Наша организация немного отличается от большинства. В определенное время года количество сотрудников увеличивается до тысяч, а в нерабочее время - менее сотни. В течение нескольких лет многие тысячи людей приходили и уходили в наши офисы, оставив свое наследие в виде всевозможных нежелательных, несанкционированных (а иногда и нелицензионных) программ, установленных на наших компьютерах.
В настоящее время мы устанавливаем избыточные контроллеры домена и обновляем существующие серверы, все под управлением Windows Server 2008 Enterprise, и в конечном итоге сможем запустить чистую сеть постоянного тока 2008 года. Имея это в виду, каковы наши варианты, чтобы заблокировать пользователи, так что они не могут устанавливать неавторизованное программное обеспечение в системах без помощи (или авторизации) ИТ-группы?
Нам необходимо поддерживать около 400 компьютеров, поэтому автоматизация ключ. Я принял к сведению программные ограничения, которые мы можем реализовать с помощью групповой политики, но это означает, что мы уже знаем, какие пользователи будут устанавливать и пытаться запускать ... не так уж и элегантно.
Любые идеи?
Если вы говорите о ноутбуках или настольных компьютерах, которые выданы / назначены людям, просто не давайте им права администратора. Это по-прежнему позволит им устанавливать программы (при условии, что они были написаны правильно) в свою домашнюю папку, а затем, когда они уйдут, вам нужно только удалить их профиль / учетную запись пользователя, чтобы удалить все установленные ими программы / сделанные изменения. Это также ограничит ущерб, который может нанести вирус - просто поместите в карантин и очистите их документы в любой системе, в которую они не вошли, удалите и воссоздайте свою учетную запись, восстановите их очищенные документы. Вирус ушел.
На самом деле довольно сложно создать «белый список» одобренных исполняемых файлов, исходя из того факта, что исполняемый код даже не должен иметь имени, а просто находиться в памяти на странице, отмеченной как исполняемый файл. Лучше всего просто упростить удаление нежелательных приложений, когда пользователь уходит.
Если это проблема безопасности, а не проблема «очистки», как они вообще попали в систему?
Если у вас есть хорошая сетевая инфраструктура и вы перенаправляете определенные папки (и обучаете пользователей использовать домашние каталоги), вы можете получить такой продукт, как Deep Freeze (я думаю, что у Microsoft есть аналогичный бесплатный продукт), чтобы вы могли настроить машину на свой предпочтительная конфигурация компании, затем "заморозьте" ее, чтобы при перезагрузке компьютер вернулся в исходное состояние, в котором он был установлен. Если они устанавливают что-то (или оно заражается вирусом), перезагрузка снова возвращает его в первоначальное состояние. Они все еще могут устанавливать какие-то вещи, но делать это каждый день сложно.
Конечно, вы можете ограничить их уровни доступа, чтобы они не могли устанавливать большинство программ, если они не являются опытными пользователями или администраторами. Но это все равно не ограничит их творческий потенциал в поиске способов обойти ваши блоки.
Убедитесь, что ваша политика хорошо изложена. Если необходимо, сделайте это правонарушением, которое может быть возбуждено (я не знаю политики вашей компании и насколько серьезно вы к этому относитесь). Объясните, что компьютеры являются собственностью компании, а не частной собственности, и им не следует ожидать конфиденциальности. Затем установите программное обеспечение для удаленного рабочего стола (VNC, удаленная помощь и т. Д.) И укажите, что при необходимости ИТ-специалисты могут удаленно отслеживать активность. Вам необходимо разъяснить эти вещи, чтобы было ясно, чего можно и чего нельзя ожидать от сотрудника. Насколько суровыми вы хотите, чтобы ваши правила были, зависит от вас и HR.
Вы также можете подумать о создании образов ваших систем, а затем периодически преобразовывать ваши компьютеры в первоначальное состояние. Тем не менее, боль в заднице, чтобы не отставать от обновлений Windows.
Убедитесь, что пользователи домена не являются администраторами или суперпользователями на локальных рабочих столах. У них не должно быть возможности устанавливать такие вещи, как Skype или комплекты телефонов, если их нет. Двойная проверка.
Получите современный пакет развертывания, такой как бесплатный Microsoft WDS, или, возможно, даже воспользуйтесь System Center Configuration Manager. Используемые здесь образы не зависят от оборудования, пока существуют драйверы, они будут работать на множестве различного оборудования. Затем с помощью Configuraiton Manager вы можете автоматически развертывать нужные им приложения. Когда это автоматизировано, можно быстро и безболезненно просто стереть и перезагрузить рабочий стол, если это необходимо.
Дальнейшая настройка будет бонусом, но может включать блокировку IE с помощью GPO для предотвращения пользовательских панелей инструментов и т. Д. НО любая панель инструментов, установленная пользователем, будет активна только для этого пользователя. Поэтому просто не используйте повторно учетные записи пользователей.
Хотя вы можете предотвратить множество проблем, используя ограниченные учетные записи, которые не решат всех ваших проблем. Просто спросите любого, кто занимается ИТ в школе. :(
В дополнение к использованию ограниченных учетных записей вы должны использовать обязательные профили, так как это также помогает уменьшить некоторые проблемы, которые могут вызвать пользователи.
Вы также можете рассмотреть возможность создания образов машин и восстановления машин, когда это необходимо. Существует несколько способов (полу) автоматического восстановления образов машин, так что количество машин на самом деле не является большой проблемой. Я уверен, что здесь есть и другие, кто может предоставить подробности.
Что-то вроде DeepFreeze - верный способ. Не уверен, однако, насколько менеджмент вкладывается в подобное. Есть и другие способы - самый простой и самый безопасный - не делать их локальными администраторами, как упоминал Зоредак. Они могут что-то установить, но не так много.
Версия Microsoft называется Windows SteadyState. Только XP или Vista - нет планов поддерживать его в Windows 7.