Каковы хорошие методы защиты служебных машин от персонала, который их использует? Я ищу что-то, что было бы полностью бесшовным, что пользователь не заметил бы ... что-то, что не мешало бы производительности машины и позволяло бы пользователю читать / писать доступ к Моим документам, его / ее рабочему столу и нескольким папки в Program Files.
Моя текущая установка работает хорошо, но есть кое-что, от чего я не без ума:
Я разбил диск на штатные машины и храню все статические папки в разделе D. Раздел C защищен Windows Steadystate (только защита диска, ограничений пока нет) и восстанавливается при каждой перезагрузке.
Как я уже сказал, это работает, но есть ли способ попроще? В прошлом мы теряли некоторые важные служебные машины в самые неподходящие моменты из-за вредоносных программ.
Это действительно очень просто: не давайте пользователям права «Администратор», и вы на 95% сможете поддерживать чистоту и довольность машин.
Не давайте им «Опытных пользователей» под Windows XP или более ранней версией, потому что это фактически то же самое, что и «Администратор» (очень, очень легко перейти к «Администратору» из «Опытных пользователей»).
Отсутствие прав администратора не станет проблемой для Microsoft Office. Это не должно быть проблемой для любого приложения с табличкой с логотипом «Разработано для Windows XP» или более новой (поскольку запуск от имени ограниченного пользователя является частью требований к логотипу). Вы должны будете убедиться, что другие приложения работают должным образом, но компромисс в вашем времени, чтобы убедиться, что приложение работает, по сравнению с очисткой ненужных компьютеров позже. Есть инструменты, которые тоже могут вам помочь. Великий - Аарон Маргозис «LUA Buglight» (см. http://nonadmin.editme.com/LUABuglight).
Если вы обнаружите, что вам нужно применить изменения разрешений безопасности, чтобы заставить некоторые программы работать, посмотрите на использование параметров безопасности файловой системы групповой политики для выполнения вашей грязной работы (при условии, что вы находитесь в домене AD). Тогда, по крайней мере, вы сможете узнать, какие разрешения необходимо установить один раз, и заставить групповую политику последовательно повторно применять их для вас на новых компьютерах.
Если вы этого еще не сделали, перенесите пользовательские данные с ПК на серверный компьютер. Посмотрите на использование «Перенаправления папок» и перемещаемых профилей пользователей, чтобы помочь вам в этом (при условии, что вы снова находитесь в домене AD). В идеале ПК должны быть достаточно безгражданскими, чтобы пользователь мог встать, войти в систему на другом ПК и иметь доступ ко всем своим файлам данных. (Доступность прикладного программного обеспечения - это отдельная история, но есть и «история» для этого с политикой установки программного обеспечения.) Я не буду вдаваться в большое количество ссылок с этими элементами здесь, просто чтобы этот ответ был несколько по теме .
Если вы действительно хотите остановить нежелательное стороннее программное обеспечение, в сочетании с сохранением прав «Администратора» подальше от пользователей, вы можете рассмотреть возможность использования «Политики ограниченного использования программ» (см. http://technet.microsoft.com/en-us/library/bb457006.aspx и http://technet.microsoft.com/en-us/library/cc782792(WS.10).aspx). При наличии политик ограниченного использования программ пользователь, не являющийся администратором, не может выполнять код за пределами разрешенных путей (или на основе цифровой подписи). Такие вещи, как Google Chrome, который устанавливается отдельно для каждого пользователя (и подобные вредоносные программы), даже работать не будут. Это отличная функция, и, возможно, одна из самых малоиспользуемых.
Вы также можете подумать о перенаправлении их «Мои документы» и других папок в сетевые расположения, чтобы вам не пришлось возиться со схемой разбиения на разделы и можно было просто стабилизировать весь диск.
http://technet.microsoft.com/en-us/library/cc977970.aspx
Также рассмотрите возможность использования таких продуктов, как прокси-серверы Bluecoat, для защиты вашего интернет-трафика от вредоносных сайтов. Прокси-сервер может не только для подписей, используя антивирусную защиту на веб-шлюзе, но вы также можете блокировать сайты, используя фильтрацию категорий в стиле WebSense для блокировки доступа к сайтам с известными вредоносными программами.
Лучший способ защитить машины от персонала - это строгая блокировка разрешений и гарантия того, что вы не раздаете административные права, как конфеты. Если им нужно что-то сделать с правами администратора NEAR, назначьте их группе опытных пользователей. Убедитесь, что ваше антивирусное решение обновлено и работает.
Убедитесь, что ваш антивирусный сканер настроен на сканирование любых съемных устройств, подключенных к компьютерам. У меня был поставщик, который дал нам SD-карту с Conficker на ней, потому что у них явно плохая антивирусная политика в их организации. Удивительно, но это была САМАЯ КРУПНЕЙШАЯ компания, с которой мы ведем бизнес, с доходом более 100 миллиардов долларов и 300 000 сотрудников.