Большинство компаний, в которых я работал, имели либо набор дисков, либо общий сетевой ресурс с установленными на них обычно используемыми программами. Это позволяет ИТ-отделу и опытным пользователям очень легко устанавливать необходимое программное обеспечение на свои рабочие машины.
Однако некоторые пользователи увидят в этом возможность получить «бесплатное» программное обеспечение для своих домашних компьютеров.
Я видел драконовский подход к полной блокировке машины, но это не работает (на мой взгляд - если вы не согласны, не стесняйтесь комментировать это), потому что
Так как же найти способ запретить пользователям брать домашнее программное обеспечение, но при этом позволять им устанавливать то, что им нужно?
Вы можете сделать предположение, что большинство пользователей в организациях, в которых я работаю, достаточно умны, чтобы устанавливать программное обеспечение, я не беспокоюсь о чайной даме здесь.
Вы не можете исправить это с помощью технологий. Вместо этого исправьте это с помощью стандартов и политик.
Объясните, что вашим пользователям разрешено и не разрешено делать с программным обеспечением, и каковы последствия их несоблюдения.
Тогда доверяйте им. Вам все равно придется (например, есть программы для извлечения ключей из существующих установок, поэтому даже контроль распределения ключей не поможет)
Почему вы позволяете им устанавливать программное обеспечение самостоятельно? Обычно для этого есть система: либо служба поддержки (поддержка типа 1), либо программное обеспечение, такое как Altiris, которое устанавливает приложения с правами администратора, даже если пользователь этого не делает. Кроме того, вашим пользователям потребуются права администратора на локальном ПК, что также является плохой идеей.
У нас есть общий ресурс приложения, который заблокирован группой безопасности, членами которой являются лишь несколько ИТ-специалистов. Пользователи не являются администраторами и получают сообщение об ошибке, если пытаются что-либо установить. В противном случае они установили бы всякую чушь. Даже «умелые». На самом деле они обычно самые худшие.
Кроме того, если вы разрешаете пользователям устанавливать все, что они хотят, как вы обеспечиваете лицензирование?
Здесь много хороших ответов о технологических исправлениях (altiris, централизованная установка).
Но на самом деле речь идет о прикрытии собственной задницы. Сделайте это проблемой сотрудников, если его поймают. Потому что, вероятно, для вашей компании будет хорошо, если люди берут программное обеспечение домой. Что может быть лучше, чем бесплатное изучение программы сотрудниками? Чем лучше они будут использовать программное обеспечение, которое вы используете, тем более ценным они будут для вашей компании.
Вы можете сделать файлы msi доступными с помощью политики активного каталога, чтобы пользователи могли их устанавливать, если они им нужны.
Затем они не могут забрать их домой, потому что у них нет физического доступа к установочным файлам.
Что касается программного обеспечения и лицензирования Microsoft, в соответствии с лицензионным соглашением предприятия вашим пользователям разрешается запускать дома одну копию ОС и Office, так что, по сути, это уже предусмотрено.
У нас есть похожий заблокированный установочный диск, к которому имеют доступ лишь немногие избранные. Однако я признаю, что среди персонала есть уровень доверия к тому, что программное обеспечение не будет забираться домой, однако обычные конечные пользователи полностью заблокированы от установки любого программного обеспечения.
Однако, когда имеешь дело с группой разработчиков, их блокировка таким образом может иметь катастрофические последствия. Кроме того, что вы заблокируете его и позволите сетевым командам установить программное обеспечение, вы не сможете ничего сделать, чтобы предотвратить это. Однако вы обнаружите, что в целом очень небольшой процент людей дойдет до того, что принесет программное обеспечение домой.
Уловка также заключается в том, кто вводит лицензионные ключи и кто их хранит. Если ваши лицензионные ключи открыты для всех, кто устанавливает программное обеспечение, вы уже создали ситуацию, и вы мало что можете сделать, чтобы остановить ее, кроме запроса новых лицензий и обеспечения того, чтобы они были в процессе их выдачи. У нас единственный способ получить ключи - получить одобрение ИТ-менеджера, и если это входит в вашу работу, подписка MSDN приобретается на ваше имя.
если вы не хотите блокировать рабочие столы, вам следует глубже изучить упаковку и развертывание инструментов, в зависимости от ОС, используемой в вашей компании, есть либо инструменты с открытым исходным кодом, либо проприетарные инструменты, например spacewalk / puppet / cfengine в Linux, для Windows вы можете использовать ocsng, который может упаковывать небольшие программы, чтобы их можно было развертывать удаленно. таким образом пользователи могут установить все, что захотят, а вы получите полный контроль над программным обеспечением вашей компании, поскольку пользователи не могут получить доступ к инструменту, используемому вашей службой поддержки для их развертывания.
Не позволяйте пользователям брать DVD домой! У моих последних работодателей был открытый шкаф, где, если вы могли найти установочный компакт-диск, вы могли просто взять его и установить.
К сожалению, вам действительно нужна небольшая доза старшего брата (но используйте ее в разумных пропорциях), которая также должна помочь вам поддержать ваших пользователей.
В прошлом году мы провели аудит безопасности по заказу клиента и обнаружили, что нам нужно подумать (а затем определить политику и документ) такие проблемы, как использование USB-накопителей и копирование конфиденциальных файлов. Вероятно, вы не хотите запрещать использование USB-накопителей, но вы хотите разъяснить персоналу политику компании.
Важно сообщить пользователям, чего от них ждут. Затем все сводится к доверию.
Компания должна проявлять инициативу в этом отношении.
В общем, если вы оставите кондитерскую открытой и без присмотра, вы обязательно позволите некоторым людям взять и использовать конфеты в запрещенных вами целях. В конце концов, это выбор между упрощением или большей безопасностью, а найти баланс всегда сложно.
Многие компании блокируют его, за исключением случаев, когда у пользователя есть веская причина для установки программного обеспечения на регулярной основе. За исключением разработчиков программного обеспечения, ИТ-специалистов и аналогичных сотрудников, подавляющему большинству пользователей компьютеров никогда не нужно устанавливать программное обеспечение самостоятельно.
В случае с теми, кто это делает, они обычно могут обойти все, что вы можете установить, если они захотят.
Таким образом, большинство компаний придерживаются принципа невмешательства.
Имейте в виду, что если вы обеспечиваете его соблюдение только с помощью письменных политик и процедур, но не вводите никаких технических средств защиты, вы можете быть в большей безопасности, чем если бы вы использовали некоторые технические средства защиты. Сотрудник всегда виноват, если обнаруживается пиратство, но если вы приложите нерешительные усилия, то можно будет утверждать, что вы несете ответственность, но недостаточно сделали. Это может быть особенно опасно, если один из ваших сотрудников решит использовать торрент-версию вашего программного обеспечения и лицензий.
-Адам