fevereiro de 2011 11:40
  • Repassa o desing dessas OUs e GPOs..

     


    Missão dada é missão cumprida.
    quarta-feira, 9 de fevereiro de 2011 12:50
    Moderador