Forum

GPO Software Restri...
 
Bildirimler
Hepsini Temizle

[Çözüldü] GPO Software Restriction Policies, User Configuration çalışmıyor.

14 Yazılar
5 Üyeler
8 Reactions
1,844 Görüntüleme
(@omeryilmaz)
Gönderiler: 150
Estimable Member
Konu başlatıcı
 

Merhabalar,

DC, GPO mevzularında yeniyim.

1-2 Kullanıcıya uygulama kısıtlaması yapacağım Computer bazlı işlemler çalışıyor kullanıcı bazlı olunca çalışmıyor.

GPO domain altında DC_EngelPC ve DC_EngelUser olarak 2 adet gpo oluşturdum.

DC_EngelPC -> Computer Configuration -> Policies -> Windows Settings -> Security Setting -> Software Restriction Policies -> Additional Rules içinde New Path Rule ile deneme amaçlı Chrome 64bit versiyon (C:\Program Files\Google\Chrome\Application\chrome.exe) engellemesi yaptım. 

OU yapıya girmeden hızlı test için Security Filtering bölümdeki varsayılan gelen Authenticated users silip Computer adını ekliyorum.
gpupdate /force komuttan sonra veya client yeniden başlatınca GPO çok güzel çalışıyor, uygulamayı çalıştırınca engellendi mesajı çıkıyor.
Buraya kadar sorun yok.

DC_EngelUser kısımda User Configuration -> Policies -> Windows Settings -> Security Setting -> Software Restriction Policies -> Additional Rules aynı ayarları gerçekleştiriyorum.
GPO Security Filtering bölümden kullanıcı hesabını ekliyorum istemci taraftı restart ediyorum gpupdate /force komutu gerçekleştiriyorum GPO bir türlü gelmiyor.

Nerede hata yapıyorum?

 
Gönderildi : 22/03/2022 13:15

(@serkanates)
Gönderiler: 1323
Üye
 

Basit düşünelim. Kullanıcı hesabınız policy uyguladığınız OU içerisinde mi? çalıştır ekranına rsop.msc komutunu girerek istemcinin hangi policy lerden etkilendiğini gözlemleyebilirsiniz.

Kolay gelsin.

 
Gönderildi : 22/03/2022 13:20

(@omeryilmaz)
Gönderiler: 150
Estimable Member
Konu başlatıcı
 

Serkan bey o dediklerinizi kafam karışık zamanda denemiştim şimdi sakin kafayla yaptıklarım şu şekilde,

Active Directory User an Computer Domain altınd Security OU içine kullanıcıyı sürükleyip bıraktım.

GPO domain Security altında yeni gpo oluşturup user configuraiton işlemleri gerçekleştirdim.

Gpo Security bölüme kullanıcıyı ekledim.

Ayarlar gelmiyor, rsop.msc ilede ara ara kontrol ediyorum maalesef gelmiyor.

GPO içinde herhangi farklı kural yok ilk kurulumdaki gibi boş duruyor.

 
Gönderildi : 22/03/2022 14:20

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Selamlar, aşağıdaki eğitimi deneyin derim;

Active Directory GPO - Implementing Group Policy | Udemy

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 22/03/2022 15:02

ibrahim yildiz
(@ibrahimyildiz)
Gönderiler: 4596
Co-Helper
 

gpresult ile rapor çektiğinizde OU bilgisini alırsınız bu şekilde computer yada user odaklı ou'nuzun doğru olup olmadığını görürsünüz.

"Computer bazlı işlemler çalışıyor kullanıcı bazlı olunca çalışmıyor." 
computer ve user conf. farkını doğru anladığınızı hissediyoruz fakat eksikler olabilir bunu var olan policy seçeneklerini değiştirip uygulayarak daha iyi anlarsınız.
Yaptığınız policy'lerde ki bir diğer detay ise ne yaptırdığınızdır yapılan işlemin planlanması önemli bir şeyin ikisinde de çalışacağı bir sabitlik değil. Örneğin bir policy'nin çağırdığı event computer'a uygulanabilir fakat user için yeterli yetki olmadığı için uygulanmayabilir. Özellikle filtering, scripting yapıyorsanız bunu konu bazlı araştırmalısınız.

'balık vermez, nasıl tutulabildiğine yönlendirir'
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız. Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz. Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 22/03/2022 17:19

(@omeryilmaz)
Gönderiler: 150
Estimable Member
Konu başlatıcı
 
Gönderen: @ibrahimyildiz

gpresult ile rapor çektiğinizde OU bilgisini alırsınız bu şekilde computer yada user odaklı ou'nuzun doğru olup olmadığını görürsünüz.

"Computer bazlı işlemler çalışıyor kullanıcı bazlı olunca çalışmıyor." 
computer ve user conf. farkını doğru anladığınızı hissediyoruz fakat eksikler olabilir bunu var olan policy seçeneklerini değiştirip uygulayarak daha iyi anlarsınız.
Yaptığınız policy'lerde ki bir diğer detay ise ne yaptırdığınızdır yapılan işlemin planlanması önemli bir şeyin ikisinde de çalışacağı bir sabitlik değil. Örneğin bir policy'nin çağırdığı event computer'a uygulanabilir fakat user için yeterli yetki olmadığı için uygulanmayabilir. Özellikle filtering, scripting yapıyorsanız bunu konu bazlı araştırmalısınız.

