Мы пытаемся предотвратить выполнение определенных системных исполняемых файлов обычными пользователями в нашей сети (mmc, cmd, ldp и т. Д.). Я предложил использовать правила хеширования программного обеспечения, но меня беспокоит, что могут возникнуть непредвиденные последствия от принудительного ограничения программного обеспечения через GPO вместо изменения разрешений для исполняемых файлов через GPO.
Что изменится в сети, когда я переключусь с неограниченного использования программных ограничений на использование через GPO? У нас очень маленькая автономная сеть, которая не видит большого трафика. Правила хеширования должны быть эффективными, но я не хочу создавать другие проблемы, устанавливая их.
Ограничение программного обеспечения - это мощный инструмент и интересная тема:
Во-первых, чтобы прямо ответить на ваш вопрос, не должно быть никакого воздействия на саму сеть. Ограничение программного обеспечения полностью применяется на стороне клиента. Единственный сетевой трафик появляется, когда клиент изначально загружает правила с сервера. Это выполняется как часть стандартного процесса обновления групповой политики, который может произойти в любом случае, с ограничением программного обеспечения или без него.
Что касается воздействия на ваших пользователей, это во многом зависит от того, сколько тестов вы провели заранее. Если вы потратите один день на сбор хэшей из всех исполняемых файлов, о которых вы только можете подумать, включите их в политику ограничения программ и щелкнете выключателем - у вас будет очень плохой день. Всегда будут вещи, о которых вы не думаете: приложения, которые копируют исполняемые файлы в незнакомые места, приложения, которые автоматически применяют обновления (которые изменяют ваши хэши), исполняемые файлы приложений, которые самоизменяются (обычно как часть архаичных схем лицензирования, также меняются хэш) и т. д. В небольшой сети самый простой способ развернуть ограничения программного обеспечения - выбрать пользователя-подопытного кролика (стажер и т. д.) и применить к нему ограничения. Вы обнаружите 80% своих ошибок сразу же.
У Microsoft также есть масса литературы по этой теме. Это очень сухо, но знания богаты. Проверьте тему на TechNet.