fbpx
Anasayfa » Forum

GPO neden browser y...
 

[Çözüldü] GPO neden browser yüklemelerini durdurmuyor?  

  RSS
Oğuz Kaan ÖNCÜLER
(@oguzkaanonculer)
Üye

Herkese Merhaba,

 

Bir süredir çözemediğim bir sorunum var. Şirketteki ağımda GPO aktif şekilde kullanıyorum. Standard kullanıcılar uygulama yükleyemiyorlar. Her yükleme öncesinden User Account Control (UAC) çıkıyor ve kullanıcı adı-şifre soruyor.

Tüm uygulamlarda bu kural geçerliyken, browser gibi bazı uygulamalarda garip bir şekilde kullanıcılar bunu aşabiliyor. Örneğin Chrome, Firefox veya Spotify indirim kurmak isteyen kullanıcı UAC'da kimlik bilgisi girmeden NO seçeneğine bastığında kurulum başlıyor ve sorunsuz tamamlanıyor.

Not: GPO tarafınada Computer Config> Administrative Tempaltes > Windows Components > Windows Installer > Turn off windows installer" seçenği "Enable:Always" olarak seçili olmasına rağmen durum aynı.

Winrar, Office365 vs gibi diğer uygulamalarda böyle bir sorunla karşılaşmıyorum. Bunlar "Turn off windows installer" aktifken hiç kuruluma başlamazken, bu seçenek kapalıyken de UAC tarafında NO seçeneğine bassanız bile kurulum başlamıyor.

 

Fikri ve çözüm önerisi olan varsa çok yardımcı olur. Teşekkürler.

Alıntı
Gönderildi : 17/10/2019 15:09
Konu Etiketleri
Gpo
Resul SOYDAŞ
(@resulsoydas)
Üye

Evet bazı uygulamalar Yönetici hakkı olmadan kurulum yapılabiliyor. Chrome yüklerken "Yönetici Hakları olmadan Kuruluma devam etmek istiyor musunuz?" diye soruyor. Ama sanıyorum yüklenen bu programları sadece yükleyen kullanıcı kullanabiliyor. Sistemi etkilemiyor. Buna yoğunlaşmak gerek sanki.

CevapAlıntı
Gönderildi : 17/10/2019 15:20
Oğuz Kaan ÖNCÜLER
(@oguzkaanonculer)
Üye

@resulsoydas

Merhaba,

Bu tip uygulamalar benim fark ettiğim sadece %localappdata% altına kuruluyor. C:\Program Files altında hiçbir dosya tutmuyor.

CevapAlıntı
Gönderildi : 17/10/2019 15:26
Resul SOYDAŞ
(@resulsoydas)
Üye

@oguzkaanonculer

Aynen öyle. Dedim ya sadece kuran kullanıcı programı kullanabiliyor. Sistemi etkilemiyor. Bahsettiğiniz klasör zaten kullanıcının profil klasörünün altında.

Belki şu yapılabilir. Kurulan programlar az çok bellidir. Bu dizinler otomatik oluşturulup kullanıcının bu klasörlere erişimi Security ayarları ile engellenebilir. Öte yandan konu ile ilgili arama yaptığımda hep "Admin hakkı olmadan nasıl kurulum yapılabilir" gibi sonuçlar çıktı.

CevapAlıntı
Gönderildi : 17/10/2019 15:33
ibrahim yildiz
(@ibrahimyildiz)
Üye

Bu tip uygulamalar user mode interactive yapıldığından UAC rights istemeden kuruluyor. Bazı uygulamalar bunu özellikle tercih ediyor. Bu çok tartışılan bir durum netde. Bunları kontrol altında tutmak isterseniz birçoğunun enterprise sürümleri mevcut sizin kurup .admx ler ile yönetmeniz lazım. 
https://community.spiceworks.com/how_to/57422-deploying-a-whitelist-software-restriction-policy-to-prevent-cryptolocker-and-more?source=spiceworksmobil e" target="true">Birde bu tip yöntemler var

Biliyorsunuz Win10 da store denetimi var bunun için. Bir de bu tip tam denetim isterseniz akabinde karşınıza kullanıcının portable uygulamalara başvurması çıkar.:) Bunu da engellemek için whitelist oldukça kabarıyor. Tam kontrol için 3rd app denetimi yapan uygulamalar gerekli.

