Это мой последний шанс понять это. Если я хоть разберусь.
Есть ли способ запретить пользователю устанавливать программы на свой компьютер? Мы будем запускать Server 2016. Я пытался отказать им в правах локального администратора (что я успешно сделал). Но безрезультатно. Я также пытался заставить программы запускаться с повышенными привилегиями, но безрезультатно.
Как мне это сделать? Это вообще возможно?
Я очень признателен за любую помощь, которую могу получить.
Предполагая, что вы собираетесь использовать домен и объекты групповой политики, то рекомендуемый (хотя и PITA, но, поскольку вы начинаете с нуля, будет намного проще выполнить) путь - это политики ограниченного использования программ. Это также дает дополнительное преимущество в плане эффективного предотвращения вредоносных программ и программ-вымогателей.
https://technet.microsoft.com/en-us/library/hh831534(v=ws.11).aspx
Политики ограниченного использования программ (SRP) - это основанная на групповой политике функция, которая определяет программы, запущенные на компьютерах в домене, и контролирует возможность их запуска. Политики ограниченного использования программ являются частью стратегии безопасности и управления Microsoft, призванной помочь предприятиям повысить надежность, целостность и управляемость своих компьютеров.
Вы также можете использовать политики ограниченного использования программ, чтобы создать для компьютеров строго ограниченную конфигурацию, в которой вы разрешаете запуск только специально определенных приложений. Политики ограниченного использования программ интегрированы с Microsoft Active Directory и групповой политикой. Вы также можете создавать политики ограниченного использования программ на автономных компьютерах. Политики ограниченного использования программ - это политики доверия, которые представляют собой правила, установленные администратором для ограничения скриптов и другого кода, запуск которых не является полностью доверенным.
В дополнение к предложению TheCleaner о политиках ограниченного использования программ Microsoft с тех пор выпустила более «жесткую» версию под названием AppLocker.
https://technet.microsoft.com/en-us/library/ee424367(v=ws.10).aspx
AppLocker - это новая функция в Windows Server 2008 R2 и Windows 7, которая расширяет возможности и функциональность политик ограниченного использования программ. AppLocker содержит новые возможности и расширения, которые позволяют создавать правила, разрешающие или запрещающие запуск приложений на основе уникальных идентификаторов файлов, и указывать, какие пользователи или группы могут запускать эти приложения. Используя AppLocker, вы можете: Управлять следующими типами приложений: исполняемыми файлами (.exe и .com), скриптами (.js, .ps1, .vbs, .cmd и .bat), файлами установщика Windows (.msi и. msp) и файлы DLL (.dll и .ocx).
Определите правила на основе атрибутов файла, полученных из цифровой подписи, включая издателя, название продукта, имя файла и версию файла. Например, вы можете создавать правила на основе атрибута издателя, который сохраняется при обновлении, или вы можете создавать правила для определенной версии файла.
Назначьте правило группе безопасности или отдельному пользователю.
Создавайте исключения из правил. Например, вы можете создать правило, разрешающее запуск всех процессов Windows, кроме редактора реестра (Regedit.exe).
Используйте режим только аудита, чтобы развернуть политику и понять ее влияние, прежде чем применять ее.
Правила импорта и экспорта. Импорт и экспорт влияют на всю политику. Например, если вы экспортируете политику, экспортируются все правила из всех коллекций правил, включая параметры принудительного применения для коллекций правил. Если вы импортируете политику, все критерии в существующей политике перезаписываются.
Оптимизируйте создание правил AppLocker и управление ими с помощью командлетов Windows PowerShell.
AppLocker помогает снизить административные накладные расходы и помогает снизить затраты организации на управление вычислительными ресурсами за счет уменьшения количества обращений в службу поддержки, которые возникают в результате запуска пользователями неутвержденных приложений.
Имейте в виду, что политики AppLocker - это первое, что обрабатывается при загрузке машины, и, если они настроены как таковые, способны блокировать даже необходимые системные библиотеки DLL / exe, что не позволит Windows на самом деле запускаться, поэтому убедитесь, что вы тщательно протестировали ее.
Есть несколько способов сделать это, но наиболее надежно заблокировать систему.
Если вы реализуете групповую политику на своем сервере, добавьте пользователей с ограниченными правами в группу, которая будет иметь ограничения. В редакторе GP есть практически каждый параметр, который запрещает пользователям выполнять определенные операции. В том числе с помощью USB-накопителя, вы можете отключить их, когда определенная учетная запись входит в систему. Излишне говорить, что вам понадобится некоторое время, чтобы найти, ограничить и протестировать все функции. Это утомительный, но предпочтительный метод достижения вашей цели.
Вы можете поискать в Интернете какие-нибудь скрипты для достижения этой цели или кого-то, кто специализируется на GP. Я использовал его для ограничения доступа к браузеру, загрузки приложений с компакт-дисков, удаления приглашения dos с кнопки запуска и т. Д. Все способы обхода безопасности. ПК с различным оборудованием и ОС также могут потребовать различных конфигураций в GP.
Удачи, обычно требуется организация с приличным ИТ-бюджетом, чтобы в полной мере воспользоваться этой мощной функцией.
Ненавижу это говорить, но, по моему опыту, один эффективный и менее затратный подход - уволить кого-то в качестве примера. Хотя для достижения эффективности требуется постоянный аудит установленного программного обеспечения, а на многих ПК это может занять некоторое время.