Uzun zaman sonra bomba bir bilgi ile yeniden buradayız (:
Kurumların baş belası bu programı Firewall ile uğraşmadan (ki Firewall bile çaresiz kalıyor) programın can damarını nasıl kesebileceğimizi anlatacağım.
Öncelikle program hiçbir lokal admin yetkisine ihtiyaç duymuyor.GPO’dan Ara Sunucu Ayarları’nı değiştirmeyi engelleseniz bile program değiştirme yeteneğine sahip.
Wireshark ile yaptığım trafik analizinde sunucularını ve çıkış yaptığı portları yakalamayı başardım.Ancak; engellenen port ve sunucu yerine otomatik olarak alternatif sunucu ve port seçimi yapabildiğini gördüm. İlk deneme hüsranla sonuçlandı
Programı detaylı incelediğimde programı çalıştıran çekirdek dosyanın AppData\Local\Temp\ dizini içinde program açıldığında otomatik oluşan psiphon-tunnel-core.exe olduğunu gördüm (:
İşte tam olarak aradığım buydu. Geriye kalan bir Policy yazmak ve bunu ilgili OU’lara linklemekti.
Sırayla neler yapacağımızı anlatıyorum :
- Öncelikle Group Policy Management’a giriyoruz ve yeni bir kural oluştuyoruz.Örneğin Block_Psiphon_Policy.
- Hangi gruplara uygulamak istiyorsanız o gruba linkleyin.Örneğin ben Yönetim grubu hariç diğer tüm kullanıcı gruplarında program çalışmasın istedim.
- Oluşturduğumuz kurala sağ tıklayıp “Edit” diyoruz ve şu yolu takip ediyoruz.
- Computer Configuration->Windows Settings->Security Setting->Software Restriction Policies->Additional Rules.
- Sağ tıklayıp “New Path Rule” diyoruz.
- Path kısmına : %userprofile%\AppData\Local\Temp\psiphon-tunnel-core.exe yazıyoruz.
- Security Level : “Disallowed” seçiyoruz.
Hepsi bu ! Psiphon’un can damarını kesmiş olduk (:
Policy’nin çalışıp çalışmadığını kontrol etmek için:
gpupdate /force
ardından
gpresult /r
ile kuralı çekip çekmediğini kontrol edin.
Applied Group Policy Objects ----------------------------- Block_Psiphon_Policy
görüyorsanız; kural başarıyla uygulandı demektir.
Engellenmiyor denen programı inceleyip, engellemek toplamda 20 dakikamı aldı.
Ortada sorun varsa, mutlaka çözüm de vardır (: