[Çözüldü] GPO neden browser yüklemelerini durdurmuyor?

Evet bazı uygulamalar Yönetici hakkı olmadan kurulum yapılabiliyor. Chrome yüklerken "Yönetici Hakları olmadan Kuruluma devam etmek istiyor musunuz?" diye soruyor. Ama sanıyorum yüklenen bu programları sadece yükleyen kullanıcı kullanabiliyor. Sistemi etkilemiyor. Buna yoğunlaşmak gerek sanki.

@resulsoydas

Merhaba,

Bu tip uygulamalar benim fark ettiğim sadece %localappdata% altına kuruluyor. C:\Program Files altında hiçbir dosya tutmuyor.

@oguzkaanonculer

Aynen öyle. Dedim ya sadece kuran kullanıcı programı kullanabiliyor. Sistemi etkilemiyor. Bahsettiğiniz klasör zaten kullanıcının profil klasörünün altında.

Belki şu yapılabilir. Kurulan programlar az çok bellidir. Bu dizinler otomatik oluşturulup kullanıcının bu klasörlere erişimi Security ayarları ile engellenebilir. Öte yandan konu ile ilgili arama yaptığımda hep "Admin hakkı olmadan nasıl kurulum yapılabilir" gibi sonuçlar çıktı.

Bu tip uygulamalar user mode interactive yapıldığından UAC rights istemeden kuruluyor. Bazı uygulamalar bunu özellikle tercih ediyor. Bu çok tartışılan bir durum netde. Bunları kontrol altında tutmak isterseniz birçoğunun enterprise sürümleri mevcut sizin kurup .admx ler ile yönetmeniz lazım. 
https://community.spiceworks.com/how_to/57422-deploying-a-whitelist-software-restriction-policy-to-prevent-cryptolocker-and-more?source=spiceworksmobil e" target="true">Birde bu tip yöntemler var

Biliyorsunuz Win10 da store denetimi var bunun için. Bir de bu tip tam denetim isterseniz akabinde karşınıza kullanıcının portable uygulamalara başvurması çıkar.:) Bunu da engellemek için whitelist oldukça kabarıyor. Tam kontrol için 3rd app denetimi yapan uygulamalar gerekli.

@ibrahimyildiz @resulsoydas

Anladığım kadarıyla benim de takıldığım konu global bir sorunmuş. Sanırım kolay bir çözümü yok.

Sizlerin bahsettiği yoldan bir engelleme yapılabilir; Computer Config > Windows Settings > Security Settings > Software Restriction Policies altına yeni kurallar eklenebilir. Ancak bu da dosya adı değiştirildiğinde işe yaramıyor.

https://www.em-soft.si/myblog/elvis/?p=659

Örneğin Chrome.exe olarak bir kural oluşturduğumuzda, kullanıcı dosya adını Chrome2.exe veya Chrm.exe yaparsa bu güvenliği atlatabiliyor.
Sanırım bunların riskini kabul edip sırtımızı yaslamak en kolayı olacak 🙂

Kolay çözümü başka şeylere para harcamayla... 🙂
Evet source, name bazlı kurallar rename ile devre dışı kalır. Bir de Hash bazlı kurallama vardır onu da araştırabilirsiniz. Ancak o da bazı .exe'lerde her sürümde, bazı uygulamalarda ana sürüm update'lerinde değişir. Birde ortam kısıtlıysa tüm exe'leri blacklist, sadece istenenleri whitelist yapma yöntemi var.:) Ben cryptolocker ilk dönemlerinde SEP dahili ve harici o tip şeyler uygulamıştım. 
Arkadaşların dediği gibi user interactive taraftaki bunları takmamak gerekiyor aslında risk var mı evet fakat başka şeylere de bağımlı kurumsal denetimi daha çok kanunlar ve eğitimlere bağlamak gerekli. Diğer kısmı ise firewall, antiv, webfilter, dlp vs ile doğru denetimler yapılırsa kullanıcı zaten oldukça sınırlanmış ve kurumsal güvenliğe uygunluk kazanılmış oluyor. Sonrasında bırakalım chrome kursun her kafasına eseni zaten yapamamış olacak.

Yeni nesil güvenlik duvarları üzerinden geçen trafiği detaylı bir şekilde inceleme ve denetleme yeteneklerine sahip. Ağ geçidiniz üzerinde oluşturacağınız kurallar ile trafiğinizi yönetebilirsiniz. Kullanıcı browser kurabilir ama kullanamaz !

NOT : Yazdıktan sonra fark ettim ki İbrahim bey zaten benzer şeylerden bahsetmiş.

Merhaba

GPO aslen bunun için yazılmış bir ürün değil ve bu nedenle bu tür yasaklamalarda ne yazık ki çok etkili değil. Eğer böyle bir iş ihtiyacı var ise farklı çözümleri bir arada kullanabilirsiniz.

Örneğin avecto gibi local adminliği alan ve sadece izin verdiğiniz programları çalıştıran yazılımlar var ama yönetimi zor ve pahalı.

Serkan bahsetmiş Firewall üzerinden uygulama bazlı yasak getirebilirsiniz.

Ama bu denli yani uygulama seviyesinde yasaklama ihtiyacı var ise genelde güvenlik ürünlerine yatırım şart.