ドメインユーザーによるソフトウェアのインストールを阻止するにはどうすればよいですか?

ローカル管理者権限を削除し、ローカル パワー ユーザーを削除し、Sysinternals ソフトウェアを使用してアクセスの問題のある粗悪で設計の悪いソフトウェアをデバッグするのに何時間も費やし、アクセスの問題を手動で回避します。

ホーム ディレクトリ、プロファイルなどのソフトウェア共有を設定し、選択したサブディレクトリ (私のドキュメントなど) をネットワーク共有にリダイレクトします。次に、再起動するたびに、Faronics Deep Freeze などを使用して、コンピューターを元の状態に「リセット」します。

実行ファイルをホワイトリストに登録できるソフトウェアもあると思いますが、多様なニーズに対応するシステムが多数ある場合は、セットアップとメンテナンスが面倒になります。

CD ドライブのないシステムを入手し、ソフトウェアのインストールにはポータブル USB ドライブを使用します。

システム上で何が許可され、何が許可されないかを明確にし、それらは会社の財産であり、プライバシーは期待できないことを示すポリシーを人事部門に支持してもらいます。

フィルタリング ソフトウェアを使用して Web の使用を監視し、必要に応じてダウンロードをブロックできます。

どれくらい厳しくしたいですか?

システムのイメージを使用して、定期的にコンピューターをクリーンな状態に再イメージ化することもできます。ただし、1 か月古いイメージには 1 か月分のパッチ チューズデーのインストールが必要であり、さらにユーザーはサーバー上で自分のデータを把握しておく必要があります。また、ユーザーが「誤って」ローカルに保存してしまった場合は、不満の声が聞こえてきます。

雇用主が従業員に多くのことを期待しながらも、同時に彼らに権限や自由をまったく与えない場合は、ポリシーを検討し、使いやすさと、従業員が仕事をこなすのにどれだけ面倒な作業にするのか、従業員にどれだけ惨めな思いをさせたいのかのバランスを取る必要があります... 後ろ足を踏みつけられ、肩越しに監視されていると感じている従業員は、あなたの生活をさらに惨めにする素晴らしく創造的な方法を持っており、正当だと感じれば、少しも悪いとは思わないでしょう。

答えは、彼らが管理者になることを阻止することです。これを実行しない場合は、あなたが設定したあらゆるものを彼らが回避する方法が常に存在します。

最初のステップは、実際にそのようなことを実行できるように企業から同意を得ることです。大企業の安全な環境でも、アプリケーションのホワイトリストを設定することに消極的な幹部を見てきました。その後は、ソフトウェア制限ポリシー。

これにより、次の基準に基づいてソフトウェアを許可またはブロックできます。

ハッシュ、証明書、パス、インターネット ゾーン。

ソフトウェア制限が適用されない場合:

ドライバーまたはその他のカーネル モード ソフトウェア。

• SYSTEM アカウントによって実行されるすべてのプログラム。

• Microsoft Office 2000 または Office XP ドキュメント内のマクロ。

• 共通言語ランタイム用に作成されたプログラム。

CLR ロックダウンの場合は CASPOL を使用する必要があります。

導入手順は、テスト マシンをセットアップし、ポリシーのロックダウンを開始することです。管理者権限は、このタイプの制限には影響しません (詳細のリンクを表示することを選択した場合を除く)。通常のソフトウェアと CLR ベースのソフトウェアの両方をロックダウンしたら、心配の種となるのは Java だけです。

管理者アクセスを必要としないソフトウェアは、いつでも「インストール」できます。多くのソフトウェアは、Program Files フォルダに書き込んだり、システム全体に変更を加えたりする必要はありません。特に、EXE や「ポータブル アプリ」だけのシンプルなアプリはそうです。結局のところ、EXE ファイルの実行を許可しているわけですから、当然ですよね?

彼らが本当に管理者ではなく、Program Files や Windows への書き込み権限や変更権限を持っていない場合は、単純なアプリを実行しているだけだと思います。許可する EXE をホワイトリスト化できるグループ ポリシー設定がありますが、すべてのマシンが操作不能になる可能性があるため、それを使用するときは十分注意してください。