Como impedir que usuários de domínio instalem qualquer software?

Navegue suas respostas
1

Eu queria saber quais políticas, etc eu poderia configurar para impedir que qualquer instalação ocorra em um ambiente de domínio do servidor 2003? Eu tenho 2003 RC2 e XP Pro clientes.

Acho que a maneira mais rápida e rápida é fazer com que todos sejam convidados, mas isso também os bloqueia de outras coisas que eles precisam fazer / acessar. Eu vi muitas idéias, mas elas não bloqueiam completamente tudo. Eu sei que provavelmente não há uma solução, mas gostaria de chegar o mais perto possível.

Obrigado a todos,

    
por Chris 07.06.2010 / 17:31

4 respostas

2

Remova os direitos de administrador local, remova o usuário local de energia, passe horas depurando softwares ruins e mal arquitetados com problemas de acesso usando o software sysinternals para solucionar manualmente problemas de acesso.

Configure os compartilhamentos de software para diretórios base, perfis etc. e redirecione os subdiretórios selecionados (como meus documentos) para um compartilhamento de rede. Em seguida, use algo como o Faronics Deep Freeze para "redefinir" o computador de volta ao estado original após cada reinicialização.

Acho que eles também têm softwares que podem colocar na lista de permissões executáveis, mas será difícil configurar e manter se você tiver um grande número de sistemas com necessidades diversas para atender.

Obtenha sistemas sem unidades de CD e use uma unidade USB portátil para instalação de software.

Faça o RH apoiar as políticas que deixam claro o que é permitido e o que não está nos sistemas, que são propriedade da empresa e que não há expectativa de privacidade neles.

Use um software de filtragem para monitorar o uso da web e você pode bloquear os downloads, se necessário.

Quão draconiano você quer chegar?

Você também pode usar imagens de seus sistemas e periodicamente refazer a imagem de seus computadores para um estado limpo. Ainda assim, a manutenção exige que uma imagem por mês desatualizada precise de um mês de atualizações de terça-feira instaladas. Além disso, os usuários ainda precisam dos próprios dados contabilizados no servidor ou se estiverem conseguindo salvar as coisas "acidentalmente" localmente. vai ouvir resmungos.

Você precisará examinar suas políticas e equilibrar a usabilidade com o quanto de uma PITA você vai conseguir para que os funcionários façam seu trabalho e quão miserável você quer que seus funcionários se sintam, se o empregador espera Muitos funcionários e, ao mesmo tempo, não dão a eles nenhuma sensação de poder ou liberdade ... funcionários que sentem um pé nas costas e olhos sobre os ombros têm maneiras maravilhosamente criativas de tornar sua vida mais miserável e eles não vai se sentir mal pelo menos se eles se sentirem justificados.

    
por 07.06.2010 / 17:49
1

A resposta é impedi-los de serem administradores. Se você não está disposto a fazer isso, então sempre haverá uma maneira de contornar qualquer coisa que você coloque em prática.

    
por 07.06.2010 / 17:32
1

Seu primeiro passo será obter o buy-in da empresa para realmente permitir que você faça uma coisa dessas. Mesmo em ambientes corporativos seguros e corporativos, tenho visto executivos não estarem dispostos a criar listas brancas de aplicativos. Depois disso, você deve examinar as diretivas de restrição de software .

Isso permite que você permita ou bloqueie o software com base em:

Hash, certificado, caminho e zona da Internet.

Onde a restrição de software não se aplica é:

Drivers ou outro software no modo kernel.

  • Qualquer programa executado pelo SYSTEM conta.

  • Macros dentro do Microsoft Office 2000 ou documentos do Office XP.

  • Programas escritos para o público comum tempo de execução da linguagem.

Para o bloqueio CLR você deve usar o CASPOL.

As etapas de instalação seriam configurar uma máquina de teste e começar a bloquear as políticas. Os direitos de administrador não afetam esse tipo de restrição (a menos que você escolha ver o link para obter detalhes). Depois de ter bloqueado tanto o software regualr quanto o CLR, a única fonte real de preocupação é o java.

    
por 07.06.2010 / 19:06
0

Eles sempre poderão "instalar" software que não requer acesso de administrador. Muitos softwares não precisam gravar na pasta Arquivos de Programas ou fazer alterações em todo o sistema. Aplicativos especialmente simples que são apenas EXEs ou "aplicativos portáteis". Afinal, você permite que eles executem arquivos EXE, certo?

Se eles forem realmente não administradores e não tiverem direitos de gravação ou modificação em Arquivos de programas ou Windows, aposto que eles estão apenas executando aplicativos simples. Há uma configuração de política de grupo que permite whitelist que EXEs são permitidos, mas eu seria muito cuidadoso ao brincar com isso, pois ele pode tornar todas as suas máquinas inoperáveis.

    
por 07.06.2010 / 18:11

Tags

DNS redirecionando mydomain.com/mysite.htm para www.mydomain.com O Windows Server 2003 (32 bits) pode hospedar uma imagem de inicialização de 64 bits para o WDS?