Мне было интересно, какие политики и т. д. я могу настроить, чтобы остановить любые установки в среде домена сервера 2003? У меня есть клиенты 2003 RC2 и XP Pro.
Думаю, самый быстрый и простой способ — сделать всех гостями, но это также заблокирует им доступ к другим вещам, которые им могут понадобиться. Я видел много идей, но они не блокируют все полностью. Я знаю, что, вероятно, нет решения для всех, но хотелось бы подобраться как можно ближе.
Спасибо вам всем,
решение1
Удалите права локального администратора, удалите локального опытного пользователя, потратьте часы на отладку плохо спроектированного программного обеспечения с проблемами доступа, используя программное обеспечение sysinternals для ручного устранения проблем с доступом.
Настройте программные ресурсы для домашних каталогов, профилей и т. д. и перенаправьте выбранные подкаталоги (например, мои документы) в сетевой ресурс. Затем используйте что-то вроде Faronics Deep Freeze, чтобы «сбросить» компьютер до первоначального состояния после каждой перезагрузки.
Думаю, у них также есть программное обеспечение, которое может вносить исполняемые файлы в белый список, но его будет сложно настраивать и поддерживать, если у вас большое количество систем с различными потребностями.
Приобретите систему без CD-привода и используйте портативный USB-накопитель для установки программного обеспечения.
Попросите отдел кадров поддержать политику, которая четко разъясняет, что разрешено, а что нет в системах, что они являются собственностью компании и что в отношении них не требуется соблюдения конфиденциальности.
Используйте программное обеспечение для фильтрации, чтобы контролировать использование Интернета, и при необходимости вы сможете заблокировать загрузки.
Насколько жесткими вы хотите стать?
Вы также можете использовать образы своих систем и периодически переустанавливать компьютеры в чистое состояние. Тем не менее, все еще требуется обслуживание, так как образ, устаревший на месяц, требует установки месяца патчей-вторников, плюс пользователям все еще нужно учитывать свои собственные данные на сервере, или если они умудряются «случайно» сохранять что-то локально, вы услышите ворчание.
Вам нужно будет пересмотреть свои политики и сопоставить удобство использования с тем, насколько сложной для сотрудников будет работа, и насколько несчастными вы хотите, чтобы они себя чувствовали, если работодатель ожидает от сотрудников многого и в то же время не дает им никакого ощущения полномочий или свободы... сотрудники, которые чувствуют, что за ними кто-то присматривает и следит за ними через плечо, обладают замечательными творческими способами сделать вашу жизнь еще более несчастной, и они нисколько не будут чувствовать себя плохо, если почувствуют, что это оправдано.
решение2
Ответ — не дать им быть администраторами. Если вы не хотите этого делать, то у них всегда будет способ обойти все, что вы введете.
решение3
Ваш первый шаг — получить одобрение от бизнеса, чтобы фактически разрешить вам сделать это. Даже в гигантских корпоративных безопасных средах я видел руководителей, не желающих создавать белые списки приложений. После этого вам следует рассмотретьполитики ограничения программного обеспечения.
Это позволяет вам разрешать или блокировать программное обеспечение на основе:
Хэш, сертификат, путь и интернет-зона.
Ограничение использования программного обеспечения не применяется в следующих случаях:
Драйверы или другое программное обеспечение режима ядра.
Любая программа, запущенная под учетной записью SYSTEM.
Макросы внутри документов Microsoft Office 2000 или Office XP.
Программы, написанные для среды CLR.
Для блокировки CLR следует использовать CASPOL.
Шаги по депонированию будут заключаться в настройке тестовой машины и начале блокировки политик. Права администратора не влияют на этот тип ограничений (если только вы не решите просмотреть ссылку для получения подробной информации). После того, как вы заблокировали как обычное программное обеспечение, так и программное обеспечение на основе CLR, единственным реальным источником беспокойства станет Java.
решение4
Они всегда смогут "установить" программное обеспечение, не требующее доступа администратора. Многим программам не нужно писать в папку Program Files или вносить какие-либо изменения в масштабах системы. Особенно простым приложениям, которые представляют собой просто EXE-файлы или "переносимые приложения". В конце концов, вы же позволяете им запускать EXE-файлы, верно?
Если они действительно не администраторы и не имеют прав на запись или изменение Program Files или Windows, то я готов поспорить, что они просто запускают простые приложения. Есть параметр групповой политики, который позволяет вам вносить в белый список разрешенные EXE-файлы, но я бы очень осторожно играл с ним, так как это может сделать все ваши машины неработоспособными.