Мне было интересно, какие политики и т. Д. Я могу настроить, чтобы предотвратить любые установки в среде домена server 2003? У меня есть клиенты 2003 RC2 и XP Pro.
Я думаю, самый простой способ - сделать всех гостями, но это также блокирует их от других вещей, которые им могут понадобиться сделать / получить доступ. Я видел много идей, но они не все полностью блокируют. Я знаю, что это, вероятно, не все, но хотел бы подойти как можно ближе.
Спасибо вам всем,
Удалите права локального администратора, удалите локального опытного пользователя, потратите часы на отладку дрянного и плохо спроектированного программного обеспечения с проблемами доступа, используя программное обеспечение sysinternals для ручного решения проблем с доступом.
Настройте общие ресурсы программного обеспечения для домашних каталогов, профилей и т. Д. И перенаправьте выбранные подкаталоги (например, мои документы) в общий сетевой ресурс. Затем используйте что-то вроде Faronics Deep Freeze, чтобы «сбрасывать» компьютер в исходное состояние после каждого перезапуска.
Я думаю, что у них также есть программное обеспечение, которое может заносить исполняемые файлы в белый список, но его будет сложно настроить и поддерживать, если у вас есть большое количество систем с различными потребностями, которыми нужно заниматься.
Получите системы без дисководов компакт-дисков и используйте портативный USB-накопитель для установки программного обеспечения.
Заставьте HR поддерживать политики, которые четко разъясняют, что разрешено, а что нет в системах, что они являются собственностью компании и от них не ожидается конфиденциальности.
Используйте программное обеспечение для фильтрации, чтобы контролировать использование Интернета, и при необходимости можете заблокировать загрузки.
Насколько суровым вы хотите стать?
Вы также можете использовать образы своих систем и периодически преобразовывать образы компьютеров в чистое состояние. Тем не менее, все еще требует обслуживания, так как образ, который устарел на месяц, требует установки исправлений в течение месяца, плюс пользователям по-прежнему нужны их собственные данные, учтенные на сервере, или если им удается «случайно» сохранить данные локально, вы услышит ворчание.
Вам нужно будет изучить свою политику и сбалансировать удобство использования с тем, сколько PITA вы собираетесь сделать, чтобы сотрудники выполняли свою работу, и насколько несчастными вы хотите, чтобы ваши сотрудники чувствовали себя, если работодатель многого ожидает от сотрудников и в то же время не дадут им никакого ощущения полномочий или свободы ... сотрудники, которые чувствуют, что их нога стоит на спине и глаза опускаются на плечи, имеют чудесные творческие способы сделать вашу жизнь более несчастной, и они не будут чувствовать себя плохо из-за этого, если они чувствуют себя оправданными.
Ответ - не дать им стать администраторами. Если вы не желаете этого делать, у них всегда будет возможность обойти все, что вы делаете.
Ваш первый шаг будет заключаться в том, чтобы заручиться поддержкой бизнеса, чтобы действительно позволить вам это сделать. Даже в гигантских корпоративных безопасных средах я видел, как руководители не желали создавать белые списки приложений. После этого вам стоит заглянуть в политики ограниченного использования программ.
Это позволяет вам разрешать или блокировать программное обеспечение на основании:
Хеш, сертификат, путь и интернет-зона.
Если ограничение программного обеспечения не применяется:
Драйверы или другое программное обеспечение режима ядра.
Любая программа, запущенная под учетной записью SYSTEM.
Макросы внутри документов Microsoft Office 2000 или Office XP.
Программы, написанные для среды CLR.
Для блокировки CLR вы должны использовать CASPOL.
Шаги депоймента будут состоять в том, чтобы настроить тестовую машину и начать блокировку политик. Права администратора не влияют на этот тип ограничения (если вы не выберете ссылку для получения подробной информации). После того, как вы заблокировали и regualr, и программное обеспечение на основе CLR, единственный реальный источник беспокойства - это java.
Они всегда смогут «установить» программное обеспечение, не требующее доступа администратора. Многие программы не нуждаются в записи в папку Program Files или внесении каких-либо изменений в систему. Особенно простые приложения, которые представляют собой просто EXE или «портативные приложения». В конце концов, вы разрешаете им запускать EXE-файлы, верно?
Если они действительно не являются администраторами и не имеют прав на запись или изменение программных файлов или Windows, держу пари, что они просто запускают простые приложения. Есть параметр групповой политики, который позволяет вам занести в белый список разрешенные EXE-файлы, но я был бы очень осторожен с этим, поскольку он может вывести все ваши машины из строя.