Наша организация немного отличается от большинства. В определенное время года мы вырастаем до тысяч сотрудников, а в нерабочее время — менее сотни. За несколько лет многие тысячи людей приходили и уходили из наших офисов, оставляя после себя наследие в виде всевозможных нежелательных, несанкционированных (а иногда и нелицензированных) установок программного обеспечения на наших рабочих столах.
В настоящее время мы устанавливаем избыточные контроллеры домена и обновляем текущие серверы, все они работают под управлением Windows Server 2008 Enterprise, и в конечном итоге сможем запустить чистую сеть DC 2008. Учитывая это, какие у нас есть варианты, чтобы заблокироватьпользователи, так что они не смогут установить несанкционированное программное обеспечение на системы без помощи (или разрешения) ИТ-группы?
Нам необходимо поддерживать около 400 рабочих столов, поэтому автоматизация необходима.ключ. Я принял к сведению ограничения на программное обеспечение, которые мы можем реализовать с помощью групповой политики, но это подразумевает, что мы уже знаем, что пользователи будут устанавливать и пытаться запустить... не все так элегантно.
Есть идеи?
решение1
Если вы говорите о ноутбуках или настольных компьютерах, которые выдаются/назначаются людям, то просто не давайте им права администратора. Это все равно позволит им устанавливать программы (при условии, что они были написаны правильно) в свою домашнюю папку, а затем, когда они уйдут, вам нужно будет только удалить их профиль/учетную запись пользователя, чтобы удалить все установленные ими программы/изменения. Это также ограничит ущерб, который может нанести вирус — просто поместите их в карантин и очистите их документы в любой системе, в которую они не входили, удалите и заново создайте их учетную запись, восстановите их очищенные документы. Вирус исчез.
На самом деле довольно сложно создать «белый список» одобренных исполняемых файлов, основываясь на том факте, что исполняемый код не обязательно должен иметь имя, а просто находиться в памяти на странице, помеченной как исполняемый. Лучше всего просто упростить удаление нежелательных приложений, когда пользователь покидает сайт.
Если это проблема безопасности, а не проблема «очистки», то как они вообще смогли внедрить эти программы в систему?
решение2
Если у вас хорошая сетевая инфраструктура и вы перенаправляете определенные папки (и обучаете пользователей использовать домашние каталоги), вы можете получить продукт типа Deep Freeze (я думаю, у Microsoft тоже есть похожий бесплатный продукт), чтобы вы могли настроить машину на предпочтительную конфигурацию вашей компании, а затем «заморозить» ее, так что при перезагрузке компьютер вернется в исходное состояние, в которое вы его настроили. Если они что-то установят (или он заразится вирусом), перезагрузка снова вернет его в первозданное состояние. Они все еще могут устанавливать что-то, но делать это каждый день — хлопотно.
Конечно, вы можете ограничить их уровни доступа, так что если они не являются продвинутыми пользователями или администраторами, они не смогут устанавливать большинство программ. Но это все равно не ограничит их креативность в поиске путей обхода ваших блокировок.
Убедитесь, что ваши политики четко прописаны. Сделайте это нарушением, за которое можно уволить, если это необходимо (я не знаю политики вашей компании или насколько серьезно вы к этому относитесь). Пропишите, что компьютеры являются собственностью компании, а не частной собственностью, и что они не должны рассчитывать на конфиденциальность. Затем установите программное обеспечение для удаленного рабочего стола (VNC, удаленная помощь и т. д.) и пропишите, что при необходимости ИТ-отдел может удаленно контролировать активность. Вам нужно прописать все это, чтобы было ясно, чего можно и чего нельзя ожидать от сотрудника. Насколько драконовскими должны быть ваши правила, решать вам и HR.
Вы также можете рассмотреть возможность создания образов ваших систем, а затем периодически переустанавливать ваши компьютеры в исходное состояние. Но это головная боль, чтобы следить за обновлениями Windows.
решение3
Убедитесь, что пользователи домена не являются администраторами или суперпользователями на локальных рабочих столах. Они не должны иметь возможности устанавливать такие вещи, как Skype или телефонные пакеты, если они таковыми не являются. Дважды проверьте.
Запустите современный набор для развертывания, например, бесплатный Microsoft WDS или, возможно, даже System Center Configuration Manager. Образы, используемые здесь, не зависят от оборудования, пока существуют драйверы, они будут работать на множестве различного оборудования. С помощью Configuraiton Manager вы можете затем автоматически развертывать необходимые им приложения. Когда это автоматизировано, должно быть быстро и безболезненно просто стереть и перезагрузить рабочий стол, если это необходимо.
Дальнейшая настройка была бы бонусом, но могла бы включать блокировку GPO IE для предотвращения пользовательских панелей инструментов и т. д. НО любая панель инструментов, установленная пользователем, будет активна только для этого пользователя. Так что просто не используйте повторно учетные записи пользователей.
решение4
Что-то вроде DeepFreeze — это верный способ. Не уверен, насколько много управления вкладывается в нечто подобное. Есть и другие способы — самый простой и не требующий вмешательства — не делать их локальными администраторами, как упомянул Zoredache. Они могут устанавливать что-то, но не так много, таким образом.