Запретить пользователям домена устанавливать программное обеспечение
Это мой последний шанс выяснить это. Если я вообще смогу это понять.
Есть ли способ запретить пользователю устанавливать программы на свой компьютер? Мы будем использовать Server 2016. Я пытался отказать им в правах локального администратора (что я успешно сделал). Но безрезультатно. Я также пытался заставить программы запускаться с повышенными привилегиями, еще раз, безрезультатно.
Как мне это сделать? Возможно ли это вообще?
Я буду очень признателен за любую помощь, которую могу получить.
Предполагая, что вы собираетесь использовать домен и объекты групповой политики, тогда рекомендуемый (хотя и PITA, но, поскольку вы начинаете с нуля, это будет намного проще выполнить), это Политики ограниченного использования программ. . Это также дает дополнительное преимущество - эффективное предотвращение вредоносных программ и программ-вымогателей.
https://technet.microsoft.com/en-us/library/hh831534 (v = ws.11) .aspx
Политики ограниченного использования программ (SRP) ) - это функция на основе групповой политики, которая определяет программы, запущенные на компьютерах в домене, и контролирует возможность запуска этих программ. Программного обеспечения политики ограничений являются частью безопасности и управления Microsoft стратегия помощи предприятиям в повышении надежности, целостность и управляемость своих компьютеров.
Вы также можете использовать политики ограниченного использования программ для создания высокоэффективных ограниченная конфигурация для компьютеров, в которой вы разрешаете только специально определенные приложения для запуска. Ограничение программного обеспечения политики интегрированы с Microsoft Active Directory и Group Политика. Вы также можете создавать политики ограниченного использования программ на автономные компьютеры. Политики ограниченного использования программ - это доверие политики, которые представляют собой правила, установленные администратором для ограничения сценарии и другой код, запуск которого не является полностью надежным.
В соответствии с предложением TheCleaner о политиках ограниченного использования программ, Microsoft с тех пор выпустила более «жесткую» версию под названием AppLocker.
https://technet.microsoft.com/en-us/ библиотека / ee424367 (v = ws.10).aspx
AppLocker - это новая функция в Windows Server 2008 R2 и Windows 7, которая расширяет возможности и функциональность политик ограниченного использования программ. AppLocker содержит новые возможности и расширения, которые позволяют создавать правила, разрешающие или запрещающие запуск приложений на основе уникальных идентификаторов файлов, и указывать, какие пользователи или группы могут запускать эти приложения. Используя AppLocker, вы можете: Управляйте следующими типами приложений: исполняемыми файлами (.exe и .com), скриптами (.js, .ps1, .vbs, .cmd и .bat), файлами установщика Windows (.msi и .msp) и файлами DLL. (.dll и .ocx).
Определите правила на основе атрибутов файла, полученных из цифровой подписи, включая издателя, название продукта, имя файла и версию файла. Например, вы можете создавать правила на основе атрибута издателя, который сохраняется при обновлении, или вы можете создавать правила для определенной версии файла.
Назначьте правило группе безопасности или отдельному пользователю.
Создать исключения из правил. Например, вы можете создать правило, которое позволяет запускать все процессы Windows, кроме редактора реестра (Regedit.exe).
Используйте режим только аудита, чтобы развернуть политику и понять ее влияние, прежде чем применять ее.
Импорт и экспорт правила. Импорт и экспорт влияют на всю политику. Например, если вы экспортируете политику, экспортируются все правила из всех коллекций правил, включая параметры принудительного применения для коллекций правил. При импорте политики все критерии в существующей политике перезаписываются.
Оптимизируйте создание правил AppLocker и управление ими с помощью командлетов Windows PowerShell.
AppLocker помогает снизить административные накладные расходы и помогает снизить затраты организации на управление вычислительными ресурсами за счет уменьшения количества обращений в службу поддержки, вызванных запуском пользователями неутвержденных приложений.
Обратите внимание, политики AppLocker - это первое, что обрабатывается на компьютере. boot, и если они настроены как таковые, способны блокировать даже необходимые системные dll / exe, что предотвратит фактический запуск Windows, поэтому убедитесь, что вы тщательно протестировали его.
Есть несколько способов сделайте это, но наиболее полно заблокируйте систему.
Если вы реализуете групповую политику на своем сервере, добавьте пользователей с ограниченными правами в группу, которая будет иметь ограничения. В редакторе GP есть практически все параметры, которые не позволяют пользователям выполнять определенные операции. В том числе с помощью USB-накопителя, вы можете отключить их, когда определенная учетная запись входит в систему. Излишне говорить, что вам потребуется некоторое время, чтобы найти, ограничить и протестировать все функции. Это утомительный, но предпочтительный метод достижения вашей цели.
Вы можете поискать в Интернете какие-нибудь скрипты для достижения этой цели или кого-нибудь, специализирующегося на GP. Я использовал его для ограничения доступа к браузеру, загрузки приложений с компакт-дисков, удаления приглашения dos с кнопки запуска и т. Д. Все способы обхода безопасности. ПК с разным оборудованием и ОС могут также требовать различных конфигураций в GP.
Удачи, обычно требуется организация с приличным ИТ-бюджетом, чтобы полностью воспользоваться этой мощной функцией.
Ненавижу это говорить, но в По моему опыту, один из эффективных и менее затратных подходов - уволить кого-нибудь в качестве примера. Чтобы быть эффективным, хотя он требует постоянного аудита установленного программного обеспечения, а на большом количестве ПК это может занять некоторое время.