Bloquear Ultrasurf usando uma GPO
Nessa GPO vamos bloquear uma peste que se chama Ultrasurf. Essa ferramenta causa caos nas redes e quebra todas as regras que a equipe de segurança põe para bloquear sites indevidos. Essa GPO usa a assinatura de arquivos MD5 Checksum Hash.
Primeiro iremos criar uma GPO usando Group Policy Management – (linha de comando gpmc.msc)
Agora escolhe um nome adequado (fácil de lembrar) para a sua GPO
Clique na GPO, mouse direito e escolhe editar
Segue o caminho como na imagem
Computer Configuration, Windows Settings, Security Settings, Software Restriction Policies
Só clicando na opção nova policy de restrição (New Software Restriction Policy) aparece o seguinte
Vamos agora criar a nossa policy de restrição de software
Na janela a seguir vamos clicar em Browse para procurar o programa que iremos bloquear, isso pode ser um programa que está em uma pasta local ou na rede. Aqui estou usando uma pasta local, más caso esteja usando uma pasta da rede certifique que você tem permissão de leitura na pasta remota.
Bom vamos achar o nosso UltraSurf famoso pelo nome Unúmeronúmeronúmero(os mais recentes) , exemplo U997.exe
* Na hora da criação desta página, a versão mais atual é o U999.exe.
Se você não tem uma copia para fazer um teste, pesquise no GOOGLE : Ultrasurf
Quando escolhemos o programa, o windows mostra o HASH MD5 do programa. O hash não muda quando alteramos o nome ou o local do arquivo(local ou rede), ou a extensão. O único trabalho que vai dar é estar sempre atualizado com as novas versões publicadas pelo site, e também precisamos de achar todas as versões antigas ( varre as pastas compartilhadas no seu servidor de arquivos e vê as surpresas).
A nível de segurança é Disallowed (não permitido) por default e deve ser deixado assim. Podemos digitar uma descrição para facilitar o nosso trabalho no futuro. Clique OK e pronto.
Após aplicar para umas versões, a sua página de hashes vai aparecer como na imagem (Windows 2008 R2) em pouco tempo.
Agora aplique a GPO nos seus OUs ou no seu domínio ou site (bom fazer uns testes antes de aplicar em massa (domínio ou site)).
Vamos testar a nossa regra, e sai esses erro, dependendo no Sistema Operacional
ou
Agora mais um teste, vou alterar o nome do arquivo. vê o erro
Para mais informações sobre a tecnologia para quem gosta de profundar no site da Internet Engineering Taskforce
Para verificar o hash de mais de um arquivo, uso uma ferramenta simples e fácil de usar chamada MD5 Checksum Tool pelo Ferruh Mavituna.
——————–
última atualização 23/11/2011
Para burlar essa proteção basta mudar o MD5 do executável! =P
Esse método é FAIL!
Enjoy! [CR@K3R]
Primeiro quantos usuários do Ultrasurf sabem fazer isso. Segundo o usuário que já tem um conhecimento bom com hashes e segurança não usa o Utrasurf. Duvido que um cr@ck3r vai usar o Ultrasurf para burlar o proxy já que pode cr@que@ar uns sistemas mais avançadas de privacidade. Esse método não é fail. Se parar 95% da população, então é SUCCESS. Nada pode parar 100%.
Chears.
Concordo plenamente, sou gerente de TI e uso essa GPO a um tempo, matou todos os usuários metidos a espertos. Muito bom você compartilhar essa solução. Parabens.
Meus parabéns Igor, essa é a minha intenção desses tutoriais, ajudar os outros compartilhando meu conhecimento.
Então… Segui os passos que você indicou aqui no seu blog, no entanto não deu certo. Na janela NEW HASH RULES não aparece o campo do HASH do programa (mesmo quando eu aponto o EXE do UltraSurf)… O que pode estar acontecendo? Seria pq ainda uso Windows 2008 R1??
Olá Marcos, tira uma captura de tela (print screen) para eu saber em qual janela voce está.
Abraço.
Nassim, Coloquei a imagem no meu Flicker… http://flic.kr/p/aD1p35
Esquisito hem, tenta com um programa tipo o Word ou Excel só para testar, outra coisa; verifique que você está com o executável do Ultrasurf e não um atalho. (editar, o windows gera um Hash até para atalhos).
abraço.
Tentei apontando para o IE (C:\Program Files (x86)\Internet Explorer\iexplore.exe), e só obtive a informação sobre o programa. O campo do HASH continua não aparecendo. Estou fazendo uma máquina virtual do Windows 2008 Server R2 para ver se de repente é porque meu servidor ainda é R1… E obrigado pela ajuda.
Se você tivesse um outro servidor com esse sistema operacional que não seja um AD voce pode testar com a diretiva local usando secpol.msc ou gpedit.msc só para tirar essa dúvida.
Não deu certo… Eu creio que seja pelo meu servidor ser ainda R1… O jeito vai ser refazer o servidor com R2…
Estranho mesmo, fiz o teste no meu AD 2008 R2 e postei uma captura de tela no post, será que voce não está com uma versão RC (release candidate)?, voce póde postar nos fóruns da Technet, e o pessoal pode ter dar mais ideias.
Abraço.
Pingback: Como Fazer para Bloquear o UltraSurf, Solução Definitiva [iptables + fail2ban] | DotSharp