Permitir que o usuário do domínio execute arquivos em lote apenas de uma pasta de rede específica

Question

O Windows 10 possui 2 tecnologias diferentes para impedir que os usuários executem arquivos em lote, executáveis ou aplicativos. Primeiro há os mais velhosPolíticas de restrição de softwareem segundo lugar háBloqueador de aplicativos

Desde o Windows 10 1803, as políticas de restrição de software sãodescontinuadae não é mais recomendado, então vou me restringir ao Applocker.

Você pode implementar políticas do Applocker via GPO e usá-lo para restringir ou permitir scripts/exes/apps/dlls

Você precisa criar um novo GPO no qual precisará navegar até "Configuração do Computador" > "Políticas" > "Configurações do Windows" > "Configurações de Segurança" > "Políticas de Controle de Aplicativos" -> "Applocker"

Aplicação

Primeiro você precisa "Configurar aplicação de regras" e definir a marca de seleção em "Regras de script" e pode decidir entre "Aplicar regras" e "Apenas auditoria".

Aplicar regras é usado para forçar o computador a respeitar as regras, enquanto "Apenas auditoria" simplesmente gera um evento do Windows que indicará se as regras atuais bloquearão ou permitirão que algo seja executado. Recomenda-se usar "Somente auditoria" até que fique claro se a ativação das regras violará algo importante.

Regras

Lá você tem as diferentes categorias

Regras executáveis
Regras do instalador do Windows
Regras de roteiro
Regras de aplicativos empacotados

No seu caso, você precisa editar as regras do script. Essas regras serão aplicadas, por exemplo, para arquivos ps1ou (batveja aqui para mais)

Ao editar um conjunto de regras pela primeira vez, o Windows deverá perguntar se você deseja adicionar oregras padrãonormalmente essas regras não devem quebrar nada e podem ser adicionadas sem muita preocupação.

As políticas do Applocker, por padrão, falharão no fechamentoIsso significa que se você não tiver políticas definidas para lidar com casos de uso normais, elas serão bloqueadas!

Então você pode criar uma nova regra clicando com o botão direito em "Regras de Script" e depois clicando em "Criar Nova Regra...".

A caixa de diálogo de criação de regras é mais ou menos autoexplicativa. O que você deseja é uma "Regra de Caminho" que permitirá que scripts sejam executados a partir de um determinado caminho.

Esteja ciente de que \\servere \\server.fqdn.comsão caminhos diferentes

Ativando o AppLocker

Para que o Applocker funcione, existem algumas condições que precisam ser atendidas.

Você precisa do Windows 10 Education ou Enterprise se quiser gerenciá-lo via GPO 1.1. Caso contrário, você ainda poderá administrar o Applocker via PowerShell.
Você precisa ativar e iniciar automaticamente o "serviço de identidade do aplicativo"

Answer 1

O Windows 10 possui 2 tecnologias diferentes para impedir que os usuários executem arquivos em lote, executáveis ou aplicativos. Primeiro há os mais velhosPolíticas de restrição de softwareem segundo lugar háBloqueador de aplicativos

Desde o Windows 10 1803, as políticas de restrição de software sãodescontinuadae não é mais recomendado, então vou me restringir ao Applocker.

Você pode implementar políticas do Applocker via GPO e usá-lo para restringir ou permitir scripts/exes/apps/dlls

Você precisa criar um novo GPO no qual precisará navegar até "Configuração do Computador" > "Políticas" > "Configurações do Windows" > "Configurações de Segurança" > "Políticas de Controle de Aplicativos" -> "Applocker"

Aplicação

Primeiro você precisa "Configurar aplicação de regras" e definir a marca de seleção em "Regras de script" e pode decidir entre "Aplicar regras" e "Apenas auditoria".

Aplicar regras é usado para forçar o computador a respeitar as regras, enquanto "Apenas auditoria" simplesmente gera um evento do Windows que indicará se as regras atuais bloquearão ou permitirão que algo seja executado. Recomenda-se usar "Somente auditoria" até que fique claro se a ativação das regras violará algo importante.

Regras

Lá você tem as diferentes categorias

Regras executáveis
Regras do instalador do Windows
Regras de roteiro
Regras de aplicativos empacotados

No seu caso, você precisa editar as regras do script. Essas regras serão aplicadas, por exemplo, para arquivos ps1ou (batveja aqui para mais)

Ao editar um conjunto de regras pela primeira vez, o Windows deverá perguntar se você deseja adicionar oregras padrãonormalmente essas regras não devem quebrar nada e podem ser adicionadas sem muita preocupação.

As políticas do Applocker, por padrão, falharão no fechamentoIsso significa que se você não tiver políticas definidas para lidar com casos de uso normais, elas serão bloqueadas!

Então você pode criar uma nova regra clicando com o botão direito em "Regras de Script" e depois clicando em "Criar Nova Regra...".

A caixa de diálogo de criação de regras é mais ou menos autoexplicativa. O que você deseja é uma "Regra de Caminho" que permitirá que scripts sejam executados a partir de um determinado caminho.

Esteja ciente de que \\servere \\server.fqdn.comsão caminhos diferentes

Ativando o AppLocker

Para que o Applocker funcione, existem algumas condições que precisam ser atendidas.

Você precisa do Windows 10 Education ou Enterprise se quiser gerenciá-lo via GPO 1.1. Caso contrário, você ainda poderá administrar o Applocker via PowerShell.
Você precisa ativar e iniciar automaticamente o "serviço de identidade do aplicativo"

Permitir que o usuário do domínio execute arquivos em lote apenas de uma pasta de rede específica

Responder1

Aplicação

Regras

Ativando o AppLocker

informação relacionada