Как запретить вносить любые программные изменения на ПК?

Question

[Ksyusha111]

Необходимо запретить любые программные изменения на пк без физического ключа. Как это называется, чтобы объяснить системному администратору? И как это осуществляется? Нужно избежать установки любых вирусов и сомнительных программных компонентов. Поможет ли это от установки вредоносных ПО или не совсем?

Comments

[CityCat4]

сегодня пришел сомнительный файл вместе с обновлением windows

Откуда он пришел, пардон? С сервиса обновлений M$? Нихрена вы себе тогда микропредприятие... Или по почте (или другим каналом, отличным от сервиса обновлений M$)?

[Ksyusha111]

CityCat4, откуда пришел-не известно, отобразился в журнале обновлений Eset вместе с обновлениями windows и с их наименованием в названии. антивир на него поругался и отметил как Критический. Микропредприятие, просто конкуренты хотят занять наш регион и препятствовать нашей работе.

[CityCat4]

Ksyusha111, Под микропредприятие никто не будет отдельное обновление у M$ делать :)

Answer 1

[Владимир Коротенко]

Это называется авторизация по ключам.
Из наших разработчиков вот эти, хотя их куча
https://www.aladdin-rd.ru/catalog/jacarta

Насчет помочь не поможет.

Админу нужно сделать несколько другое:
1. Поддерживать все компьютеры в актуальном состоянии
2. Запретить запуск программ не из белого списка
3. Составить группы доступа с определенными правами для пользователей
4. Удалить / обновить программы требующие админских привелегий
5. Владельцу конторы стоит составить правила внутреннего распорядка и раздать под подпись сотрудникам.
6. После этого для предотвращения всех угроз достаточно будет встроенного антивируса Windows
7. Потраттесь на курсы для сотрудников по теме "Цифровая гигиена в интернете и типичные ошибки пользователей"

Answer 2

[Alexey Dmitriev]

Это называется kiosk mode.

Comments

[Владимир Коротенко]

Там все грустно и печально. Но для определенных кейсов подойдет.

Answer 3

[CityCat4]

Вопрос не сколько технический, сколько организационно-правовой. Хотя конечно кое-что можно сделать.

- Если есть домен, лишних юзеров/ботов из группы Domain Admins нахрен, если домена нет - то же самое из группы Administrators на каждом компе.
- Каждому юзеру - по стандартной учетке, никаких админских прав для секретарей
- Составить и внедрить белый список программ для каждого рабочего места, весь лишний софт - нахрен
- UAC, Защитник Windows и антивирус (с постоянно обновляемой базой) - в боевую стойку.

А организационно - можно составить и довести под роспись каждому некий документ, в котором будет сказано и про то, что нельзя ссылки в левой почте открывать и про то, что установка программ - задача админа, а остальным нефиг. Или даже не один документ, а несколько.

Comments

[Ksyusha111]

спасибо за ответ! Почему-то мои комментарии удаляют... У нас пара человек всего, но нацеленная атака, оттуда взломано все, включая айфоны, на что компания эпл безнадежно утверждает, что это не возможно... в группах по крипте в Телеге, в которых мы состоим и получаем доход, у людей поголовно выводят деньги и мы знаем, что это от нас...

[CityCat4]

Ksyusha111,

оттуда взломано все, включая айфоны, на что компания эпл безнадежно утверждает, что это не возможно

Знаете, я склонен более верить ябблу :) Как Вы определили, что ябблофон взломан?

[Ksyusha111]

CityCat4, вот потому что все не склонны верить, происходит полнейший террор... для начала, когда были взломаны аккаунты, пришло сообщение, что пытаются войти из Татарстана по вашим данным Apple ID. Далее телефон стал отображаться просто данным сторонним регионом-Татарстаном, хотя мы (моя семья, владельцы маленького бизнеса) проживаем в другом регионе и ранее телефон никогда не путался в геолокациях. Динамические IP- не причем. После этого через какое-то время из телефона просто стали пропадать фото, видео, контакты были удалены полностью, постоянно перехватывают смс и обрубают звонки, телефон начинает мигать белым экраном. Просто белым.

Answer 4

[АртемЪ]

Необходимо запретить любые программные изменения на пк без физического ключа

Это нужна аппаратная платформа, проверяющая перед запуском компьютера наличие ключа. Покупайте платформу и устанавливайте.

Как это называется, чтобы объяснить системному администратору?

Trusted Platform Module (TPM)

Нужно избежать установки любых вирусов и сомнительных программных компонентов.

Да запросто это делается штатными средствами ОС (Windows, Linux). Только непонятно какое это имеет отношение к вашему вопросу? При чем тут аппаратные ключи, и как это связано?

Поможет ли это от установки вредоносных ПО или не совсем?

Использование аппаратного ключа никак не влияет на возможность заражения вирусами и установки вредоносного ПО.

Comments

[Ksyusha111]

спасибо за ответ! Я думала, что если любой вирус имеет программную структуру ( а иначе как он запускает процессы), то запрет на установку любых программных компонентов без ключа,поможет избежать их проникновения... и я думала, что даже если он маскируется при попадании на пК, он позже все равно запускается и запрет поможет этого избежать)))

[АртемЪ]

Ksyusha111, Любой вирус это программа.
Запрет на установку, а лучше на запуск программ - не даст вирусу запуститься.
При чем тут ключ непонятно.

Устанавливать программы может только администратор.
Пользователь не может установить программу.
Это уже снижает вероятность попадания вируса в систему.

Самое эффективное - включение политики ограниченного использования программ.
Администратор указывает какие программы нужны пользователю для работы.
Любые другие программы просто не запустятся - прав на запуск не будет.

И никаких ключей для этого не надо.

Ключи используются для аутентификации пользователя.
Поэтому ключ никак не помешает запуститься вирусу. Все зависит от прав пользователя.

Answer 5

[Diman89]

Как вариант, это называется СЗИ от НСД, например Dallas lock (во всяком случае оно такое умеет)

Comments

[Ksyusha111]

спасибо за ответ! наш сис админ вообще косо на нас смотрит, и ничего не делает, не предлагает никаких решений..

Answer 6

[justhostRU]

к вариантам выше
+ лайтовый: не предоставлять пользователям прав администратора

Comments

[Ksyusha111]

Спасибо за ответ. Это поможет от удаленного администрирования? потому что главная наша проблема, что сидят через нас же, меняют форматы документов, ставят пароли на папки, закачивают какие-то проги, кот не возможно удалить без согласования с пользователем X... Лицензионный и запароленный Касперский же просто пишет, что не удалось осуществить модуль защиты ( как-то так не дословно)... Ужас да и только, но я подозреваю, что виноват взломанный айфон, который подключала к ПК через кабель...

[justhostRU]

>что сидят через нас же,

кто сидят? каких нас?

[Ksyusha111]

justhostRU, нас- членов одной семьи, владельцев бизнеса.