PDA

Показать полную графическую версию : [решено] как запретить установки программы?


rafka
17-03-2020, 11:02
Здравствуйте,
как запретить юзерам установка программу в папку ProgramData ?

dislike
17-03-2020, 12:30
1. Просто в лоб отобрать права записи в папку ProgramData.
Либо
2. Запретить запуск любых исполняемых файлов из тех директорий, куда у них есть права на запись. Делается через SRP.
3. Отобрать права на запись в те директории, где расположены "разрешенные" для запуска программы, т.о. они просто не смогут ничего устанавливать, потому что файлы exe не будут запускаться из "неразрешенных" для запуска директорий, а пихать их в разрешенные для запуска директории у них прав не хватит.

P.S. Всё это чревато постоянными проблемами, которые придется постоянно корректировать в ручном режиме.

Iska
18-03-2020, 03:16
как запретить юзерам установка программу в папку ProgramData ? »
Ну, запретите Вы… Будут устанавливать в %UserProfile%\Desktop, толку-то. А вот проблем после игрищ с %SystemDrive%\ProgramData точно огребёте.

rafka
19-03-2020, 06:37
ну а тогда как все грамотно сделать ?

Vadikan
19-03-2020, 08:54
Грамотно - читайте документацию и гайды по AppLocker или протокол Губаревича по SRP (Поданса можно читать тоже) или разбирайтесь с WDAC http://www.outsidethebox.ms/18937/

Quaker_75
19-03-2020, 11:07
или разбирайтесь с WDAC » - на многих машинах данный файл (SIPolicy.p7b) препятствует загрузке системы вообще. Помогает лишь загрузка с LiveCD и его удаление. Это так, к сведению

dislike
19-03-2020, 11:14
ну а тогда как все грамотно сделать ? »
Начать с того, чтобы рассказать кто вы, кто ваши пользователи и какие конкретно цели вы преследуете?

Vadikan
19-03-2020, 13:39
- на многих машинах данный файл (SIPolicy.p7b) препятствует загрузке системы вообще. »
Что значит на многих? Наверное, есть критерии, при которых проблема возникает. Если вы развертываете в организации, вы тестируете сначала и выясняете эти критерии.

rafka
20-03-2020, 08:35
Цитата dislike:
ачать с того, чтобы рассказать кто вы, кто ваши пользователи и какие конкретно цели вы преследуете? »
Я руководитель ИКТ отдела. И не давно заметил что пользователи компании устанавливают некоторые программы в папку ProgramData.
Цели таковы что бы юзеры использовали те программы которые уже установлена на ихние компьютера

Цитата Vadikan:
Грамотно - читайте документацию и гайды по AppLocker »
Про AppLocker знаю. Но не хочу по каждой программу создать правил.

dislike
20-03-2020, 09:24
заметил что пользователи компании устанавливают некоторые программы в папку ProgramData »
У них права администраторов или пользователей?

rafka
20-03-2020, 12:20
У них права администраторов или пользователей? »
пользователь

Vadikan
20-03-2020, 14:23
Про AppLocker знаю. Но не хочу по каждой программу создать правил. »
Трудно сказать, что вы знаете про AppLocker. Потому что общий подход - белый список. Например, запрещается запускать исполняемые файлы из всех расположений кроме Windows и Program Files, т.е. куда нужны права админа для записи. См. также https://t.me/sterkin_ru/743 | https://m.vk.com/wall-81672804_6532

bredych
21-03-2020, 17:57
У них права администраторов или пользователей? »
пользователь

А что они с правами юзера могут инсталлить?
Я под юзером пробовал - ничего не ставилось..

Iska
21-03-2020, 18:14
А что они с правами юзера могут инсталлить? »
Всё, что явно не требует административных привилегий.

Я под юзером пробовал - ничего не ставилось.. »
Google Chrome, как наиболее яркий представитель.

dislike
21-03-2020, 22:09
Google Chrome, как наиболее яркий представитель. »
Только зачем его лепить в ProgramData, когда он по-умолчанию прекрасно ставится в профиль пользователя и оттуда работает...

rafka
23-03-2020, 15:40
А что они с правами юзера могут инсталлить?
Я под юзером пробовал - ничего не ставилось.. »
Windows 10 1903 Сам пробовал по правами юзера установить программу notepad++ в ProgramData. и Вуалья все прекрасно установился

domenix
11-04-2020, 19:04
rafka rafka :Про AppLocker знаю. Но не хочу по каждой программу создать правил. »
Так в чем собственно проблема ?? 1) Убираете всех "конкурирующих администраторов " понизив их до пользователей в аплете панели управления Учетные записи пользователей--->Управления другой учётной записью на всех машинах ваших сотрудников.
2)Включаете на всех машинах User Account Control (UAC) (это можно сделать и удалённо если учётная запись администратора настроена на всех машинах локальной сети) настроив его так чтобы при Privilege Escalation (повышение привилегий) которое запрашивается в подавляющем большинстве случаев установки приложений и запуска приложений с привилегиями администратора, пользователь видел запрос учётных данных администратора которые будите знать только ВЫ.
Всё выше указанное в п.2 можно сделать изменив в редакторе групповой политики правило User Accaunt Control :Behavior the elevation users --->Promt for Credntials . (Users Account Control :поведение запроса для повышения прав обычных пользователей ) (Запрос учётных данных администратора)
Попутно можно настроить правило запретив установку любых приложений для обычных пользователей.

PS Данная мера не является 100% "щитом ", особенно если среди ваших сотрудников есть "продвинутые" пользователи которые загрузившись со сменного носителя с помощью специальных утилит могут изменить учётные данные администратора.
Вечная война защиты и нападения :-) :-) .

Vadikan
12-04-2020, 21:58
domenix, проблема в том, что даже в этой теме четко говорится о том, что полно установщиков, не требующих прав администратора. И даже пример есть, из которого вы небось это и написали:)

Попутно можно настроить правило запретив установку любых приложений для обычных пользователей. »
А конкретнее?




© OSzone.net 2001-2012