Unsere Organisation ist ein bisschen anders als die meisten anderen. Zu bestimmten Zeiten des Jahres wachsen unsere Mitarbeiterzahlen auf Tausende an, außerhalb der Arbeitszeiten sind es weniger als hundert. Im Laufe einiger Jahre sind Tausende von Menschen in unseren Büros gekommen und gegangen und haben ihr Vermächtnis in Form aller Arten unerwünschter, nicht genehmigter (und manchmal nicht lizenzierter) Softwareinstallationen auf unseren Desktops hinterlassen.
Wir installieren derzeit redundante Domänencontroller und aktualisieren aktuelle Server, die alle unter Windows Server 2008 Enterprise laufen, und werden irgendwann in der Lage sein, ein reines 2008 DC-Netzwerk zu betreiben. Welche Möglichkeiten haben wir vor diesem Hintergrund, umBenutzer, sodass sie ohne die Unterstützung (oder Genehmigung) der IT-Gruppe keine nicht autorisierte Software auf Systemen installieren können?
Wir müssen etwa 400 Desktops unterstützen, daher ist AutomatisierungSchlüssel. Ich habe mir die Softwareeinschränkungen notiert, die wir über die Gruppenrichtlinie implementieren können, aber das setzt voraus, dass wir bereits wissen, was die Benutzer installieren und auszuführen versuchen werden … nicht ganz so elegant.
Irgendwelche Ideen?
Antwort1
Wenn Sie von Laptops oder Desktops sprechen, die ausgeliehen/an Personen zugewiesen sind, erteilen Sie ihnen einfach keinen Administratorzugriff. Dadurch können sie weiterhin Programme (vorausgesetzt, sie wurden ordnungsgemäß geschrieben) in ihrem Home-Ordner installieren. Wenn sie das System verlassen, müssen Sie nur ihr Profil/Benutzerkonto löschen, um alle von ihnen installierten Programme/Änderungen zu entfernen. Dadurch wird auch der Schaden begrenzt, den ein Virus anrichten kann. Stellen Sie einfach ihre Dokumente auf jedem System, bei dem sie sich nicht angemeldet haben, unter Quarantäne und bereinigen Sie sie, löschen und erstellen Sie ihr Konto neu und stellen Sie ihre bereinigten Dokumente wieder her. Der Virus ist weg.
Es ist ziemlich schwierig, tatsächlich eine „Whitelist“ mit genehmigten ausführbaren Dateien zu erstellen, da ausführbarer Code nicht einmal einen Namen haben muss, sondern einfach im Speicher auf einer als ausführbar gekennzeichneten Seite liegen muss. Am besten ist es, wenn Sie es sich einfach einfacher machen, die unerwünschten Anwendungen zu entfernen, wenn der Benutzer das Programm verlässt.
Wenn es sich um ein Sicherheitsproblem und nicht um ein „Bereinigungs“-Problem handelt, wie haben sie die Programme dann überhaupt auf das System bekommen?
Antwort2
Wenn Sie über eine gute Netzwerkinfrastruktur verfügen und bestimmte Ordner umleiten (und Benutzer in der Verwendung von Home-Verzeichnissen schulen), können Sie ein Produkt wie Deep Freeze erwerben (ich glaube, Microsoft bietet auch ein ähnliches kostenloses Produkt an), mit dem Sie die Maschine auf die bevorzugte Konfiguration Ihres Unternehmens einrichten und sie dann „einfrieren“ können, sodass der Computer beim Neustart in den ursprünglichen Zustand zurückkehrt, den Sie eingerichtet haben. Wenn sie etwas installieren (oder es mit einem Virus infiziert wird), wird es durch den Neustart wieder in den ursprünglichen Zustand versetzt. Sie können immer noch Dinge installieren, aber es ist mühsam, dies jeden Tag zu tun.
Natürlich können Sie die Zugriffsrechte Ihrer Benutzer beschränken, sodass sie die meisten Programme nicht installieren können, wenn sie keine Power User oder Administratoren sind. Dies schränkt ihre Kreativität jedoch nicht ein und verhindert nicht, dass sie Wege finden, Ihre Sperren zu umgehen.
Stellen Sie sicher, dass Ihre Richtlinien klar formuliert sind. Machen Sie es bei Bedarf zu einem Kündigungsgrund (ich kenne weder Ihre Unternehmensrichtlinien noch weiß ich, wie ernst Sie das nehmen). Machen Sie deutlich, dass die Computer Eigentum des Unternehmens und nicht Privateigentum sind und dass die Mitarbeiter keine Privatsphäre erwarten können. Installieren Sie dann Remote-Desktop-Software (VNC, Remote-Unterstützung usw.) und machen Sie deutlich, dass die IT-Abteilung die Aktivitäten bei Bedarf aus der Ferne überwachen kann. Sie müssen diese Dinge klar formulieren, damit klar ist, was von einem Mitarbeiter erwartet werden kann und was nicht. Wie drakonisch Ihre Regeln sein sollen, entscheiden Sie und die Personalabteilung.
Sie können auch Images Ihrer Systeme erstellen und Ihre Computer dann in regelmäßigen Abständen in einen ursprünglichen Zustand zurückversetzen. Allerdings ist es mühsam, mit den Windows-Updates Schritt zu halten.
Antwort3
Stellen Sie sicher, dass die Domänenbenutzer keine Administratoren oder Superuser auf den lokalen Desktops sind. Andernfalls sollten sie nicht in der Lage sein, Dinge wie Skype oder Telefonsuiten zu installieren. Überprüfen Sie das noch einmal.
Nutzen Sie eine moderne Bereitstellungssuite wie das kostenlose Microsoft WDS oder vielleicht sogar den System Center Configuration Manager. Die hier verwendeten Images sind hardwareunabhängig, solange Treiber vorhanden sind, funktionieren sie auf einer Vielzahl unterschiedlicher Hardware. Mit dem Configuration Manager können Sie dann auch die benötigten Anwendungen automatisch bereitstellen. Wenn dies automatisiert ist, sollte es schnell und problemlos möglich sein, einen Desktop bei Bedarf einfach zu löschen und neu zu laden.
Weitere Optimierungen wären von Vorteil, könnten aber eine GPO-Sperre des IE beinhalten, um Benutzersymbolleisten usw. zu verhindern, ABER jede von einem Benutzer installierte Symbolleiste wäre nur für diesen Benutzer aktiv. Verwenden Sie Benutzerkonten also einfach nicht wieder.
Antwort4
So etwas wie DeepFreeze ist eine todsichere Methode. Ich bin mir allerdings nicht sicher, wie viel Verwaltungsaufwand so etwas erfordert. Es gibt andere Möglichkeiten – die einfachste und unkomplizierteste ist, sie nicht zu lokalen Administratoren zu machen, wie Zoredache erwähnte. Auf diese Weise können sie einige Dinge installieren, aber nicht viel.