Se utilizzate Software Restriction Policies per bloccare l'esecuzione di programmi non autorizzati allora dovreste assicurarvi che le regole di blocco includano anche l'utilità di Windows "RUNAS", di seguito trovate un brevissimo filmato che mostra come quest'ultima possa infatti essere utilizzata per aggirare i blocchi imposti da una regola di restrizione software.
per chiarezza la sintassi utilizzata nel video è la seguente:
runas /trustlevel:"Unrestricted" programma_bloccato.exe
Fortunatamente questo problema specifico non interessa Windows Vista e Windows 7 ma i difetti che affliggono SRP sono anche altri, se volete approfondire l'argomento vi invito a consultare i collegamenti che trovate alla fine di questo articolo.
Personalmente utilizzo molto il comando RUNAS quindi preferirei doverlo disabilitare sul minor numero di computer possibile, per questo motivo il mio consiglio è quello di suddividerli in base al sistema operativo (tramite gruppi di sicurezza oppure unità organizzative) in modo da poter creare una restrizione specifica soltanto per i client Windows XP.
Approfondimenti
- Quanto sono sicure le Group Policy? [1]
- bpmtk: replacing Gpdisable [2]
- bpmtk: how about SRP whitelists? [3]
- bpmtk: bypassing SRP with DLL Restrictions [4]
- Excel Exercises in Style [5]
- Bypassing SRP from PowerShell (patching the local process) [6]
- La sezione "iKat Tools" del sito Interactive Kiosk Attack Tool [7]