 

CevapAlıntı
Gönderildi : 17/10/2019 15:57
Oğuz Kaan ÖNCÜLER
(@oguzkaanonculer)
Üye

@ibrahimyildiz @resulsoydas

Anladığım kadarıyla benim de takıldığım konu global bir sorunmuş. Sanırım kolay bir çözümü yok.

Sizlerin bahsettiği yoldan bir engelleme yapılabilir; Computer Config > Windows Settings > Security Settings > Software Restriction Policies altına yeni kurallar eklenebilir. Ancak bu da dosya adı değiştirildiğinde işe yaramıyor.

https://www.em-soft.si/myblog/elvis/?p=659

Örneğin Chrome.exe olarak bir kural oluşturduğumuzda, kullanıcı dosya adını Chrome2.exe veya Chrm.exe yaparsa bu güvenliği atlatabiliyor.
Sanırım bunların riskini kabul edip sırtımızı yaslamak en kolayı olacak 🙂

 

CevapAlıntı
Gönderildi : 17/10/2019 16:04
ibrahim yildiz
(@ibrahimyildiz)
Üye

Kolay çözümü başka şeylere para harcamayla... 🙂
Evet source, name bazlı kurallar rename ile devre dışı kalır. Bir de Hash bazlı kurallama vardır onu da araştırabilirsiniz. Ancak o da bazı .exe'lerde her sürümde, bazı uygulamalarda ana sürüm update'lerinde değişir. Birde ortam kısıtlıysa tüm exe'leri blacklist, sadece istenenleri whitelist yapma yöntemi var.:) Ben cryptolocker ilk dönemlerinde SEP dahili ve harici o tip şeyler uygulamıştım. 
Arkadaşların dediği gibi user interactive taraftaki bunları takmamak gerekiyor aslında risk var mı evet fakat başka şeylere de bağımlı kurumsal denetimi daha çok kanunlar ve eğitimlere bağlamak gerekli. Diğer kısmı ise firewall, antiv, webfilter, dlp vs ile doğru denetimler yapılırsa kullanıcı zaten oldukça sınırlanmış ve kurumsal güvenliğe uygunluk kazanılmış oluyor. Sonrasında bırakalım chrome kursun her kafasına eseni zaten yapamamış olacak.

CevapAlıntı
Gönderildi : 17/10/2019 16:21
Serkan Ateş
(@SerkanAtes)
Üye

Yeni nesil güvenlik duvarları üzerinden geçen trafiği detaylı bir şekilde inceleme ve denetleme yeteneklerine sahip. Ağ geçidiniz üzerinde oluşturacağınız kurallar ile trafiğinizi yönetebilirsiniz. Kullanıcı browser kurabilir ama kullanamaz !

NOT : Yazdıktan sonra fark ettim ki İbrahim bey zaten benzer şeylerden bahsetmiş.

CevapAlıntı
Gönderildi : 17/10/2019 17:04
Hakan Uzuner
(@hakanuzuner)
Üye Yönetici

Merhaba

GPO aslen bunun için yazılmış bir ürün değil ve bu nedenle bu tür yasaklamalarda ne yazık ki çok etkili değil. Eğer böyle bir iş ihtiyacı var ise farklı çözümleri bir arada kullanabilirsiniz.

Örneğin avecto gibi local adminliği alan ve sadece izin verdiğiniz programları çalıştıran yazılımlar var ama yönetimi zor ve pahalı.

Serkan bahsetmiş Firewall üzerinden uygulama bazlı yasak getirebilirsiniz.

Ama bu denli yani uygulama seviyesinde yasaklama ihtiyacı var ise genelde güvenlik ürünlerine yatırım şart.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 19/10/2019 11:46
Paylaş:

Lütfen Giriş yap yada Kayıt ol