Pages

terça-feira, 31 de maio de 2011

Bloqueando um arquivo executável utilizando seu hash

Uma maneira muito fácil de bloquear arquivos executáveis no Controlador de Domínio utilizando Windows Server 2003 através do hash deste arquivo.
Olá amigos. Nesta matéria vamos configurar uma GPO para bloquear um arquivo executável por intermédio de seu hash. Para quem não sabe hash é um “código” gerado a partir de algumas variantes, como tamanho do arquivo juntamente com algumas informações internas dele. Com este método, o bloqueio feito por essa sequência de letras e caracteres, impede que esses arquivos sejam executados em estações de trabalho do Domínio. Vamos às configurações:
A ferramenta utilizada foi o GPMC (Console do gerenciamento do group policy). Se não tiver ele em mãos, pode ser baixado aqui. Entre no GPMC. A interface dele é ilustrada na figura abaixo. Expanda seu Domínio, clicando no sinal de “+” .
Após expandir o Domínio, clique com o botão direito do mouse em “Default Domain Policy” e clique em “Edit”:
Abrirá outra janela que é o “Editor de objeto de diretiva de grupo”. Nesta tela ilustrada abaixo, podemos notar que existe a possibilidade de editar a diretiva pelas configurações do computador ou pelas configurações do usuário.
Nosso objetivo é bloquear o executável por qualquer computador do Domínio. Em “Configuração do computador”, expanda “Configurações do Windows”, expanda “Configurações de segurança”, e com botão direito do mouse em “Diretivas de restrição de software”, escolha “Novas diretivasde restrição de software”. Veja abaixo como fica:
Agora expanda “Diretivas de restrição de software”, com botão direito do mouse clique em “Regras adicionais” e escolha a opção “Nova regra de hash…” ( falaremos das outras regras numa outra oportunidade…). Veja a figura abaixo para melhor acompanhamento:
Na tela seguinte, na Nova regra de hash, clique no botão “Procurar…”
E aponte para o arquivo executável…No nosso caso, o arquivo sol.exe (jogo paciência), localizado no desktop. Clique em abrir.
Perceba a sequência de caracteres em “Hash do arquivo”. Mais abaixo temos as informacoes do arquivo e mais abaixo ainda, o que iremos fazer com ele, neste caso, nao permitir sua execução.
Clicando em “OK”, voltamos para a tela anterior e perceba que a regra ja está na lista de regras adicionais.
O próximo passo é atualizar a GPO. Isto é feito com o comando “gpupdate” na linha de comando do DOS. Veja a seguir que as atualizações foram feitas.
O passo seguinte é fazer o logoff e na sequência, o logon do usuário.
Tentando executar o arquivo aparecerá a mensagem da restrição.
Tente renomear ou mudar o arquivo de lugar e verá que o bloqueio também é feito, pois as informações para a regra estão nas informações internas do arquivo.
É isso.  até a próxima!
[ ]‘s

0 comentários:

Postar um comentário