Impedir que usuários do domínio instalem o software

Navegue suas respostas
3

Esta é a minha última chance para descobrir isso. Se eu puder descobrir isso.

Existe alguma maneira de impedir que um usuário instale programas em seu computador? Estaremos executando o Server 2016. Eu tentei negar a eles os direitos de administrador local (o que fiz com sucesso). Mas, sem sucesso. Eu também tentei forçar os programas a serem executados como privilégios elevados, mais uma vez, sem sucesso.

Como faço isso? É mesmo possível?

Eu realmente aprecio toda a ajuda que posso conseguir.

    
por Thomas Hutton 26.07.2016 / 18:36

3 respostas

2

Supondo que você usará um domínio e usará GPOs, o caminho recomendado (embora um PITA, mas desde que você está começando do zero seria muito mais fácil de realizar) é Políticas de Restrição de Software. Isso também traz o benefício adicional de impedir malware / ransomware de forma eficaz.

link

Software Restriction Policies (SRP) is Group Policy-based feature that identifies software programs running on computers in a domain, and controls the ability of those programs to run. Software restriction policies are part of the Microsoft security and management strategy to assist enterprises in increasing the reliability, integrity, and manageability of their computers.

     

Você também pode usar políticas de restrição de software para criar   configuração restrita para computadores, na qual você permite somente   aplicativos especificamente identificados para serem executados. Restrição de software   as políticas são integradas ao Microsoft Active Directory e ao Group   Política. Você também pode criar políticas de restrição de software   computadores autônomos. Políticas de restrição de software são confiança   políticas, que são regulamentos estabelecidos por um administrador para restringir   scripts e outros códigos que não são totalmente confiáveis em execução.

    
por 26.07.2016 / 20:45
1

Além da sugestão de Políticas de Restrição de Software do TheCleaner, a Microsoft lançou uma versão mais "hard core" chamada AppLocker.

link

AppLocker is a new feature in Windows Server 2008 R2 and Windows 7 that advances the features and functionality of Software Restriction Policies. AppLocker contains new capabilities and extensions that allow you to create rules to allow or deny applications from running based on unique identities of files and to specify which users or groups can run those applications. Using AppLocker, you can: Control the following types of applications: executable files (.exe and .com), scripts (.js, .ps1, .vbs, .cmd, and .bat), Windows Installer files (.msi and .msp), and DLL files (.dll and .ocx).

Define rules based on file attributes derived from the digital signature, including the publisher, product name, file name, and file version. For example, you can create rules based on the publisher attribute that is persistent through updates, or you can create rules for a specific version of a file.

Assign a rule to a security group or an individual user.

Create exceptions to rules. For example, you can create a rule that allows all Windows processes to run except Registry Editor (Regedit.exe).

Use audit-only mode to deploy the policy and understand its impact before enforcing it.

Import and export rules. The import and export affects the entire policy. For example, if you export a policy, all of the rules from all of the rule collections are exported, including the enforcement settings for the rule collections. If you import a policy, all criteria in the existing policy are overwritten.

Streamline creating and managing AppLocker rules by using Windows PowerShell cmdlets.

AppLocker helps reduce administrative overhead and helps reduce the organization's cost of managing computing resources by decreasing the number of help desk calls that result from users running unapproved applications.

Esteja avisado, as políticas do AppLocker são as primeiras a serem processadas na inicialização da máquina e, se configuradas como tal, são capazes de bloquear até mesmo os dlls / exe do sistema necessários, o que impedirá que o Windows seja iniciado. .

    
por 26.07.2016 / 22:56
0

Existem algumas maneiras de fazer isso, mas a maioria realmente trava o sistema.

Se você implementar a Política de Grupo no seu servidor, adicione seus usuários restritos ao grupo que terá as limitações. No GP Editor há praticamente todos os parâmetros disponíveis para impedir que os usuários realizem determinadas operações. Incluindo o uso de uma unidade USB, você pode desativá-los quando uma determinada conta se conecta. Não é preciso dizer que levará algum tempo para localizar, restringir e testar todas as funcionalidades. É tedioso, mas o método preferido para atingir seu objetivo.

Você pode pesquisar na web alguns scripts para conseguir isso, ou alguém especializado em GP. Usei-o para restringir o acesso ao navegador, carregar aplicativos de CDs, remover o prompt do DOS do botão Iniciar, etc. Todas as formas de contornar a segurança. PCs de hardware e sistemas operacionais variados também podem exigir configurações variadas no GP.

Boa sorte, geralmente é necessária uma organização com um orçamento de TI decente para aproveitar totalmente esse recurso poderoso.

Eu odeio dizer isso, mas na minha experiência, uma abordagem eficaz e menos custosa é demitir alguém como um exemplo. Para ser eficaz, embora seja necessária uma auditoria contínua do software instalado e em muitos PCs, isso pode levar algum tempo.

Um bom ponto de partida

Lista de verificação para implantação

    
por 26.07.2016 / 19:48

Tags

Usando minha própria chave privada para o certificado Vamos Criptografar devido a HPKP ldap consulta para valor de atributo em branco?