Назад | Перейти на главную страницу

Как мне внести установки Firefox в белый список из моего GPO Cryptolocker SRP?

У меня есть настройка GPO, чтобы попытаться предотвратить заражение Cryptolocker систем в нашей среде. Действуют следующие ограничения программного обеспечения:

%AppData%\*.exe
%AppData%\*\*.exe
%LocalAppData%\Temp\*.zip\*.exe
%LocalAppData%\Temp\7z*\*.exe
%LocalAppData%\Temp\Rar*\*.exe
%LocalAppData%\Temp\wz*\*.exe
%UserProfile%\Local Settings\Temp\*.7z\*.exe
%UserProfile%\Local Settings\Temp\*.rar\*.exe
%UserProfile%\Local Settings\Temp\*.wz\*.exe
%UserProfile%\Local Settings\Temp\*.zip\*.exe

При попытке установить Firefox я получаю следующую ошибку:

Доступ к C: \ Users \ jdoe \ AppData \ Local \ Temp \ 7zSA1FB.tmp \ setup-stub.exe был ограничен вашим администратором по местоположению с правилом политики {0cbe13527-3132-4e4c-5df1-c48de858c993}, расположенным по пути C : \ Users \ jdoe \ AppData \ Local \ Temp \ 7z * \ *. Exe.

Я добавил в объект групповой политики приведенное ниже правило и установил неограниченное значение, но оно не работает:

% LocalAppData% \ Temp \ 7z * .tmp \ setup-stub.exe

Кто-нибудь может сказать мне, что я делаю не так? Я не могу использовать точное имя папки (в данном случае 7zS189F.tmp), поскольку каждый раз, когда он устанавливает, имя папки немного отличается, поэтому мне нужно иметь возможность использовать подстановочный знак.

Заранее благодарим за помощь.

С участием SRP более консервативное правило имеет приоритет. То есть, запретить имеет приоритет над позволять.
Ваше разрешающее правило %LocalAppData%\Temp\7z*.tmp\setup-stub.exe функционально эквивалентно вашему правилу запрета %LocalAppData%\Temp\7z*\*.exe. Два правила пути, содержащие подстановочные знаки, которые вы использовали, при оценке приоритета рассматриваются как одно и то же.

Из Как работают политики ограниченного использования программ:

Приоритет правила пути

При наличии нескольких правил сопоставления пути приоритет имеет наиболее конкретное правило сопоставления.

Ниже приводится набор путей от наивысшего приоритета (более конкретное совпадение) до самого низкого приоритета (более общее совпадение):

  • Диск: \ Folder1 \ Folder2 \ FileName.Extension
  • Диск: \ Folder1 \ Folder2 * .Extension
  • *. Расширение
  • Диск: \ Folder1 \ Folder2 \
  • Диск: \ Folder1 \

Ваши конфликтующие правила соответствуют второму примеру и считаются имеющими эквивалентный приоритет. Благодаря этому правило запрета «побеждает».

Была та же проблема, та же причина (объекты групповой политики, предназначенные для блокировки установки программ-вымогателей). Мои объекты групповой политики назначены отдельным подразделениям, так что на временной основе это было довольно легко обойти:

  • Откройте Управление групповой политикой,
  • Проверьте, к каким подразделениям применяется ваш объект групповой политики, блокирующий вымогательство.
  • Убедитесь, что целевая машина находится в одном из этих OU
  • Переместите целевой компьютер в OU, где политика не применяется
  • Запустите gpupdate / force на целевой машине в командной строке администратора.
  • Запустите установку firefox,
  • Вернуть целевой компьютер в исходное OU
  • Снова запустите gpudate / force на целевой машине, чтобы повторно применить политику и защитить вашу машину.

Хотя он не получает награды за элегантность, это временное решение.

Сегодня утром я столкнулся с той же проблемой, у меня есть групповая политика для предотвращения шифрования, и мне нужно было установить FF на одном компьютере.

Вот как выглядит процесс:

  1. Загрузите "firefox setup stub.exe"
  2. Переместите его куда-нибудь, кроме загрузок. Я использовал c: \ temp.
  3. Откройте командное окно (с правами администратора).
  4. Введите следующие команды: (в этом примере используется c: \ temp)

    установить temp = c: \ temp
    установить tmp = c: \ temp
    cd \ temp

  5. Запустите настройку firefox.

Сработало для меня как шарм.