GPO – Bloqueando um arquivo executável utilizando seu hash

 

Publicado em:
04/01/2011
 
 
 
Visão Geral: 
 
 

Bloqueando um arquivo executável utilizando seu hash

Uma maneira muito fácil de bloquear arquivos executáveis no Controlador de Domínio utilizando Windows Server 2003 através do hash deste arquivo.

Olá amigos. Nesta matéria vamos configurar uma GPO para bloquear um arquivo executável por intermédio de seu hash. Para quem não sabe hash é um “código” gerado a partir de algumas variantes, como tamanho do arquivo juntamente com algumas informações internas dele. Com este método, o bloqueio feito por essa sequência de letras e caracteres, impede que esses arquivos sejam executados em estações de trabalho do Domínio. Vamos às configurações:

A ferramenta utilizada foi o GPMC (Console do gerenciamento do group policy). Se não tiver ele em mãos, pode ser baixado aqui. Entre no GPMC. A interface dele é ilustrada na figura abaixo. Expanda seu Domínio, clicando no sinal de “+” .

Após expandir o Domínio, clique com o botão direito do mouse em “Default Domain Policy” e clique em “Edit”:

Abrirá outra janela que é o “Editor de objeto de diretiva de grupo”. Nesta tela ilustrada abaixo, podemos notar que existe a possibilidade de editar a diretiva pelas configurações do computador ou pelas configurações do usuário.

Nosso objetivo é bloquear o executável por qualquer computador do Domínio. Em “Configuração do computador”, expanda “Configurações do Windows”, expanda “Configurações de segurança”, e com botão direito do mouse em “Diretivas de restrição de software”, escolha “Novas diretivasde restrição de software”. Veja abaixo como fica:

Agora expanda “Diretivas de restrição de software”, com botão direito do mouse clique em “Regras adicionais” e escolha a opção “Nova regra de hash…” ( falaremos das outras regras numa outra oportunidade…). Veja a figura abaixo para melhor acompanhamento:

Na tela seguinte, na Nova regra de hash, clique no botão “Procurar…”

E aponte para o arquivo executável…No nosso caso, o arquivo sol.exe (jogo paciência), localizado no desktop. Clique em abrir.

Perceba a sequência de caracteres em “Hash do arquivo”. Mais abaixo temos as informacoes do arquivo e mais abaixo ainda, o que iremos fazer com ele, neste caso, nao permitir sua execução.

Clicando em “OK”, voltamos para a tela anterior e perceba que a regra ja está na lista de regras adicionais.

O próximo passo é atualizar a GPO. Isto é feito com o comando “gpupdate” na linha de comando do DOS. Veja a seguir que as atualizações foram feitas.

O passo seguinte é fazer o logoff e na sequência, o logon do usuário.

Tentando executar o arquivo aparecerá a mensagem da restrição.

Tente renomear ou mudar o arquivo de lugar e verá que o bloqueio também é feito, pois as informações para a regra estão nas informações internas do arquivo.

É isso.  até a próxima!

[ ]’s

4 respostas em “GPO – Bloqueando um arquivo executável utilizando seu hash

  1. Muito bom o artigo, tenho apenas uma dúvida, eu consigo usar essa finalidade de bloquear algum executável somente para alguns usuários? Muito obrigado! Abraços

    • Fala Eduardo,

      Pode sim, é possivel, repare na segunda imagem do tutorial tem um campo que possui ” usuarios autenticados”, é só você remover aquele grupo deste local, criar um grupo com os respectivos usuarios que quer bloquear e inserir eles neste local,.funciona tranquilo.
      Espero ter ajudado
      Abraço

  2. Olá Fábio, tenho uma pequena rede em Windows Server 2008, e gostaria de saber se é possível fazer um bloqueio para as estações, a fim de evitar o usuário fazer download e executar arquivos executáveis oriundos da internet? Por exemplo, em e-mails, sites e outros?
    Atenciosamente,
    Marcelo.

    • Marcelo,

      A ideia da GPO é bloquear dispositivos, remover menus ou restrições em conjunto com o sistema operacional ( painel de controle, registro,opções de sistema e etc.)

      Agora em relação a download e internet, site, e-mail, seria necessario um software de terceiro para fazer isto (Proxy, firewall, Squid, Winconnection ou o Isa server (Forefront TMG) da microsoft, que tenha controle do que entra e sai da internet, agora relacionado a executar o arquivo voce controla isto nas permissões do usuário com poder de um administrador para que o usuario não instale nada sem a devida permissão.

      Espero ter ajudado.
      Att.

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s