問題:
私たちのサイトには、Windows 2000 と Windows XP のマシンが混在しています。これらのマシンには現在、管理者権限を持つユーザー アカウントがあり、ライセンス付き/ライセンスなしのソフトウェアをインストールできます。このようなアクティビティを制限して、
- ユーザーは事前に承認されたソフトウェアのリストをインストール/アンインストールできます。
- ユーザーには、他のすべてのシステム リソースへの無制限のアクセス権が付与されます (ソフトウェアのインストールを除くすべての管理者権限)。
MS またはサードパーティのツールを使用してこれを実現する方法を探しています。すべての提案を歓迎します。
編集:これらの課題を考慮すると、どのような推奨事項があるでしょうか?
答え1
本当にこれを実行する必要がある場合は (...)、Windows のソフトウェア制限ポリシーについて調べる必要があります。http://technet.microsoft.com/en-us/library/bb457006.aspx
[暴言開始]
しかし、本当のことを言うと、これは非常に手間のかかる作業のように見えます。私の意見では、ユーザーが最終的に(あなたが指摘したように)回避するのは非常に簡単だと思われます。無制限アクセス。
[暴言終了]
とにかく、そのリンクからの情報は次のとおりです。
ソフトウェア制限ポリシーは、企業のコンピュータの信頼性、整合性、管理性の向上を支援する Microsoft のセキュリティおよび管理戦略の一部です。ソフトウェア制限ポリシーは、Windows XP および Windows Server 2003 の多くの新しい管理機能の 1 つです。
この記事では、ソフトウェア制限ポリシーをどのように使用して次のことができるかを詳しく説明します。
- ウイルスと戦う
- ダウンロードできるActiveXコントロールを規制する
- デジタル署名されたスクリプトのみを実行する
- システムコンピュータに承認されたソフトウェアのみがインストールされるように強制する
- マシンをロックダウンする
答え2
ユーザーは事前に承認されたソフトウェアのリストをインストール/アンインストールできます。
Windows にはグループ ポリシーに「ソフトウェア制限ポリシー」か何かがあると思います。
ユーザーには、他のすべてのシステム リソースへの無制限のアクセス権が付与されます (ソフトウェアのインストールを除くすべての管理者権限)。
つまり、ソフトウェアをインストールできるようになるまであとわずか 10 分です。(実際、利用可能なソフトウェアの大部分では、何もインストールする必要はありません。解凍して .exe をダブルクリックするだけです)
管理者を制限しようとするのは非常に悪い考えです。
答え3
使用SRPハッシュタグ オプションを使用して、インストールして実行できるソフトウェアのみを許可します。管理者から外し、代わりにアカウントをパワー ユーザーに配置することも検討します。管理者グループから外したくないユーザーについては、実行を許可する内容に特に注意します。