Возможно ли заблокировать установку Yandex браузера, Amigo, Mail и прочей нехорошей штуки через групповую политику доменной сети?
Возможно ли заблокировать установку Yandex браузера, Amigo, Mail и прочей нехорошей штуки через групповую политику доменной сети? Все это устанавливается без прав администратора, по этому "user" могут творить что хотят установив эти браузеры. Запретить локально через AppLocker невозможно так как большинство компьютеров на windows xp, да и это не совсем выход. Как запретить установку таких программ?
Вангую, что следующий вопрос будет: как запретить установку других каких-то программ...
А ответ один:
нужно или совсем запрещать установку программ, или не запрещать вовсе....
или
не давать запускать никакие программы, кроме уже установленных в ОС и разрешить установку только из шары "надёжных" программ, которая централизовано управляется админами сети..
Для правильного вопроса надо знать половину ответа
Возможно. Достаточно запретить пользователям запуск программ из любых каталогов, кроме C:\Windows, C:\Program Files и C:\Program Files (x86).
Для XP есть Software Restriction Policy (SRP).
В таком случае перестанут запускаться и другие программы необходимые в работе, так как они тоже хранят свои файлики в скрытых каталогах и по другим адресам.
Это самый правильный вариант - разрешать запуск программ только оттуда, где пользователь не имеет прав на запись. К тому же защитит от запуска криптолокера или подобного
В таком случае перестанут запускаться и другие программы необходимые в работе, так как они тоже хранят свои файлики в скрытых каталогах и по другим адресам.
Речь не о данных, а о программах.
Никакие программы не должны запускаться ни откуда еще кроме как из разрешенных администратором каталогов, куда их не может положить простой пользователь.
Данные все также могут лежать в профиле пользователя.
А вот положенный туда exe-файл не должен запускаться - в этом и идея.
SyavaSyava: не 100%, шифрование может быть запущено через макросы или через любую другую брешь во вполне себе легитимном ПО, так что софт должен быть тоже ап ту дейт.
SyavaSyava: все верно, но раз в год и палка стреляет. К тому же вы безаппеляционно заявляете, что SRP дает 100% гарантию от шифровальщиков, это не так. А если юзер захочет обойти SRP злонамеренно, то что его вообще остановит?
SyavaSyava: Макрос может шифровать данные собственными механизмами, без использования стороннего исполняемого объекта. То, что пока таких нет или мало не говорит о том, что не появятся в дальнейшем. Вот, как пример - недавний шифровальщик, который вызывается через внешнюю обработку 1с. Если положить на 1с весь код зловреда, то ни одна SRP тут вообще не поможет, от слова никак. Конкретно в этом случае помогает только полный запрет на выполнение внешних обработок. 1с об этом позаботились и в поддерживаемых конфах запилили предупреждение с рекомендацией отключения внешних обработок. Но, во-первых, не все этой рекомендацией воспользовались, а во-вторых, есть 100500 устаревших или просто сторонних конфигураций, с которыми не все так просто.
> А если админ не умеет это делать, то причём тут политики?
Всё так, если админ не умеет использовать все средства защиты, то политики тут мало помогут.
В итоге, говорить, что SRP дает 100% защиту нельзя. Как один из отличных инструментов - да, но не панацея.
с помощью встроенного механизма ACL файловой системы запретите пользователям создание файлов и папок везде, кроме собственно папки пользователя, а в папке пользователя запретите запуск файлов на исполнение.
Собственно, для сетевой папки профилей пользователей я так и сделал у себя.
Можете для своей папки C:\Users выставить:
СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ
Разрешить
Только для файлов
[Содержание папки / чтение данных
Чтение атрибутов
Чтение дополнительных атрибутов
Создание файлов / запись данных
Создание папок / дозапись данных
Запись атрибутов
Запись дополнительных атрибутов
Удаление подпапок
Удаление
Чтение разрешений]
СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ
Разрешить
Только для подпапок
[Траверс папок / выполнение файлов
Содержание папки / чтение данных
Чтение атрибутов
Чтение дополнительных атрибутов
Создание файлов / запись данных
Создание папок / дозапись данных
Запись атрибутов
Запись дополнительных атрибутов
Удаление подпапок
Удаление
Чтение разрешений]
СИСТЕМА
Разрешить
Для этой папки, ее подпапок и файлов
[Полный доступ]
Администраторы
Разрешить
Для этой папки, ее подпапок и файлов
[Полный доступ]
Пользователи
Разрешить
Только для этой папки
[Траверс папок / выполнение файлов
Содержание папки / чтение данных
Чтение атрибутов
Чтение дополнительных атрибутов
Чтение разрешений]
Расставляете эти права для C:\Users, ставите галку "Заменить все записи разрешений дочернего объекта наследуемыми от этого объекта" и жмёте "ОК".
Почитаю ответы, но мне кажется единственный вариант - это блочить создание папок и файлов с соответствующими названиями, в профилях пользователей и соответствующих ветках реестра. Но они (названия) могут меняться со временем - нужно следить за актуальностью.
Этот способ не подойдет к сожалению, так как, например, Mail установщик умеет переименовывать папки для установки, если они заняты или к ним нет доступа. То есть программка найдет куда себя положить на диске.
Это как раз тот случай, когда, отчаявшись найти правильное и элегантное решение проблемы, нужно выдохнуть, расслабиться и понять, что дело просто в том, что ты решаешь не ту проблему.
что за чушь? ты можешь усраться с безопасностью на рабочем компе, а сотрудник сфоткает монитор мобильным телефоном
То что можно сфоткать - можно и на принтере распечатать, положить под стельку и вынести.
То, что можно сфоткать - можно и запомнить, в конце то концов.
Без файлов невозможно вынести большие объемы информации.
tartarelin: Не нужно. Но mail.ru предлагает "повысить удобство" и всем навяливает свои расширения в браузер и т.д. Амиго этот как таракан - только избавишься - он снова заводится
LAG_LAGbI4: А я с Вами на брудершафт не пил, чтобы мне тыкали тут всякие. Пускай сфоткает. А потом помотается по судам за разглашение коммерческой тайны.
На шлюзе фильтровать данные файлы при передаче. Запретить юзеру ставить программы в домашнюю папку. Запретить запускать за пределами системных папок. Запретить запускать все кроме разрешенных исполняемых файлов.
