Дополнения к заметке (Блокировка TeamViewer через GPO
) по блокировке использования программы удаленного администрирования/помощи на рабочих местах именуемой, как TeamViewer
. Дело в том, что если используем создание зоны teamviewer.com
, то указание на рабочих местах в качестве альтернативного DNS
использовать к примеру 8.8.8.8
приводит к тому, что если на работе используется прокси-сервер с установленными агентами на ПК — пропадает доступ к ресурсам компании и доступа к интернет. Поэтому создание зоны подходит если безоговорочно нужно запретить TeamViewer
.
Но я прорабатываю различные способ в дополнении к выше указанному и описанным ранее в заметке.
У меня есть в наличии дистрибутивы TeamViewer
которые я расположил в каталоге \\srv-dc1\PO\
TeamViewerQS_Plast.exe
TeamViewerPortable.exe
TeamViewer 9.0.29947.0
TeamViewer_Setup.exe
А когда с официального сайта скачиваем TeamViewer
он именуется, как TeamViewer_Setup.exe
и TeamViewerQS.exe
Шаг №1: Блокировка запуска TeamViewer
через Restricted Policy:
Если рассматривать через GPO (Name: GPO_RestrictedProgram)
, то:
Location: Office (Path: polygon.com\office)
Security Filtering: GRP_RestrictedPO
User Configuration — Policies — Windows Settings — Security Settings
— и через правый клик на Software Restriction Policies — New Software Restriction Policies
-
Security Levels: Disallow
(т. е. Софт не будет запускаться, т. к. он запрещен)Additional Rules
— добавляем или разрешаем запуска приложений или из каталога приложений через правый клик наAdditional Rules
— к примеру выбираюNew Hash Rule… Browse
указываем путь доexe
файла который устанавливаем после скачивания с официального сайта. Когдаexe
определен по хешу, то после устанавливаем уровень безопасностиDisallowed
. К примеру:
Итого, если пользователь запустит версию TeamViewer Quick Support
версии 9.0.29947.0
то она не запустится сообщение пользователю:
Это приложение заблокировано вашим системным администратором. Для получения дополнительных сведений обратитесь к своему системному администратору.
А вот для другой версии TeamViewer.exe
и также по хешу.
Т.е. нужно установить TeamViewer
к себе на компьютере где создаем/обслуживаем GPO
, к примеру с рабочей станции при установленном AdminPack
и указываем в политике путь до exe
файла в директории TeamViewer
тем самым добавляем блокировку версий по хешу.
Важно: для каждой новой версии TeamViewer
будет изменяться хеш.
Шаг №2:
Но можно пойти и самым простым путем, добавив в политику просто блокировать запуск exe
файла определенного именования, т. е. К примеру в этой же GPO (Name: GPO_RestrictedProgram)
User Configuration — Policies — Administrative Templates — System -
Don't run specified Windows applications: Enabled
List of dissallowed applications — Show
и просто указываем именование exe
файлов. Пусть это будет как бы подставой злоумышленнику или пользователю который решил скачать и запустить на установку ПО (правда если он переименует exe
файл запуск/инсталляция без шага ограничения запуска по хешу или пути сработает:
TeamViewer.exe
TeamViewer_Desktop.exe
TeamViewerPortable.exe
TeamViewerQS_Plast.exe
TeamViewer_Setup.exe
Это самый так сказать примитив. Почему я так привязался к этому TeamViewer
просто все это выше и ранее работает, но у нас есть программисты 1C
на которые по заданию от руководителя отдела IT
не дано согласие применить политику блокировки ПО которое не нужно им для работы. Да и тем более у них права локального администратора, а нет, создана отдельная административная учетная запись которую они используют когда нужно.
Поэтому я и ищу способы, как заблокировать. Нужно в сторону сети смотреть, дабы там уже им нет контроля.
Вот на этом пока всё, с уважением автор блога Олло Александр aka ekzorchik.