İbrahim bey teşekkürler, Fiziki ortamda şimdilik Computer olarak ayarları gerçekleştirdim. 
Uzun zamandır yapmak isteyip yapamadığım lab ortamını oluşturup o alanda tekrar deneyeceğim. O zamana kadar da kafam rahatlamış olur.
Uğraştığım iş kıl tüğ işler, o tip insanlardan çıkar, kullanıcı internete giremesin, outlook çalışsın. Firewall bizde değil diğer grup şirkette, bizim fiberi bağlamadılar bekliyoruz çocuk olur askere gider gelir anca bağlanır.
Yatırım yok yeterli server yok, antivirüs güncelleme alacak internetten mail dış mail yine internet lazım.
Bende bu ayar ile browser engellemesi yaptım, portable browser ile aşılır bir durum kullanıcıların o kadar bilgisi yok şimdilik işimi gördü. Dediklerinizi anlıyorum lakin Software Restriction Policies her iki ihtimalden de bahsediliyor, kullanıcı bazlı yapsam kullanıcı başka pc de oturum açınca yine kullanamazdı.

 
Gönderildi : 22/03/2022 17:57

ibrahim yildiz
(@ibrahimyildiz)
Gönderiler: 4596
Co-Helper
 

Anlıyorum ve kolaylıklar diliyorum.:) Biz de zaman içerisinde öğrendik, bizim bir varlık sebebimiz de olmazların nedenini öğretmek biraz da sadece yazılımlara değil insanlara da seviye atlatmaktır. 🙂 İnsanlar kaliteli ve sonuç odaklı hizmet almak istiyorsa ödeme yapması gerektiğini bilmeli. Ben bunu çok kullanırım bütçeniz yoksa yarım yamalak olmaz herşeyi kaldırın daktilo kullanın.:) Ancak kapitalist değilim ülkenin gerçeklerini de biliyoruz. Bizler büyücü değiliz malum fakat özellikle kobi de felsefik bir hal gerektirmiyor değil hani.:P

Biliyorsunuz yaptığınız çözümlemeyi aşmak web dünyasında çok kolay tabi bu biraz şirketin personel profili ile ilgili. Birisinin bulması ve molada yayması bazen 1 gün sürmüyor.:) Ki yöneticilerin bu konu çözümlemesi de yanlış halen 10-20 yıl önceki deneyimlerle karar almaya çalışıyorlar yürümez o iş.

'balık vermez, nasıl tutulabildiğine yönlendirir'
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız. Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz. Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 22/03/2022 21:37

(@omeryilmaz)
Gönderiler: 150
Estimable Member
Konu başlatıcı
 

@ibrahimyildiz teşekkürler, aslında Türkiye de bütçe yok diye bir şey yok. Teknolojiye yatırımı gereksiz gibi görüyorlar eskiden derdik her şey dijital hal alacak diye şuan o değişimin içine girdik corona bahanesi ile büyük reset başladı, metaverse vs.
Bütçe yok diyoruz ağız alışkanlığı Patron tarafına bakınca, yata kata son model araçlara bütçe her zaman var.


yürümez o iş.

Sadece yumurtayı bekliyorlar 🙂 yumurta kapıya dayanınca iş yürümeye devam ediyor.
Birde işin içine dini değerlerimizi katarlar israf etmeyelim 🙂

Yukarıdaki ayarı chrome tam dosya yolu olarak gerçekleştirdim klasör adını değiştirince çalıştırmak çokta zor olmadı.
Cryptolocker virüsü için yapılan GPO ayardaki gibi belirsiz .exe leri engellemek için * regex karakter oluşturuluyor.
Burada belirsiz Path için bir regex olsa bu özellik tam anlamıyla kullanılmış olur.
Path kısmına 
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
64 ve 32 bit engeli yapmıştım 3cü bir path ile sadece chrome.exe yazdım şuan tüm dizinlerde chrome.exe çalışmıyor bunu aşmakta chrome1.exe ile kolay.
Biraz daha regex ifade örnekleri bulsam kaliteli bir iş çıkacak ortaya.
derken Hash Rule ekledim eklerken versiyon alıyor orada küçük bir oynama yaptım.
Şuan chrome hiç bir dizin altında çalışmıyor. Son olarak Portable versiyo indirip Kullanıcı belgeler dizine attım çalışmadı. Son kullanıcının deneyeceği aklıma gelen yöntemler şuan devre dışı.

