Показать полную графическую версию : [решено] как запретить установки программы?
Здравствуйте,
как запретить юзерам установка программу в папку ProgramData ?
1. Просто в лоб отобрать права записи в папку ProgramData.
Либо
2. Запретить запуск любых исполняемых файлов из тех директорий, куда у них есть права на запись. Делается через SRP.
3. Отобрать права на запись в те директории, где расположены "разрешенные" для запуска программы, т.о. они просто не смогут ничего устанавливать, потому что файлы exe не будут запускаться из "неразрешенных" для запуска директорий, а пихать их в разрешенные для запуска директории у них прав не хватит.
P.S. Всё это чревато постоянными проблемами, которые придется постоянно корректировать в ручном режиме.
как запретить юзерам установка программу в папку ProgramData ? »
Ну, запретите Вы… Будут устанавливать в %UserProfile%\Desktop, толку-то. А вот проблем после игрищ с %SystemDrive%\ProgramData точно огребёте.
ну а тогда как все грамотно сделать ?
Грамотно - читайте документацию и гайды по AppLocker или протокол Губаревича по SRP (Поданса можно читать тоже) или разбирайтесь с WDAC http://www.outsidethebox.ms/18937/
Quaker_75
19-03-2020, 11:07
или разбирайтесь с WDAC » - на многих машинах данный файл (SIPolicy.p7b) препятствует загрузке системы вообще. Помогает лишь загрузка с LiveCD и его удаление. Это так, к сведению
ну а тогда как все грамотно сделать ? »
Начать с того, чтобы рассказать кто вы, кто ваши пользователи и какие конкретно цели вы преследуете?
- на многих машинах данный файл (SIPolicy.p7b) препятствует загрузке системы вообще. »
Что значит на многих? Наверное, есть критерии, при которых проблема возникает. Если вы развертываете в организации, вы тестируете сначала и выясняете эти критерии.
Цитата dislike:
ачать с того, чтобы рассказать кто вы, кто ваши пользователи и какие конкретно цели вы преследуете? »
Я руководитель ИКТ отдела. И не давно заметил что пользователи компании устанавливают некоторые программы в папку ProgramData.
Цели таковы что бы юзеры использовали те программы которые уже установлена на ихние компьютера
Цитата Vadikan:
Грамотно - читайте документацию и гайды по AppLocker »
Про AppLocker знаю. Но не хочу по каждой программу создать правил.
заметил что пользователи компании устанавливают некоторые программы в папку ProgramData »
У них права администраторов или пользователей?
У них права администраторов или пользователей? »
пользователь
Про AppLocker знаю. Но не хочу по каждой программу создать правил. »
Трудно сказать, что вы знаете про AppLocker. Потому что общий подход - белый список. Например, запрещается запускать исполняемые файлы из всех расположений кроме Windows и Program Files, т.е. куда нужны права админа для записи. См. также https://t.me/sterkin_ru/743 | https://m.vk.com/wall-81672804_6532
У них права администраторов или пользователей? »
пользователь
А что они с правами юзера могут инсталлить?
Я под юзером пробовал - ничего не ставилось..
А что они с правами юзера могут инсталлить? »
Всё, что явно не требует административных привилегий.
Я под юзером пробовал - ничего не ставилось.. »
Google Chrome, как наиболее яркий представитель.
Google Chrome, как наиболее яркий представитель. »
Только зачем его лепить в ProgramData, когда он по-умолчанию прекрасно ставится в профиль пользователя и оттуда работает...
А что они с правами юзера могут инсталлить?
Я под юзером пробовал - ничего не ставилось.. »
Windows 10 1903 Сам пробовал по правами юзера установить программу notepad++ в ProgramData. и Вуалья все прекрасно установился
rafka rafka :Про AppLocker знаю. Но не хочу по каждой программу создать правил. »
Так в чем собственно проблема ?? 1) Убираете всех "конкурирующих администраторов " понизив их до пользователей в аплете панели управления Учетные записи пользователей--->Управления другой учётной записью на всех машинах ваших сотрудников.
2)Включаете на всех машинах User Account Control (UAC) (это можно сделать и удалённо если учётная запись администратора настроена на всех машинах локальной сети) настроив его так чтобы при Privilege Escalation (повышение привилегий) которое запрашивается в подавляющем большинстве случаев установки приложений и запуска приложений с привилегиями администратора, пользователь видел запрос учётных данных администратора которые будите знать только ВЫ.
Всё выше указанное в п.2 можно сделать изменив в редакторе групповой политики правило User Accaunt Control :Behavior the elevation users --->Promt for Credntials . (Users Account Control :поведение запроса для повышения прав обычных пользователей ) (Запрос учётных данных администратора)
Попутно можно настроить правило запретив установку любых приложений для обычных пользователей.
PS Данная мера не является 100% "щитом ", особенно если среди ваших сотрудников есть "продвинутые" пользователи которые загрузившись со сменного носителя с помощью специальных утилит могут изменить учётные данные администратора.
Вечная война защиты и нападения :-) :-) .
domenix, проблема в том, что даже в этой теме четко говорится о том, что полно установщиков, не требующих прав администратора. И даже пример есть, из которого вы небось это и написали:)
Попутно можно настроить правило запретив установку любых приложений для обычных пользователей. »
А конкретнее?
© OSzone.net 2001-2012
vBulletin v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.