Отказ наименьшего-количества-полномочия BUILTIN\Administrator, настраивающий политики управления приложениями с AppLocker
Я задал этот вопрос в SuperUser напрасно только что, прежде, чем понять, что serverfault может быть более оптимальным вариантом.
Я настраиваю контроль выполнения на компьютере, запускающем Windows 7 SP1 Ultimate с одним жестким диском с единственным разделом. С AppLocker прибывает опция создать "правила по умолчанию". В случае Исполняемой группы Правил это следующие:
- Позвольте всем, соединяют %PROGRAMFILES каналом %*
- Позвольте всем, соединяют %WINDIR каналом %*
- Позвольте путь BUILTIN\Administrators *
(Никакие исключения.)
Со всеми они на месте, "все работает как ожидалось". Однако, если первые два правила относились ко "Всем", удалены, вещи спутываются.
Теперь, вхождение в систему, используя учетную запись от группы безопасности BUILTIN\Administrators больше не возможно. (Если учетная запись была ранее уже зарегистрирована, Вы, возможно, должны перезапустить компьютер для наблюдения этого сбоя. Кроме того, это не относится к учетной записи BUILTIN\Administrator, которая все еще работает). То, что происходит, когда Вы пробуете, является этим:
Существует задержка, и когда рабочий стол должен быть представлен экранный пробел поворотов. Затем ничто больше. Компьютер не становится безразличным, например, Ctrl +, Высокий звук + Удаляет все еще работы.
(Если я реконфигурировал AppLocker для явного разрешения полномочий выполнения BUILTIN\Administrators для %WINDIR % *, или восстановление, которые управляют для "Всех", эти учетные записи могут войти в систему снова.)
Согласно MSDN:
Звездочка (*) подстановочный символ может использоваться в Поле трактов. Звездочка (*) символ, используемый отдельно, представляет любой путь. В сочетании с любым строковым значением правило ограничено путем файла и всех файлов под тем путем. Например, проводник %ProgramFiles %\Internet* указывает, что все файлы и подпапки в папке Internet Explorer будут затронуты правилом.
Это мне подразумевает, что правило по умолчанию для BUILTIN\Administrators должно полностью перекрыть правила по умолчанию, созданные для "Всех", представив их избыточный в случае учетных записей, принадлежащих группе BUILTIN\Administrators. Как Вы видите, это, кажется, не имеет место.
Так, у меня есть два вопроса на этом:
- Почему правило по умолчанию для BUILTIN\Administrators сам по себе недостаточно для получения учетных записей, принадлежащих этой работе группы (т.е. что случилось с ним, и что это, который перестал работать из-за этого), и;
- Что такое действительно наименьшее-количество-privilige конфигурации для рабочей административной учетной записи (не BUILTIN\Administrator) относительно конфигурации AppLocker?
Насколько я понимаю, ваша проблема связана с тем, как Windows обрабатывает учетные записи администратора.
Из коробки, поскольку в Windows Vista учетные записи администратора фактически не имеют административных прав включен на них сразу, и вам необходимо повысить права администратора с помощью контроля доступа пользователей, UAC (например, если вы попытаетесь изменить системный параметр, вы получите запрос UAC, спрашивающий, знаете ли вы, что делаете). Пока вы этого не сделаете, учетная запись пользователя в основном имеет тот же уровень разрешений, что и обычный пользователь.
Следовательно, когда вы входите в систему как член группы администраторов, ваша учетная запись пользователя технически не имеет привилегии администратора (поскольку вы не повышали уровень с помощью UAC) и, следовательно, не соответствует требованиям вашего правила «Разрешить *». Затем ваш сеанс Windows разрушается, потому что ваша учетная запись пользователя не имеет разрешения на запуск каких-либо системных файлов Windows, необходимых во время входа в систему.
У меня аналогичная проблема в одной из моих сред AppLocker, я не блокирую программы Файлов и каталогов Windows столько, сколько у вас есть (удалив правила по умолчанию), но у меня есть правило, в котором говорится: «Члены BUILTIN \ Administrators, разрешите *». Однако, когда вы входите в систему как администратор и пытаетесь дважды щелкнуть произвольный исполняемый файл вне Windows / Program Files, вы получаете нарушение AppLocker, и это не позволяет вам запустить его. Вместо этого вы должны щелкнуть его правой кнопкой мыши и выбрать «Запуск от имени администратора»; только в этот момент AppLocker поймет, что вы действительно являетесь участником BUILTIN \ Administrators.
Возможные обходные пути:
Отключить UAC (я никогда не тестировал это, не уверен, что это сработает - в нашем среды, мы оставляем UAC включенным)
Создайте новую локальную группу Windows под названием «Системные администраторы» или что-то в этом роде и добавьте в нее отдельные учетные записи пользователей Windows для людей, которые должны иметь к ней доступ (но делают не ] просто добавьте в него BUILTIN \ Administrators); затем создайте правило AppLocker, в котором членам группы «Системные администраторы» разрешено запускать что угодно.
Сохраните разрешающие правила по умолчанию, созданные Windows, но затем добавьте некоторые правила «Запретить», которые применяются к конечнымпользователи не позволяют им получить доступ к определенным файлам в каталогах Windows и Program Files, о которых вы беспокоитесь. Это то, что мы делаем в нашей среде (например, разрешаем C: \ Windows \ *, но блокируем доступ к cmd.exe, PowerShell.exe, regedit.exe и т. Д.). Имейте в виду, что правило запрета всегда отменяет правило разрешения. .
Если вы еще этого не сделали, обязательно включите ведение журнала AppLocker и посмотрите на средство просмотра событий Windows, поскольку оно должно предоставить информацию о том, почему конкретному пользователю не разрешено что-либо запускать. Также ознакомьтесь с командой PowerShell Test-AppLockerPolicy , чтобы смоделировать, что разрешено, а что нет для конкретного пользователя и исполняемого файла (хотя я не уверен, что это доступно в Windows 7, вам может потребоваться обновить вашу версию из PowerShell).