Блокировка TeamViewer через GPO дополнения

Дополнения к заметке (Блокировка TeamViewer через GPO) по блокировке использования программы удаленного администрирования/помощи на рабочих местах именуемой, как TeamViewer. Дело в том, что если используем создание зоны teamviewer.com, то указание на рабочих местах в качестве альтернативного DNS использовать к примеру 8.8.8.8 приводит к тому, что если на работе используется прокси-сервер с установленными агентами на ПК — пропадает доступ к ресурсам компании и доступа к интернет. Поэтому создание зоны подходит если безоговорочно нужно запретить TeamViewer.

Но я прорабатываю различные способ в дополнении к выше указанному и описанным ранее в заметке.

У меня есть в наличии дистрибутивы TeamViewer которые я расположил в каталоге \\srv-dc1\PO\

• TeamViewerQS_Plast.exe
• TeamViewerPortable.exe
• TeamViewer 9.0.29947.0
• TeamViewer_Setup.exe

А когда с официального сайта скачиваем TeamViewer он именуется, как TeamViewer_Setup.exe и TeamViewerQS.exe

Шаг №1: Блокировка запуска TeamViewer через Restricted Policy:

Если рассматривать через GPO (Name: GPO_RestrictedProgram), то:

• Location: Office (Path: polygon.com\office)
• Security Filtering: GRP_RestrictedPO

User Configuration — Policies — Windows Settings — Security Settings — и через правый клик на Software Restriction Policies — New Software Restriction Policies

• • Security Levels: Disallow (т. е. Софт не будет запускаться, т. к. он запрещен)
  • Additional Rules — добавляем или разрешаем запуска приложений или из каталога приложений через правый клик на Additional Rules — к примеру выбираю New Hash Rule… Browse указываем путь до exe файла который устанавливаем после скачивания с официального сайта. Когда exe определен по хешу, то после устанавливаем уровень безопасности Disallowed. К примеру:

Итого, если пользователь запустит версию TeamViewer Quick Support версии 9.0.29947.0 то она не запустится сообщение пользователю:

Это приложение заблокировано вашим системным администратором. Для получения дополнительных сведений обратитесь к своему системному администратору.

А вот для другой версии TeamViewer.exe и также по хешу.

Т.е. нужно установить TeamViewer к себе на компьютере где создаем/обслуживаем GPO, к примеру с рабочей станции при установленном AdminPack и указываем в политике путь до exe файла в директории TeamViewer тем самым добавляем блокировку версий по хешу.

Важно: для каждой новой версии TeamViewer будет изменяться хеш.

Шаг №2: Но можно пойти и самым простым путем, добавив в политику просто блокировать запуск exe файла определенного именования, т. е. К примеру в этой же GPO (Name: GPO_RestrictedProgram)

User Configuration — Policies — Administrative Templates — System -

• Don't run specified Windows applications: Enabled

List of dissallowed applications — Show и просто указываем именование exe файлов. Пусть это будет как бы подставой злоумышленнику или пользователю который решил скачать и запустить на установку ПО (правда если он переименует exe файл запуск/инсталляция без шага ограничения запуска по хешу или пути сработает:

• TeamViewer.exe
• TeamViewer_Desktop.exe
• TeamViewerPortable.exe
• TeamViewerQS_Plast.exe
• TeamViewer_Setup.exe

Это самый так сказать примитив. Почему я так привязался к этому TeamViewer просто все это выше и ранее работает, но у нас есть программисты 1C на которые по заданию от руководителя отдела IT не дано согласие применить политику блокировки ПО которое не нужно им для работы. Да и тем более у них права локального администратора, а нет, создана отдельная административная учетная запись которую они используют когда нужно.

Поэтому я и ищу способы, как заблокировать. Нужно в сторону сети смотреть, дабы там уже им нет контроля.

Вот на этом пока всё, с уважением автор блога Олло Александр aka ekzorchik.