none
Conflicto política de restricción de software RRS feed

  • Pregunta

  • estimados buenas tardes, consulta.

    tengo una política de restricción de software la cual impide que se ejecute cualquier aplicativo, excepto los que dejo en lista blanca, tales como nombre del aplicativo o path de este último.

    Actualmente tengo bloqueado "no permitido" los *.msi para todos los usuarios del dominio, excepto soporte y usuarios permitidos. El tema es que hay ciertos usuarios que necesitan ejecutar con su cuenta un msi, pero por politica no se puede. Si nombro el aplicativo msi dentro de la lista blanca y la pongo como "ilimitado" sigue sin poder ejecutarse, revise y actualmente tengo 2 configuracion que hacen referencia a los msi. La primera esta configurada como "no permitido" a todos los MSI del equipos y la segunda (la que quiero agregar) esta configurada como "ilimitado" solamente al aplicativo MSI "aplicativo.msi".

    pero aun asi no se puede bloquear, si no mas recuerdo por un tema de estructura y privilegios, la denegacion manda sobre habilitacion, si es asi, que podria hacer para que se pueda ejecutar solamente ese aplicativo y el resto siga bloqueada??

    de antemano muchas gracias

    lunes, 13 de mayo de 2013 20:11

Respuestas

  • Por SRP no se si se puede hacer eso...

    Si usas AppLocker debes poner una excepción a la regla que bloquea los MSI, pero no una regla nueva.

    Esteban


    http://nextadmin.blogspot.com

    • Marcado como respuesta Uriel Almendra viernes, 4 de octubre de 2013 17:01
    martes, 14 de mayo de 2013 18:35
  • Hola Palote!

    Desconozco el motivo por el cual estás aplicando esta GPO. Inicialmente, entiendo que todos los usuarios tienen derechos administrativos sobre sus equipos locales. Una sugerencia que puedo darte, para que pienses, es la posibilidad de reducir superficie de ataque no dandole derechos administrativos a los usuarios en sus equipos locales, solo en los casos que se necesite. De esta forma estas:

    • Evitando que ejecuten archivos MSI (porque no tienen los derechos suficientes).
    • Reduciendo superficie de ataque y riesgo de infecciones.
    • Los usuarios que si tengan derechos administrativos podrás ejecutar e instalar paquetes MSI.

    Solo te lo comento para analizar la factibilidad, porque quizás (algo que es muy común) estás intentando implementar una solución por el camino más largo, y existen otras estrategias que por diseño de Windows son más efectivas.

    Un saludo! Estamos en contacto!


    Pablo Ariel Di Loreto
    IT Consultant

    This posting is provided "AS IS" with no warranties and confers no rights! Always test ANY suggestion in a test environment before implementing!

    • Marcado como respuesta Uriel Almendra viernes, 4 de octubre de 2013 17:01
    jueves, 16 de mayo de 2013 20:37

Todas las respuestas

  • Por SRP no se si se puede hacer eso...

    Si usas AppLocker debes poner una excepción a la regla que bloquea los MSI, pero no una regla nueva.

    Esteban


    http://nextadmin.blogspot.com

    • Marcado como respuesta Uriel Almendra viernes, 4 de octubre de 2013 17:01
    martes, 14 de mayo de 2013 18:35
  • Hola Palote!

    Desconozco el motivo por el cual estás aplicando esta GPO. Inicialmente, entiendo que todos los usuarios tienen derechos administrativos sobre sus equipos locales. Una sugerencia que puedo darte, para que pienses, es la posibilidad de reducir superficie de ataque no dandole derechos administrativos a los usuarios en sus equipos locales, solo en los casos que se necesite. De esta forma estas:

    • Evitando que ejecuten archivos MSI (porque no tienen los derechos suficientes).
    • Reduciendo superficie de ataque y riesgo de infecciones.
    • Los usuarios que si tengan derechos administrativos podrás ejecutar e instalar paquetes MSI.

    Solo te lo comento para analizar la factibilidad, porque quizás (algo que es muy común) estás intentando implementar una solución por el camino más largo, y existen otras estrategias que por diseño de Windows son más efectivas.

    Un saludo! Estamos en contacto!


    Pablo Ariel Di Loreto
    IT Consultant

    This posting is provided "AS IS" with no warranties and confers no rights! Always test ANY suggestion in a test environment before implementing!

    • Marcado como respuesta Uriel Almendra viernes, 4 de octubre de 2013 17:01
    jueves, 16 de mayo de 2013 20:37