Вам верно написали про политики ограничения запуска программ (Software Restriction Policy или SRP / App Locker). Попробую немного прояснить суть решения проблемы.
Главное что нужно сделать это при помощи NTFS ACL заблокировать пользователям возможность запускать программы отовсюду куда они могут записать файлы и при помощи SRP ограничить операционке права запускать программы только каталогами каталогами в которые пользователи не могут писать. В общем случае должно быть разрешено запускать программы только из Program Files и Windows, но запрещено запускать из systemdrive:\Windows\tmp и systemdrive:\Windows\blablabla\spooler
Для этого нужно понимать, что такое права NTFS их
наследование. Все диски в системе на которых есть программы которые можно запускать программы — сделать NTFS. Лучше всего всегда чтобы запускаемые программы были только в Program Files при этом пользователи этих программ никогда не должны иметь прав записи в системные каталоги.
Любые манипуляции с NTFS и ACL должен проводить человек который понимает что делает!
Затем:
- изменить права на диски таким образом чтобы гость, да и вообще пользователи не могли создавать каталоги и файлы. Единственное обязательное разрешение папки с профилями пользователей и временные папки Windows включая "принтерный спулер". Главный запрет папка с Program Files (незачем туда писать ни пользователям ни пользователям удалённого рабочего стола ни инсталяторам. Всёравно ставить программы и обновления будем от учётки админа)
- снять к права пользователей c папки Program Files. Не запретить, а именно снять! (запретом можно случайно сломать доступ и админам) Пользователям можно оставить только Читать каталоги и подкаталоги но не файлы! Traverse folders
- после этого включите политику ограничения программ или App Locker и проверьте что пути откуда допускается запуск программ не допускают пользователям записывать данные. Для пущего запрета можете добавить блокировку запуска из некоторых каталогов в Program Files но очень осторожно! Можно повредить систему так что потом и системы и у админа будут проблемы.
- проверьте и добавьте ограничение запуска из временных папкок Windows и spooler Windows. Они обычно находятся в папке Windows, а на неё включено разрешение запуска программ (иначе система не стартанёт).
- после этого разрешите в Program Files пользователям запускать программы только из папки Google Chrome хотя я рекомендую Mozilla Firefox
- также рекомендую снять право пользователей запускать Internet Explorer (некоторые программы Microsoft умеют обходить SRP)
Теперь при установке программ от учётной записи администратора нужно будет отключать SRP и ставить программу или обновление, затем включать SPR.
Несколько замечаний.
SRP и/или AppLocker есть не во всех дистрибутивах Windows. Понятно, что MS это машина по зарабатыванию денег. Но SRP напрямую затрагивает основу основ компьютерной безопасности операционных систем Windows и для меня выглядит не совсем логичным добавить UAC но не дать возможность защищать систему при помощи SRP на самой дешёвой OEM Windows системе. До появления SRP я пользовался замечательной программой
TrustNoExe. Она бесплатна ставится в виде сервиса имеет белые и чёрные списки. На новых дистрибутивах Windows я её не испытывал, но она могла бы закрыть брешь в безопасности Windows где есть NTFS но нет SRP.
SRP это не панацея. К сожалению программы умеющие исполнять скрипты например Word, Excel и т д можно использовать для инжекции постороннего исполняемого кода, а значит можно пытаться поднять привилегии используя известные и не очень уязвимости.
Дополнительные рекомендации:
При установке всяких программ типа Google Chrome, Mozilla Firefox, Skype, FoxItReader и т д (их количество будет продолжать расти). следить чтобы они не наставили своих сервисов. С появлением UAC в Windows, всем есть дело и все явно (есть птичка отказаться) или подло (нет выбора) ставят такие сервисы. Если программа ставит такой сервис — удалить его sc delete имя_сервиса. Назначение этих сервисов — скрытая установка своих программ. Отвратительные побочные явления — внезапная поломка системы после неудачного обвноления (включая обновления Windows) У нас был случай когда на клиентских серверах Win2008 после автоматического обновления тотально (у большого числа клиентов) перестал работать терминальный сервер, в результате чего пришлось удалять часть обновлений и ставить другие. После этогого все автообновления были отключены и заблокированы. Нехотите таких сюрпризов — пресекайте все попытки программ установить свои сервисы. Есть программы которые после своей установки хамским образом меняют NTFS acl таким образом что разрешают писать всем в каталог этой программы в Program Files — это сведёт к нулю все ваши старания ограничить запуск программ. Избавляйтесь от таких программ используйте нормальные которые не пишут в Program Files.
Кроме этого такой подход позволит вам отказаться от антивирусов если не будете бездумно ставить всякий неизвестный и даже известный софт.
