как запретить установки программы?
 

Здравствуйте,
как запретить юзерам установка программу в папку ProgramData ?

1. Просто в лоб отобрать права записи в папку ProgramData.
Либо
2. Запретить запуск любых исполняемых файлов из тех директорий, куда у них есть права на запись. Делается через SRP.
3. Отобрать права на запись в те директории, где расположены "разрешенные" для запуска программы, т.о. они просто не смогут ничего устанавливать, потому что файлы exe не будут запускаться из "неразрешенных" для запуска директорий, а пихать их в разрешенные для запуска директории у них прав не хватит.

P.S. Всё это чревато постоянными проблемами, которые придется постоянно корректировать в ручном режиме.

Ну, запретите Вы… Будут устанавливать в %UserProfile%\Desktop, толку-то. А вот проблем после игрищ с %SystemDrive%\ProgramData точно огребёте.

ну а тогда как все грамотно сделать ?

Грамотно - читайте документацию и гайды по AppLocker или протокол Губаревича по SRP (Поданса можно читать тоже) или разбирайтесь с WDAC https://www.outsidethebox.ms/18937/

- на многих машинах данный файл (SIPolicy.p7b) препятствует загрузке системы вообще. Помогает лишь загрузка с LiveCD и его удаление. Это так, к сведению

Начать с того, чтобы рассказать кто вы, кто ваши пользователи и какие конкретно цели вы преследуете?

Что значит на многих? Наверное, есть критерии, при которых проблема возникает. Если вы развертываете в организации, вы тестируете сначала и выясняете эти критерии.

Я руководитель ИКТ отдела. И не давно заметил что пользователи компании устанавливают некоторые программы в папку ProgramData.
Цели таковы что бы юзеры использовали те программы которые уже установлена на ихние компьютера

Про AppLocker знаю. Но не хочу по каждой программу создать правил.

У них права администраторов или пользователей?

пользователь

Трудно сказать, что вы знаете про AppLocker. Потому что общий подход - белый список. Например, запрещается запускать исполняемые файлы из всех расположений кроме Windows и Program Files, т.е. куда нужны права админа для записи. См. также https://t.me/sterkin_ru/743 | https://m.vk.com/wall-81672804_6532

А что они с правами юзера могут инсталлить?
Я под юзером пробовал - ничего не ставилось..

Всё, что явно не требует административных привилегий.

Google Chrome, как наиболее яркий представитель.

Только зачем его лепить в ProgramData, когда он по-умолчанию прекрасно ставится в профиль пользователя и оттуда работает...

Windows 10 1903 Сам пробовал по правами юзера установить программу notepad++ в ProgramData. и Вуалья все прекрасно установился

rafka rafka :Так в чем собственно проблема ?? 1) Убираете всех "конкурирующих администраторов " понизив их до пользователей в аплете панели управления Учетные записи пользователей--->Управления другой учётной записью на всех машинах ваших сотрудников.
2)Включаете на всех машинах User Account Control (UAC) (это можно сделать и удалённо если учётная запись администратора настроена на всех машинах локальной сети) настроив его так чтобы при Privilege Escalation (повышение привилегий) которое запрашивается в подавляющем большинстве случаев установки приложений и запуска приложений с привилегиями администратора, пользователь видел запрос учётных данных администратора которые будите знать только ВЫ.
Всё выше указанное в п.2 можно сделать изменив в редакторе групповой политики правило User Accaunt Control :Behavior the elevation users --->Promt for Credntials . (Users Account Control :поведение запроса для повышения прав обычных пользователей ) (Запрос учётных данных администратора)
Попутно можно настроить правило запретив установку любых приложений для обычных пользователей.

PS Данная мера не является 100% "щитом ", особенно если среди ваших сотрудников есть "продвинутые" пользователи которые загрузившись со сменного носителя с помощью специальных утилит могут изменить учётные данные администратора.
Вечная война защиты и нападения :-) :-) .

domenix, проблема в том, что даже в этой теме четко говорится о том, что полно установщиков, не требующих прав администратора. И даже пример есть, из которого вы небось это и написали:)

А конкретнее?