Задать вопрос
@brar

Как запретить обычным пользователям устанавливать ПО на windows server 2016?

По умолчанию без вопросов ставятся ватсапы, телеграмы, хромы (в пользовательское окружение). Но с ними так же могут ставить и малварь.
Как запретить вообще какие бы то ни было установки?
Неужели нет простого способа в один клик, а не танцы с AppLocker?
  • Вопрос задан
  • 3478 просмотров
Подписаться 1 Простой Комментировать
Решения вопроса 2
@nApoBo3
100% хорошего способа нет.
Варианты:
1) Орг.меры, т.е. запретить приказом, за нарушение карать, это в любом случае необходимо иначе все ваши действия имеют сомнительную "легитимность".
2) Можно запретить запуск приложений из профиля пользователя на уровне NTFS
3) Можно сделать белый список приложений разрешенных к запуску пользователем через групповые политики.
4) Можно сделать белый список каталогов из которых разрешено запускать приложения через групповые политики и запретить запись в данный каталог из под пользователя.
5) Мониторить каталоги куда пользователю разрешена запись на предмет создания запускаемых файлов через журнал Windows, при создании такого файла действовать по пункту 1, можно и скрипт повесить на его автоматическое удаление или помещение в карантин.
6) Как еще вариант запретить запуск файлов для которых пользователь является владельцем на уровне NTFS
7) Есть еще момент с монтированием в RDP сессию дисков, с этим не разбирался, вероятно тут решается только через белый список ПО или запретить пробрасывать диски.

Но все технические методы имеют побочные эффекты и могут значительно влиять на удобство использования.
Ответ написан
Комментировать
SagePtr
@SagePtr
Еда - это святое
Через "Политики ограниченного использования программ" можно настроить белый список директорий, из которых разрешено запускать приложения. Но как при этом поведут себя различные обновляторы, которые любят себя распаковывать во временную папку - не уверен. Можно настроить так, чтобы ограничения не распространялись на администраторов.
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 1
@NortheR73
системный инженер
Если речь про сервер терминалов, то там это ограничивается локальными и/или групповыми политиками, в том числе Software Restrictions Policy и AppLocker
И не раздавайте административные права всем подряд...
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы