Bloqueando um arquivo executável utilizando seu hash

Uma maneira muito fácil de bloquear arquivos executáveis no Controlador de Domínio utilizando Windows Server 2003 através do hash deste arquivo.

Olá amigos. Nesta matéria vamos configurar uma GPO para bloquear um arquivo executável por intermédio de seu hash. Para quem não sabe hash é um “código” gerado a partir de algumas variantes, como tamanho do arquivo juntamente com algumas informações internas dele. Com este método, o bloqueio feito por essa sequência de letras e caracteres, impede que esses arquivos sejam executados em estações de trabalho do Domínio. Vamos às configurações:

A ferramenta utilizada foi o GPMC (Console do gerenciamento do group policy). Se não tiver ele em mãos, pode ser baixado aqui. Entre no GPMC. A interface dele é ilustrada na figura abaixo. Expanda seu Domínio, clicando no sinal de “+” .

Após expandir o Domínio, clique com o botão direito do mouse em “Default Domain Policy” e clique em “Edit”:

Abrirá outra janela que é o “Editor de objeto de diretiva de grupo”. Nesta tela ilustrada abaixo, podemos notar que existe a possibilidade de editar a diretiva pelas configurações do computador ou pelas configurações do usuário.

Nosso objetivo é bloquear o executável por qualquer computador do Domínio. Em “Configuração do computador”, expanda “Configurações do Windows”, expanda “Configurações de segurança”, e com botão direito do mouse em “Diretivas de restrição de software”, escolha “Novas diretivasde restrição de software”. Veja abaixo como fica:

Agora expanda “Diretivas de restrição de software”, com botão direito do mouse clique em “Regras adicionais” e escolha a opção “Nova regra de hash…” ( falaremos das outras regras numa outra oportunidade…). Veja a figura abaixo para melhor acompanhamento:

Na tela seguinte, na Nova regra de hash, clique no botão “Procurar…”

E aponte para o arquivo executável…No nosso caso, o arquivo sol.exe (jogo paciência), localizado no desktop. Clique em abrir.

Perceba a sequência de caracteres em “Hash do arquivo”. Mais abaixo temos as informacoes do arquivo e mais abaixo ainda, o que iremos fazer com ele, neste caso, nao permitir sua execução.

Clicando em “OK”, voltamos para a tela anterior e perceba que a regra ja está na lista de regras adicionais.

O próximo passo é atualizar a GPO. Isto é feito com o comando “gpupdate” na linha de comando do DOS. Veja a seguir que as atualizações foram feitas.

O passo seguinte é fazer o logoff e na sequência, o logon do usuário.

Tentando executar o arquivo aparecerá a mensagem da restrição.

Tente renomear ou mudar o arquivo de lugar e verá que o bloqueio também é feito, pois as informações para a regra estão nas informações internas do arquivo.

 

Artigo (Fábio Augusto) – http://fabiozibiani.wordpress.com/author/fabiozibiani/

 

Sobre Ulisses Poveda do Nascimento
Sou um rapaz comum com potencial, dedicado, atencioso e acima de tudo com respeito ao próximo. O Resto são qualidades que aprendi com a vida, com esforço e ainda estou em pleno desenvolvimento profissional e pessoal. ** Nunca paramos de Estudar e sempre em busca do Crescimento Pessoal e Profissional. **

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: