Ich habe mich gefragt, welche Richtlinien usw. ich einrichten könnte, um jegliche Installationen in einer Server 2003-Domänenumgebung zu verhindern. Ich habe 2003 RC2- und XP Pro-Clients.
Ich denke, der schnellste und einfachste Weg ist, alle zu Gästen zu machen, aber das blockiert sie auch von anderen Dingen, die sie möglicherweise tun/auf die sie zugreifen müssen. Ich habe viele Ideen gesehen, aber sie blockieren nicht alles vollständig. Ich weiß, dass es wahrscheinlich keine Lösung für alles gibt, aber ich würde gerne so nah wie möglich herankommen.
Danke euch allen,
Antwort1
Entfernen Sie lokale Administratorrechte, entfernen Sie den lokalen Poweruser, verbringen Sie Stunden mit dem Debuggen von schlechter und schlecht konzipierter Software mit Zugriffsproblemen und verwenden Sie Sysinternals-Software, um Zugriffsprobleme manuell zu umgehen.
Richten Sie Softwarefreigaben für Home-Verzeichnisse, Profile usw. ein und leiten Sie ausgewählte Unterverzeichnisse (wie meine Dokumente) auf eine Netzwerkfreigabe um. Verwenden Sie dann etwas wie Faronics Deep Freeze, um den Computer nach jedem Neustart wieder in den ursprünglichen Zustand zurückzusetzen.
Ich glaube, sie haben auch Software, mit der man ausführbare Dateien auf eine Whitelist setzen kann, aber die Einrichtung und Wartung wird mühsam, wenn man über eine große Zahl von Systemen mit unterschiedlichen Anforderungen verfügt.
Besorgen Sie sich Systeme ohne CD-Laufwerke und verwenden Sie zur Installation der Software ein tragbares USB-Laufwerk.
Sorgen Sie dafür, dass die Personalabteilung Richtlinien unterstützt, die glasklar machen, was auf den Systemen erlaubt ist und was nicht, dass es sich um Unternehmenseigentum handelt und dass hier kein Anspruch auf Privatsphäre besteht.
Überwachen Sie die Internetnutzung mithilfe einer Filtersoftware und blockieren Sie bei Bedarf Downloads.
Wie drakonisch soll es denn werden?
Sie können auch Images Ihrer Systeme verwenden und Ihre Computer regelmäßig in einen sauberen Zustand bringen. Das erfordert allerdings immer noch Wartung, da ein Image, das einen Monat veraltet ist, einen Monat lang Patch-Tuesdays benötigt. Außerdem müssen die Benutzer ihre eigenen Daten immer noch auf dem Server verwalten, oder wenn sie es schaffen, Dinge „aus Versehen“ lokal zu speichern, werden Sie Murren hören.
Sie müssen Ihre Richtlinien überprüfen und die Benutzerfreundlichkeit damit abwägen, wie sehr Sie es Ihren Mitarbeitern zur Last machen wollen, ihre Arbeit zu erledigen, und wie unglücklich sie sich fühlen sollen, wenn der Arbeitgeber viel von seinen Mitarbeitern erwartet und ihnen gleichzeitig keinerlei Ermächtigung oder Freiheit gibt … Mitarbeiter, die sich unter Druck gesetzt und beobachtet fühlen, haben wunderbar kreative Wege, Ihnen das Leben noch schwerer zu machen, und sie werden sich dabei nicht im Geringsten schlecht fühlen, wenn sie das Gefühl haben, dass dies im Recht ist.
Antwort2
Die Antwort ist, sie davon abzuhalten, Administratoren zu sein. Wenn Sie dazu nicht bereit sind, wird es für sie immer einen Weg geben, alles zu umgehen, was Sie eingerichtet haben.
Antwort3
Ihr erster Schritt wird sein, die Zustimmung des Unternehmens einzuholen, damit Sie so etwas tatsächlich tun können. Selbst in großen, sicheren Unternehmensumgebungen habe ich Führungskräfte erlebt, die nicht bereit waren, Whitelists für Anwendungen einzurichten. Danach sollten Sie sich Folgendes ansehen:Richtlinien zur Softwareeinschränkung.
Auf diese Weise können Sie Software basierend auf folgenden Kriterien zulassen oder blockieren:
Hash, Zertifikat, Pfad und Internetzone.
In folgenden Fällen gelten keine Softwarebeschränkungen:
Treiber oder andere Kernelmodus-Software.
Jedes Programm, das vom SYSTEM-Konto ausgeführt wird.
Makros in Microsoft Office 2000- oder Office XP-Dokumenten.
Für die Common Language Runtime geschriebene Programme.
Für die CLR-Sperre sollten Sie CASPOL verwenden.
Die Bereitstellungsschritte bestehen darin, eine Testmaschine einzurichten und mit dem Sperren der Richtlinien zu beginnen. Administratorrechte haben auf diese Art von Einschränkung keinen Einfluss (es sei denn, Sie möchten den Link für weitere Details aufrufen). Sobald Sie sowohl reguläre als auch CLR-basierte Software gesperrt haben, besteht die einzige wirkliche Sorge nur noch in Java.
Antwort4
Sie können immer Software „installieren“, für die kein Administratorzugriff erforderlich ist. Viele Programme müssen nicht in den Ordner „Programme“ schreiben oder systemweite Änderungen vornehmen. Dies gilt insbesondere für einfache Apps, bei denen es sich nur um EXE-Dateien oder „portable Apps“ handelt. Schließlich erlauben Sie ihnen, EXE-Dateien auszuführen, oder?
Wenn sie wirklich keine Administratoren sind und keine Schreib- oder Änderungsrechte für Programme oder Windows haben, dann gehe ich davon aus, dass sie nur einfache Apps ausführen. Es gibt eine Gruppenrichtlinieneinstellung, mit der Sie eine Whitelist der zulässigen EXEs erstellen können, aber ich wäre sehr vorsichtig damit, da dies alle Ihre Maschinen funktionsunfähig machen kann.