ユーザーがソフトウェアをインストールできないようにするにはどうすればよいですか?

貸し出されている/人に割り当てられたラップトップやデスクトップの場合、管理者権限を与えないでください。そうすることで、ホーム フォルダーにプログラムをインストールできます (プログラムが適切に記述されていると仮定)。そして、その人が退職するときには、その人のプロファイル/ユーザー アカウントを削除するだけで、その人のインストールしたプログラムや行った変更をすべて削除できます。これにより、ウイルスによる被害も制限されます。その人のログインしていないシステム上のドキュメントを隔離してクリーンアップし、アカウントを削除して再作成し、クリーンアップしたドキュメントを復元するだけです。ウイルスは消え去ります。

実行可能コードには名前さえ必要ではなく、実行可能としてマークされたページのメモリ内に単に存在すれば良いという事実に基づいて、承認された実行可能ファイルの「ホワイト リスト」を実際に作成するのは非常に困難です。最善策は、ユーザーが去ったときに不要なアプリケーションを簡単に削除できるようにすることです。

これが「クリーンアップ」の問題ではなくセキュリティの問題である場合、そもそもどのようにしてプログラムをシステムに導入したのでしょうか?

適切なネットワーク インフラストラクチャがあり、特定のフォルダーをリダイレクトし (ホーム ディレクトリを使用するようにユーザーをトレーニングする)、Deep Freeze などの製品 (Microsoft にも同様の無償製品があると思います) を入手して、マシンを会社の推奨構成に設定してから「フリーズ」すると、再起動時にコンピューターは設定した元の状態に戻ります。何かをインストールした場合 (またはウイルスに感染した場合)、再起動すると、コンピューターは元の状態に戻ります。インストールは引き続き可能ですが、毎日行うのは面倒です。

もちろん、アクセス レベルを制限して、パワー ユーザーや管理者でない場合はほとんどのプログラムをインストールできないようにすることができます。しかし、それでもブロックを回避する方法を見つける創造性が制限されるわけではありません。

ポリシーをきちんと明記してください。必要であれば、解雇の対象にしてください (あなたの会社のポリシーや、この問題をどの程度深刻に受け止めているかはわかりません)。コンピューターは会社の所有物であり、個人の所有物ではないため、プライバシーを期待すべきではないことを明記してください。次に、リモート デスクトップ ソフトウェア (VNC、リモート アシスタンスなど) をインストールし、必要に応じて IT 部門がリモートでアクティビティを監視できることを明記してください。従業員として期待できることと期待できないことを明確にするために、これらのことを明記する必要があります。ルールをどの程度厳しくするかは、あなたと人事部門次第です。

システムのイメージを作成し、定期的にコンピューターのイメージを元の状態に戻すことも検討できます。ただし、Windows Update に追いつくのは大変です。

ドメイン ユーザーがローカル デスクトップの管理者またはスーパー ユーザーでないことを確認してください。そうでない場合は、Skype や電話スイートなどをインストールできないはずです。再確認してください。

無料の Microsoft WDS などの最新の展開スイートを使用するか、System Center Configuration Manager を使用することもできます。ここで使用するイメージはハードウェアに依存しないため、ドライバーが存在する限り、さまざまなハードウェアで動作します。Configuraiton Manager を使用すると、必要なアプリケーションも自動的に展開できます。これを自動化すると、必要に応じてデスクトップを消去して再ロードするだけで、迅速かつ簡単に実行できます。

さらに調整を加えるとさらに便利になりますが、ユーザーのツール バーなどを防ぐために IE の GPO ロックダウンが必要になる可能性があります。ただし、ユーザーがインストールしたツール バーは、そのユーザーに対してのみアクティブになります。したがって、ユーザー アカウントを再利用しないでください。

DeepFreeze のようなものは確実な方法です。ただし、そのようなものにどの程度の管理が必要なのかはわかりません。他の方法もあります。最も簡単で手間がかからないのは、Zoredache が述べたように、ローカル管理者にしないことです。その方法では、ある程度はインストールできますが、あまり多くはインストールできません。