Как запретить установку в AppData?

Question

[Вася Пупкин]

Как можно в домене через GPO запретить установку всех браузеров/ПО которое не требует прав администратора и устанавливается в папку юзера, как я понимаю в appdata. Достало что у пользователя куча браузеров, кто-то сам ставит, у кого-то автоматом в довесок еще с чем-то.
Как можно пофиксить это неудобство?

Comments

[shurshur]

Лет 20 назад очень меня бесил майлруагент, который если присутствовал в системе, то пихался в перемещаемый профиль пользователя и после этого оказывался у него везде...

[hint000]

shurshur, боюсь, майлруагент ещё даст о себе знать в ближайшее время. В связи с официальным уходом аськи через месяц кое-кто будет переползать именно на него (уже переползают). Телега этим юзерам "неудобная", видите ли.

[Adamos]

Винды же позволяют запретить ЗАПУСК с конкретных путей. Или только дисков?
Установка-то - бог с ней ;)

Answer 1

[Роман Безруков]

Software Restriction Policies (хотя это больше про то, что и откуда можно запускать, а не про установку).
ну и пример реализации

Comments

[Ziptar]

Так а какая разница, установщик тоже исполняемый файл

[Вася Пупкин]

Роман Безруков Я же правильно понимаю что по второму способу нельзя сделать "запретить все из папки, кроме определенного пути"? Запрет же имеет приоритет вроде всегда.
Как мне при условии запрета запуска указаных файлов в %AppData%\*\ разрешить запускать из папки %AppData%\local\NameSet\ ?
Я добавил разрешение но все равно отрабатывается запрет, а в GPO нельзя выставить порядок выполнения правил.

[Роман Безруков]

Вася Пупкин, нет...
SRP работает в двух вариантах:
1. запрещено все, кроме явно разрешенных
2. разрешено все, кроме явно запрещенных
Как вариант, две политики: первая запрещает все, вторая разрешает запуск из конкретной папки; вторая политика имеет более высокий приоритет (т.е. отрабатывает последней)

[Вася Пупкин]

Роман Безруков, Тогда не работает, попробую две раздельные политики.

Answer 2

[Drno]

Админ ресурсом. введите штрафы и публичную порку

Comments

[Ziptar]

Ну или просто белые списки

[Вася Пупкин]

Drno, не вариант

Ziptar, подробнее пожалуйста.

[Ziptar]

Вася Пупкин, https://learn.microsoft.com/en-us/windows-server/i...

Answer 3

[CityCat4]

Административная задача не решается техническими методами.

Answer 4

[pindschik]

Можно конечно поставить запрет на выполнение конкретно на нужные папки, это заблочит не только exe, но и js и прочие разные scr.
Кроме appdata пользователю могут быть доступны и другие папки, куда есть права на запись. Например c:\intel\
Вам придется блокировать вообще все варианты, включая ВСЕ сетевые пути. Во всех придется установить запрет на выполнение, и все мыслимые запреты на обход запретов - например запуск с флешки, или подключенного NAS.

Кроме того, действия пользователя имеют причину. Либо это низкий уровень грамотности "скачать вибер бесплатно без регистрации", либо это намеренные действия. Первое лечится обучением и инструктажами, второе жесткими правилами и наказанием за нарушение.

Третий путь - локализация ущерба. Что бы там пользователь не наворотил - вышел он из системы - ничего не осталось. Навредить остальным - не может.