Gostaria de usar uma configuração de GPO para impedir que usuários criem pastas e arquivos no diretório raiz do Windows 10. Pesquisando na internet encontrei a configuração
Configuração do computador -> Políticas -> Configurações do Windows-> Configurações de segurança-> Sistema de arquivos
onde criei uma entrada para %SystemDrive%\ onde usuários autenticados têm "Negar" para "Criar arquivos/gravar dados" e "Criar pastas/anexar dados", aplicado a "Somente esta pasta".
Depois de salvar e vincular o GPO, reiniciei a estação de trabalho para obter as novas políticas, mas as configurações não bloqueiam nada.
Alguma ideia do que pode estar errado? alguma outra sugestão para alcançar o mesmo resultado?
muito obrigado.
Responder1
Péssima ideia. Não vá lá.
A menos que TODOS os seus sistemas estejam completamente bloqueados a ponto de ninguém precisar instalar nada.
Bloquear a criação de pastas/arquivos na raiz da unidade do sistema interromperá muitos softwares, especialmente instaladores de drivers de dispositivos, pois eles geralmente criam pastas de trabalho diretamente da raiz da unidade.
Além disso, as atualizações do Windows 10 InPlace (e provavelmente algumas outras atualizações do Windows também) precisam ser gravadas na pasta raiz.
E alguns processos do sistema, como o Hibernate, provavelmente também não gostam disso
E "NEGAR usuários autenticados", como algumas pessoas sugerem em outras respostas, TAMBÉM é NEGAR para administradores. DENY anula tudo. Um administrador pode desfazer isso, mas isso requer intervenção manual, algo que o WindowsUpdate, etc.
Em um ambiente de software gerenciado (como o SCCM), você pode criar algo como um wrapper para cada instalador, mas isso dá muito trabalho.
Ou você pode usar uma conta de administrador local (sem domínio) para SCCM e limitar o acesso à pasta para "Usuários do domínio". Mas isso também é difícil de configurar e possivelmente um risco à segurança. (Você precisaria configurar senhas individuais para essa conta em cada computador e armazená-las em algum lugar para uso pelo SCCM. Se você usar a mesma senha em todos os lugares, se houver um comprometido, todos os computadores estarão.)
Na verdade: a empresa para a qual trabalho realmente faz isso assim com o SCCM e contas de administrador local individuais em todos os computadores (cerca de 200.000 sistemas), mas não somos loucos o suficiente para bloquear a unidade raiz. Muito potencial para causar todos os tipos de efeitos colaterais/problemas estranhos.
Responder2
Podemos tentar solucionar o problema conforme abaixo:
- Se o Windows 10 estiver no ambiente de domínio? Se estiver no domínio, podemos executar o relatório gpresult no Windows 10 para ver se a política foi aplicada. Se estiver aplicado, mas não conseguir bloquear a criação de pastas e arquivos, vá para a etapa 2.
- Bloqueie outras pastas no diretório raiz para ver se podemos aplicar a política de grupo com êxito. Se pudermos, talvez não possamos definir a permissão do diretório raiz do sistema.
- Se o Windows 10 não estiver no ambiente do domínio, lembre-se de que este processo só está disponível para um domínio com um servidor executando o recurso Gerenciamento de Política de Grupo... sistemas autônomos e grupos de trabalho ainda precisam atribuir essas permissões manualmente! Portanto, podemos tentar definir a permissão manualmente.
Referência:
Atribuir permissões de arquivos e pastas por meio da política de grupo
https://www.linkedin.com/pulse/assign-file-folder-permissions-via-group-policy-farid-soltani
Criando GPOs de segurança do sistema de arquivos
https://library.netapp.com/ecmdocs/ECMP1401220/html/GUID-A8D101D3-729F-4299-A591-4AC55A5DD12E.html
Política de Grupo – Exemplos GPResult
https://blog.thesysadmins.co.uk/group-policy-gpresult-examples.html