Yine ısrarla Path ile ilgili örnek arayışı içindeyim birde lab ortamı hazır olunca user configuration denemesi kaldı. Yabancı bir video da adam user configuration ile paint engellemesi yapıyordu. Computer ile olunca admin hesapla bağlanınca bende de çalışmayacak karizmayı çizdirmeyelim 🙂

 
Gönderildi : 23/03/2022 11:03

ibrahim yildiz
(@ibrahimyildiz)
Gönderiler: 4596
Co-Helper
 

Kaynak noktada kavram karmaşası var mı bilemiyorum. Bütün bunlar .locker için yapılıyorsa işe yaramaz. HASH bazlı check anti çözümlerin uyguladığı yöntemlerden sadece birisidir etkin çözümlerde memory check ve sandbox şart. Mevcutta .locker yayılımı ağırlıkla mailing üzerinden yürüyor weblinkler için de bu bir çözüm olmaz yöneticiler böyle düşünüyorsa.
Diğer noktada personelin zaman kontrolü için arayışınız uzun vadeli çözüm yine olmaz. Ör chrome taskschedule veya service ile güncelleme alır yükler. Hash kontrolü sadece bir .exe sürüm için geçerlidir. Yani paint.exe için bu çalışır ama browser türü şeyler için çalışmaz.
Bu tip denetim yapan müşterilerde zaman içerisinde oluşuyordu bir sürü portable vpn tunnel kuran tool mevcut.
Ayrıca yine denetim noktasında yayınladıkları policy yüklenerek chrome enterprise gpo ile yönetilebiliyor tabi edge/iexplorer ölçeğinde denetimi yok.
Özeti şudur bu türden eksik politikayla siz ne tür denetim yapmaya çalışırsanız çalışın microsoft, google ve bu tür benzer şirketlerin bu tür app alemi için yayılım politikası mevcut sundukları imkan ölçeği de ona göre.

'balık vermez, nasıl tutulabildiğine yönlendirir'
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız. Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz. Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 23/03/2022 13:59

(@aytacarslan)
Gönderiler: 799
Noble Member
 

firewall destekliyorsa user bazlı app kısıtlamasıda yapılabilir. şu grup chrome kullanamaz vs gibi

 
Gönderildi : 23/03/2022 14:58

(@serkanates)
Gönderiler: 1323
Üye
 

Çalışmanızı takdir ediyorum ancak harcadığınız çaba karşılığında elde edeceğiniz sonuç çok orantısız. Kullanıcıların kullanma ihtimali olan tarayıcı listesine https://en.wikipedia.org/wiki/List_of_web_browsers adresinden ulaşabilirsiniz. Kolay gelsin.

 
Gönderildi : 23/03/2022 15:39

(@omeryilmaz)
Gönderiler: 150
Estimable Member
Konu başlatıcı
 

@aytacarslan Teşekkürler Aytaç bey, maalesef firewall diğer grup şirket üzerinde, bizim metro hat bağlanana kadar o kısımda bir şey yapamıyorum.

@SerkanAtes Serkan bey teşekkürler doğru diyorsunuz.
O listeye ayrıyeten bakacaktım teşekkürler linki eklemişsiniz, onun haricinde ilk aklıma gelen portableapps sitesindeki browserlar oldu, o kadar çok bilgiye sahip değiller fakat artık bilgiye erişmek zorda değil. Video sitelerinden izleyip portable denemesinler, usb portları da kapatınca onları deneme şansları da azalır. 

Chromium browser can damarı .dll dosyasını engellersek bir çok tarayıcıyı da otomatikman engellemiş oluruz böyle bir ihtimal var mı sadece fikir yürütüyorum. M. edge bile Chromium kullanmaya başladı, gördüm ki microsoft babasının malı gibi dosya isimlerini de değiştirmiş içine bir babam sağ olsun yazmadığı kalmış :).

Bu yöntemi uygulamadan önce IPSec konusunu inceledim bir kaç deneme yaptım başarılı olamadım. 
https://www.hakanuzuner.com/ipsec-ile-internet-yasaklama/

Vakit olunca Lab. ortamında IPSec mevzusunu tekrar test edeceğim onu da bu GPO ayarına dahil edince koruma level atlamış olur.

 
Gönderildi : 25/03/2022 10:09

(@aytacarslan)
Gönderiler: 799
Noble Member
 

@omeryilmaz aklıma gelen user policy içerisinde proxy ayarlarını geçersiz bir ayar yapıp ayarlarıda yasaklarsanız kullanamaz diye düşündüm. fikir olarak olabilir ama uygulamada işe yararmı bilmiyorum

 
Gönderildi : 25/03/2022 10:19

ibrahim yildiz
(@ibrahimyildiz)
Gönderiler: 4596
Co-Helper
 

"Chromium browser can damarı .dll dosyasını engellersek bir çok tarayıcıyı da otomatikman engellemiş oluruz"
sadece buna değineyim böyle bir şey mümkün değil 🙂 browser kernel çok farklı bişey. Ipsec ile bunu yapamazsınız network sniff ederek bile genel geçer söz konusu değil.

'balık vermez, nasıl tutulabildiğine yönlendirir'
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız. Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz. Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 25/03/2022 11:38

Paylaş: