Restricting Group Policy with WMI Filtering

PowerShell: системное администрирование и программирование

В этом руководстве я постараюсь рассказать вам о типичных причинах, по которым объект групповой политики (GPO) не может быть применён к организационном подразделении (OU), конкретному компьютеру или пользователю домена. Думаю, эта статья будет полезна как новичкам, так и IT-специалистам для понимания работы и архитектуры GPO. Прежде всего, я расскажу о возможных проблемах применения GPO, связанных с настройками политики на уровне домена, вместо устранения проблем с GPO на клиентах. Практически все параметры, описанные в статье, настраиваются с помощью Консоли управления групповыми политиками (GPMC.msc).

Если параметр политики не применяется к клиенту, проверьте область действия GPO. Если вы настраиваете параметр в разделе Computer Configuration («Конфигурация компьютера»), ваша групповая политика должна быть сопряжена с организационным подразделением (OU) объектов компьютеров. То же самое верно, если вы установите свои параметры в разделе User configuration («Конфигурации пользователя»).

Также убедитесь, что объект, к которому вы пытаетесь применить свой GPO, находится в правильном контейнере AD (OU) компьютеров или пользователей. Если у вас много объектов и вы не можете вспомнить, в каком организационном подразделении находится нужный вам пользователь или компьютер, то вы можете выполнить поиск по объектам в своём домене. После выполнения поиска, чтобы узнать, в какое организационное подразделение (OU) помещён найденный объект, дважды кликните на него, перейдите на вкладку Object («Объект»), где в поле «Каноническое имя объекта» вы увидите полный путь, включающий имя организационного подразделения.

Это означает, что целевой объект должен находиться в подразделении, с которым связана политика (или во вложенном контейнере AD).

Create a New WMI Filter and Link it to a GPO

To create a new WMI filter, open the Group Policy Management console (gpmc.msc and go to Forest -> Domains -> woshub.com -> WMI Filters. This section contains all WMI filters in the AD domain. Create a new WMI filter (New).

create wmi filter in group polici managment console

Type the filter name and its description (optional). To add a WMI query code to the filter, click the Add button, specify the name of the WMI namespace (by default, rootCIMv2) and specify the WMI code.

The following WMI query format is used:

In this example, I want to create a WMI filter that allows to apply GPO only to computers running Windows 10. The WMI query may look like this:

Select * from Win32_OperatingSystem where Version like «10.%» and ProductType=»1″

wmi code query in gpo

The created WMI filters are stored in the msWMI-Som class objects of the Active Directory domain in the section DC=…, CN=System, CN=WMIPolicy, CN=SOM, you can find and edit them using the adsiedit.msc.

msWMI-Som active directory object

After you have created a WMI filter, you can link it to a specific GPO. Find the desired policy in the GPMC console and on the Scope tab, in the WMI Filtering section drop-down list, select your WMI filter. In this example, I want to apply the printer assignment policy only to computers running Windows 10.

link a wmi filter to a gpo

Wait for this policy to apply to clients, or update it manually with the command gpupdate /force . When analyzing the applied policies on the client, use the gpresult /r command. If the policy affects the client, but doesn’t apply due to the WMI filter restrictions, such a policy will have the status Filtering: Denied (WMI Filter) in the gpresult report.

gpresult: Filtering Denied WMI Filter

Анализ применения групповых политик

При таком количестве способов фильтрации GPO необходимо иметь возможность диагностики и анализа их применения. Проще всего проверить действие групповых политик на компьютере можно с помощью утилиты командной строки gpresult.

Для примера зайдем на компьютер wks2, на котором установлена ОС Windows 7, и проверим, сработал ли WMI фильтр. Для этого открываем консоль cmd с правами администратора и выполняем команду gpresult /r, которая выводит суммарную информацию о групповых политиках, примененных к пользователю и компьютеру.

Примечание. Утилита gpresult имеет множество настроек, посмотреть которые можно командой gpresult /?.

Как видно из полученных данных, к компьютеру не применилась политика GPO3, поскольку она была отфильтрована с помощью фильтра WMI.

получение списка политик на компьютере с помощью gpresult

Также проверить действие GPO можно из оснастки «Group Policy Management», с помощью специального мастера. Для запуска мастера кликаем правой клавишей мыши на разделе «Group Policy Results» и в открывшемся меню выбираем пункт «Group Policy Results Wizard».

запуск Group Policy Results Wizard

Указываем имя компьютера, для которого будет составлен отчет. Если требуется просмотреть только пользовательские настройки групповой политики, то настройки для компьютера можно не собирать. Для этого необходимо поставить галочку снизу (display user policy settings only).

выбор целевого компьютера

Затем выбираем имя пользователя, для которого будут собираться данные, либо можно указать не включать в отчет настройки групповой политики для пользователя (display computer policy settings only).

выбор пользователя

Проверяем выбранные настройки, жмем «Next» и ждем, пока собираются данные и генерируется отчет.

суммарная информация

Отчет содержит исчерпывающие данные об объектах групповых политик, примененных (или не примененных) к пользователю и компьютеру, а также об используемых фильтрах.

Для примера составим отчеты для двух разных пользователей и сравним их. Первым откроем отчет для пользователя Kirill и перейдем в раздел настроек пользователя. Как видите, к этому пользователю не применилась политика GPO2, поскольку у него нет прав на ее применение (Reason Denied — Inaсcessible).

отчет для пользователя Kirill

А теперь откроем отчет для пользователя Oleg. Этот пользователь является членом группы Accounting, поэтому к нему политика была успешно применена. Это означает, что фильтр безопасности успешно отработал.

отчет для пользователя oleg

На этом, пожалуй, я закончу ″увлекательное″ повествование о применении групповых политик. Надеюсь эта информация будет полезной и поможет вам в нелегком деле системного администрирования

В чем преимущество WMI перед фильтрацией по группе

Наверняка у вас может возникнуть вопрос, почему нельзя использовать в фильтре безопасности групповой политики группу безопасности и уже в нее добавлять нужные нам объекты. Все верно можно, но тогда у вас появляется дополнительная работа по постоянному добавлению новых устройств в данную группу безопасности. А вот если вы будите фильтровать группу «Прошедшие проверку (Authenticated Users)» через WMI, то вся ручная работа просто испаряется, так как все компьютеры по умолчанию входят в группу «Прошедшие проверку».

Именно здесь мы можем использовать магию фильтров WMI, чтобы автоматизировать задачу определения типа рабочей станции на основе свойств WMI. Фильтровать оборудование можно по многим критериям:

  • Имен устройства- применимо если у вас есть стандарт именования устройств
  • Форм фактор оперативной памяти
  • Наличие батареи на устройстве

Меня привлекают два последних критерия, так как DNS-имя компьютера могут задать и неправильно, нельзя исключать человеческий фактор, а вот критерии оборудования уже сложно обмануть. Давайте создадим наш с вами WMI фильтр. Для этого откройте оснастку gpmc.msc (Управление групповой политикой). Перейдите в раздел «Фильтры WMI», щелкните по нему правым кликом и выберите пункт «Создать».

Создание нового WMI фильтра в Windows Server

У вас откроется окно «Новый фильтр WMI», задаем ему имя и описание. После чего нам нужно добавить условия запроса.

Именование нового WMI фильтра в GPO

Первым запросом мы будем искать все устройства на которых ФормФактор памяти равен 12.

WMI фильтр для ноутбуков-03

Что такое FormFactor оперативной памяти вы можете почитать по ссылке (https://ru.wikipedia.org/wiki/DIMM). Напоминаю, что в ноутбуках установлена ОЗУ SO-DIMM с формфактором 12. Посмотреть формфактор можно из командной строки:

FormFactor памяти у ноутбука

А вот запрос для выборки, только по ноутбукам:

Цифра 12 будет означать, что перед вами тип памяти SODIM, если 8, то обычная DIMM на обычном стационарном компьютере.

Определение формактора ОЗУ на персональном компьютере

Сохраняем наш запрос. Нажимаем еще раз кнопку «Добавить» и добавляем еще вот такой запрос, который будет проверять наличие на устройстве батареи:

WMI фильтр для ноутбуков с батареей

В приведенном выше запросе мы выбираем BatteryStatus из Win32_Battery. Если BatteryStatus не равен (<>) 0, запрос вернет значение TRUE. В итоге у меня два запроса WMI идут в фильтре, друг за другом.

WMI фильтр для ноутбуков-05

Выберите объект групповой политики, для которого предназначен этот фильтр WMI.

WMI фильтр для ноутбуков-06

Для этого в самом низу в пункте «Объект GPO связан со следующим фильтром WMI» и из всплывающего списка выберите созданный ранее фильтр.

Связывание WMI фильтра с GPO политикой

На вопрос про изменение фильтра WMI нажмите «Да».

WMI фильтр для ноутбуков-08

В итоге мы применили к групповой политике наш фильтр с определенными параметрами. Осталось его протестировать, как проверять применение WMI фильтра я рассказывал, советую ознакомиться, там было несколько методов.

WMI фильтр для ноутбуков-09

Но бегло можно на ноутбуке запустить утилиту Gpresult /SCOPE COMPUTER /Z, и вы увидите, что либо был отказ применения политики из-за WMI фильтра или нет.

Не примененная GPO из-за WMI фильтра

Хочу отметить, что возможности запросов с помощью которых вы можете проводить фильтрацию устройств, очень разнообразен и богат, и благодаря им вы решите много задач. На этом у меня все, с вами был Иван Семин, автор и создатель IT блога Pyatilistnik.org.

