Александр

Проверьте по порядку:
1. Питание для cpu. Подключили или нет.
2. Установку процессора.
3. Установку памяти.

Либо настраивать политики AppLocker и следить за их логами, чтобы добавлять новое, либо покупать стороннее решение типа Admin by request.

Нет такого аттрибута "запретить устанавливать программы".
Если программа не требует реестра и установки в winows/program files, то особые права ей не нужны.
Ведь что есть установка? Копирование файлов и прописывание ключей в реестр.
Поэтому "можно было устанавливать все только от админа" - это вам показалось.

Еще задолго до того как вы погибните у вас будут признаки ухудшения здоровья. Легочные болезни
например. Но я в юности много паял. И у меня нет ничего легочного. А вот моя жена поработала парикмахером
более 10 лет и у нее уже есть астма и прочие сопутсвующие.

Короче. Есть профессии во много раз более опасные чем пайка. А всем остальным, дорогие мои
красноглазые ботаны (и радиолюбителю тоже), с больше вероятностью грозит остеохандроз,
туннельный синдром, просадка зрения ну и... гемор как ни странно.

по взрослому - MDT
https://learn.microsoft.com/ru-ru/windows/deployme...

по детски - многорук

dnsmasq - первое слово в названии DNS, это в первую очередь DNS, а потом уже dhcp и tftp. Как следствие есть опция для выключения TFTP и DHCP на определенном интерфейсе.

В данном случае iptables лучший вариант для решения твоей задачи при использовании dnsmasq.

В целом это нормально когда ножом не получается разрубить полено, это значит что нож не подходит для этой задачи и тебе стоит обратить внимание на другой инструмент.

unbound + isc-dhcp-server + atftpd

1й варик - хранить не на раб.столе и через файл ответов лепить ярлыки

2й - в файле ответов профиль по умолчанию изменить. гуглить<CopyProfile>

лично лишь 2й осуществлял

p.s. а вообще есть такое, как общий раб.стол. C:\Users\Public\Desktop - самое банальное и простое. сиспрепы его не чистят

Серверные и не дешевые десктопные материнки имеют функционал установки и удаления ключей подписи загрузчика (secure boot), чтобы произвести загрузку в этом режиме, код загрузчика должен быть подписан ключем, указанным как доверенный в биосе. По умолчанию там прописаны ключи, которым подписаны загрузчики всех популярных ОС (windows/linux/...), если добавить свой ключ и удалить общий ключ, то загружаться такая машина будет только операционную систему, загрузчик которой подписан твоим ключом.

Кстати относительно недавно публичный ключ менялся и в современную материнку не получится загрузиться с очень старой версией windows/linux в режиме efi (только legacy mbr при котором защита отключена)

Сбросить это батарейкой не получится (как я понимаю можно выпаять чип и впаять свой, но там тоже есть подводные камни). Кстати это намек, что ошибка в настройке secure boot может окирпичить материнскую память (т.е. либо выбрасывать либо дорого чинить).

p.s. в любом случае наличие бесконтрольного доступа к железу злоумышленника это дыра в безопасности, например он может установить в клавиатуру/кабель жучок, записывающий все нажимаемые кнопки (так можно к примеру украсть пароль шифрования диска).

на все есть свои методы защиты, и соответственно на каждую свой тип атаки... борьба вечная и очень дорогая.

Зачем водянка то? обычный воздух от Noctua поставить, будет топчик

И БП возьми от нормальной фирмы, Термайлейк, Биквайлет, FSP, хотя бы с рангом Bronze...

Имхо, нормально. Только видеокарту меньше RTX 4070 брать не стоит, если комп для игр.

Коллеги, чтото вы человека грузанули.
Расклад для людей задающих такие вопросы.
1. Пожалуй главное что нужно оценить - кол-во трафика, если у вас полтора землекопа, 2 коммутатора и 3 офиса в туннелях. При этом из внешнего прихода только впн для удаленных сотрудников - железный фаер избыточен.
Если у вас многоуровневая коммутация с парой сотней вланов и сетевой структурой 10-20 разных офисах\производствах\странах с кучей данных для внешнего доступа железный фаер !!!удешевит!!!(я не ошибся) и обезопасит вашу инфраструктуру. Фаер нужен для разгрузки процессоров коммутаторов в сети.

Отступление: бум железных фаеров был связан с ограниченными процессорными мощностями и колоссальным ростом трафика в прошлом. Было не выгодно создавать 2-6 процессорную железку и на аппаратном уровне ее обучать понимать обработку трафика. Это сейчас лохушная железка за 150$ может через себя пропустить 10гигабит\с и зароутить его в 20 вланов при этом иметь поднятый фаервол, работать с 10 впн клиентами и резать 25 клиентам на лане скорость соединения по разным конфигам и при этом иметь загруженность процессора 40-50%. А раньше для такого понадобился бы штат в 2 сервера, 4 л3 коммутатора и железный фаер. Я утрирую конечно, но не далек от истины.

2. Сейчас железный фаер скорее стандартизированное решение для крупных компаний, я недавно настраивал офис крупной международной логистической компании. Так там все просто было: мы закупили и смонтировали схему железный фаер-л3-пое-server . Потом ребята из главного офиса закинули за 15 минут туда готовые конфиги и за пару часов залили на сервер данные. Через 3 условных часа была смонтирована голова офиса на 140 рабочих мест.

Вывод: Даже для больших компаний с небольшим потоком входящего трафика железка не нужна. Ставишь глухую заглушку на вход, остальной трафик гоняешь по тунелям, клиентов и хосты вырезаешь вланами и строгими правилами маршрутизации. Это кажется очень накладно с точки зрения времени, но это не так. Если подготовить стандартизированные конфиги для определенной марки оборудования, то сможете масштабировать почти до любых размеров свою сеть не прибегая к железным фаерам )))

Все сказанное не является истиной в последней инстанции ))

Как правильно - сделать внутренний DNS сервер с другой зоной и там хранить внутренние адреса. С другой - чтобы можно было резолвить внешние адреса тоже.

Можно, разрешаю.
Но в принципе обычно такое решают через внутренний DNS, чтобы не тащить информацию о внутренностях сети на публику.