**GPO - Como bloquear a criação de pastas e arquivos no diretório raiz no Windows 10

tag-icon tag-icon windows-10 filesystems group-policy
**GPO - Como bloquear a criação de pastas e arquivos no diretório raiz no Windows 10

Gostaria de usar uma configuração de GPO para impedir que usuários criem pastas e arquivos no diretório raiz do Windows 10. Pesquisando na internet encontrei a configuração

Configuração do computador -> Políticas -> Configurações do Windows-> Configurações de segurança-> Sistema de arquivos

onde criei uma entrada para %SystemDrive%\ onde usuários autenticados têm "Negar" para "Criar arquivos/gravar dados" e "Criar pastas/anexar dados", aplicado a "Somente esta pasta".

Depois de salvar e vincular o GPO, reiniciei a estação de trabalho para obter as novas políticas, mas as configurações não bloqueiam nada.

Alguma ideia do que pode estar errado? alguma outra sugestão para alcançar o mesmo resultado?

muito obrigado.

Responder1

Péssima ideia. Não vá lá.
A menos que TODOS os seus sistemas estejam completamente bloqueados a ponto de ninguém precisar instalar nada.
Bloquear a criação de pastas/arquivos na raiz da unidade do sistema interromperá muitos softwares, especialmente instaladores de drivers de dispositivos, pois eles geralmente criam pastas de trabalho diretamente da raiz da unidade.
Além disso, as atualizações do Windows 10 InPlace (e provavelmente algumas outras atualizações do Windows também) precisam ser gravadas na pasta raiz.
E alguns processos do sistema, como o Hibernate, provavelmente também não gostam disso

E "NEGAR usuários autenticados", como algumas pessoas sugerem em outras respostas, TAMBÉM é NEGAR para administradores. DENY anula tudo. Um administrador pode desfazer isso, mas isso requer intervenção manual, algo que o WindowsUpdate, etc.

Em um ambiente de software gerenciado (como o SCCM), você pode criar algo como um wrapper para cada instalador, mas isso dá muito trabalho.
Ou você pode usar uma conta de administrador local (sem domínio) para SCCM e limitar o acesso à pasta para "Usuários do domínio". Mas isso também é difícil de configurar e possivelmente um risco à segurança. (Você precisaria configurar senhas individuais para essa conta em cada computador e armazená-las em algum lugar para uso pelo SCCM. Se você usar a mesma senha em todos os lugares, se houver um comprometido, todos os computadores estarão.)
Na verdade: a empresa para a qual trabalho realmente faz isso assim com o SCCM e contas de administrador local individuais em todos os computadores (cerca de 200.000 sistemas), mas não somos loucos o suficiente para bloquear a unidade raiz. Muito potencial para causar todos os tipos de efeitos colaterais/problemas estranhos.

Responder2

Podemos tentar solucionar o problema conforme abaixo:

  1. Se o Windows 10 estiver no ambiente de domínio? Se estiver no domínio, podemos executar o relatório gpresult no Windows 10 para ver se a política foi aplicada. Se estiver aplicado, mas não conseguir bloquear a criação de pastas e arquivos, vá para a etapa 2.
  2. Bloqueie outras pastas no diretório raiz para ver se podemos aplicar a política de grupo com êxito. Se pudermos, talvez não possamos definir a permissão do diretório raiz do sistema.
  3. Se o Windows 10 não estiver no ambiente do domínio, lembre-se de que este processo só está disponível para um domínio com um servidor executando o recurso Gerenciamento de Política de Grupo... sistemas autônomos e grupos de trabalho ainda precisam atribuir essas permissões manualmente! Portanto, podemos tentar definir a permissão manualmente.

Referência:

Atribuir permissões de arquivos e pastas por meio da política de grupo

https://www.linkedin.com/pulse/assign-file-folder-permissions-via-group-policy-farid-soltani

Criando GPOs de segurança do sistema de arquivos

https://library.netapp.com/ecmdocs/ECMP1401220/html/GUID-A8D101D3-729F-4299-A591-4AC55A5DD12E.html

Política de Grupo – Exemplos GPResult

https://blog.thesysadmins.co.uk/group-policy-gpresult-examples.html

informação relacionada