Примеры WMI фильтров

только Windows 7 x64:

select * from Win32_OperatingSystem WHERE Version like «6.1%» AND ProductType=»1″ AND OSArchitecture = «64-bit»

только Windows 7 x32:

select * from Win32_OperatingSystem WHERE Version like «6.1%» AND ProductType=»1″ AND NOT OSArchitecture = «64-bit»

на все с ОЗУ больше или равно 1Гб:

или установлен IE 8 и выше:

SELECT path,filename,extension,version FROM CIM_DataFile WHERE path=»\Program Files\Internet Explorer\» AND filename=»iexplore» AND extension=»exe» AND version>=»8.0″

em1ly shares a report from Motherboard: Facebook is facing what it describes internally as a «tsunami» of privacy regulations all over the world, which will force the company to dramatically change how it deals with users’ personal data. And the «fundamental» problem, the company admits, is that Facebook has no idea where all of its […]

vm shares a report from Space.com: SpaceX is among companies that might replace services of NASA’s aging space telecoms constellation that has kept the International Space Station connected to Earth for decades. For years, NASA’s Tracking and Data Relay Satellite (TDRS) constellation has served as the main link between the International Space Stati […]

An anonymous reader quotes a report from Ars Technica: Following in the footsteps of iOS 14, Google is rolling out an app privacy section to the Play Store on Tuesday. When you look up an app on the Play Store, alongside sections like «About this app» and «ratings and reviews,» there will be a new section called «Data privacy & s […]

A record-breaking heat wave in India exposing hundreds of millions to dangerous temperatures is damaging the country’s wheat harvest, which experts say could hit countries seeking to make up imports of the food staple from conflict-riven Ukraine. NBC News reports: With some states in India’s breadbasket northern and central regions seeing forecasts […]

After Dell’s new Compression Attached Memory Module (CAMM) leaked out last week, several tech sites led many to believe that the company was taking a path to «lock out users upgrades.» However, according to PCWorld citing both the person who designed and patented the CAMM standard, as well as the product manager of the first Dell Precision lap […]

Europe’s Digital Markets Act — near-finalized legislation to tame the internet’s gatekeepers — contains language squarely aimed at ending Apple’s iOS browser restrictions. The Register reports: The Register has received a copy of unpublished changes in the proposed act, and among the various adjustments to the draft agreement is the explicit […]

An independent monitor of Britain’s use of surveillance cameras has asked for the government to clarify its positions on buying equipment from a Chinese technology company accused of involvement in human rights abuses. From a report: Fraser Sampson, the biometrics and surveillance camera commissioner, said he raised concerns with senior Cabinet official […]

Maine is closer to launching its space program after Gov. Janet Mills signed a bill to create the Maine Space Port, a law aimed at growing the state’s aerospace industry. From a report: Mills signed the bill into law on April 19, creating a public-private partnership that would build launch sites, data networks and operations to send satellites into spa […]

An anonymous reader quotes a report from Phys.Org: Don’t be fooled by the name. While 3D printers do print tangible objects (and quite well), how they do the job doesn’t actually happen in 3D, but rather in regular old 2D. Working to change that is a group of former and current researchers from the Rowland Institute at Harvard. [. ] The researcher […]

The common perception that nearly everyone in America seemed to have acquired the Omicron variant last winter may not have been far from the truth. By February 2022, nearly 60 percent of the population had been infected with the coronavirus, almost double the proportion seen in December 2021, according to data released on Tuesday by the Centers for Disease C […]

Для чего используются WMI фильтры GPO?

Обычно технология фильтрации групповых политик с помощью WMI (Windows Management Instrumentation) используется в ситуациях, когда объекты домена (пользователи или компьютеры) находятся в плоской структуре AD, а не в выделенном OU, либо если необходимо применить политики, в зависимости от версии ОС, ее сетевых настроек, наличию определенного установленного ПО или любом другом критерии, который можно выбрать с помощью WMI. При обработке такой групповой политики клиентом, Windows будет проверять свое состояние на соответствие указанному WMI запросу на языке WQL (WMI Query Language), и, если условия фильтра выполняются, такая GPO будет применена к компьютеру.

WMI фильтры групповых политик впервые появились еще в Windows XP, и доступны вплоть до последних версий Windows (Windows Server 2019, 2016, Windows 10, 8.1).

Заключение

Как мы увидели, WMI предоставляет администраторам мощный инструмент для мониторинга удаленных процессов и компьютеров и может использоваться при разработке соглашений о мониторинге конечных пользователей (EUMA) для автоматического оповещения о подозрительной активности. Это делает его отличным инструментом для обнаружения и устранения внутренних угроз, предотвращения попыток обойти политики безопасности, а также наблюдения за тем, как используются ваши системы.

Если вы хотите узнать больше о том, как использовать WMI для наблюдения за инсайдерской деятельностью, вы можете скачать наше подробное руководство здесь.

Оцените статью
Fobosworld.ru
Добавить комментарий

Adblock
detector