Я прекрасно понимаю, что этой заметкой для многих я не открою ничего нового. Пост в первую очередь предназначен для начинающих коллег, но если более опытные сисадмины подключатся к обсуждению и поделятся опытом, получится интересно.

Итак %username%, тебя взяли на работу. Предположим, что ты более — менее разбираешься в вопросе и умеешь чуть больше, чем картридж поменять. С момента, как ты стал сисадмином, ты взял на себя огромный груз ответственности. Ты отвечаешь не только за то, что-бы ничего не наебнулось — ты отвечаешь за лицензирование. Будь уверен, если придет проверка, твой генеральный прикинется ветошью и не отсвечивая покажет пальцем в твою сторону. О лицензировании.

Твоя задача не только самостоятельно не устанавливать всякую дичь aka RePack Photoshopа, но и не дать пользователям самостоятельно устанавливать и запускать подобную дичь с флешки и иных папок/носителей. Об ограничении.

Описанный ниже способ сэкономит твои нервы и придаст уверенности в используемом программном обеспечении. Политика ограниченного использования программ подобна настройке FireWall. Она предполагает определение типа запрета:

  • всё можно, кроме указанного в списке.
  • всё нельзя, кроме указанного в списке.

Мне по душе второй вариант. Я люблю работать с местоположением программ.

Для начала мы определяем границы возможностей пользователя: определим пути, куда пользователь прав на запись не имеет:

  • C:\Windows
  • «C:\Program Files»
  • «C:\Program Files (x86)»

Именно в этих расположения находятся приложения, установленные системой и администратором. В остальные каталоги и локальные диски пользователь может иметь доступ на запись. Это значит, что он может сохранить там приложение и выполнять его.

Если мы разрешим запуск приложений только из системных каталогов, мы получаем:

  • Перестают работать Амиго, Яндекс браузер и прочее ПО из профиля пользователя.
  • Пользователь не может сам запустить скачанное из интернета приложение: каталоги, откуда он может запустить программу закрыты на запись, а открытые на запись запрещены к запуску.
  • Никаких шифровальщиков
  • Никакого Portable софта.

При этом Администратор может всё. Интересно? Читай дальше.

Создание объекта групповой политики

Создадим новый объект групповой политики и свяжем его с доменом. Вы можете создать несколько политик и раскидать их по отделам, например. Зачем? Узнаете от бухгалтера по банкам, когда отвалятся банки.

Alt text

После создания объекта, редактируем его. Идем по пути:

[Конфигурация  пользователя - Политики - Конфигурация Windows - Настройки безопасности  - Политики ограниченного использования программ]

Настраиваем новую политику

После создания нам требуется указать уровень безопасности (то, о чем я говорил — черные и белые списки): в папке Уровни безопасности выбираем уровень по умолчанию «запрещено».

Alt text

Далее выбираем область применения политики: все пользователи, кроме локальных администраторов. Это позволит нам устанавливать программы. Разрешаем запуск библиотек: это сохранит работоспособность расширений браузера и ActiveX.

Alt text

Теперь переходим в папку «Дополнительные правила». Именно тут нам предстоит создать «белый список».

По умолчанию указаны пути системного каталога и каталога приложений.

Alt text

Здесь мы будем создавать правила. Нас интересуют два типа правил: правило пути и правило хэша.

Правило пути определяет местоположение файла и разрешает запуск приложений из этого расположения.

Правило хэша определяет контрольную сумму конкретного файла и разрешает его запуск из любого расположения.

Например разрешим людям играть в СТАЛКЕР (ты в курсе, что он работает с флешки). Создадим правило для Хэша, так как мы не знаем букву флешки на компьютерах пользователей. Это просто для примера. Ты понимаешь, да?

Alt text

Теперь давай разрешим запуск скриптов из папки Netlogon: создадим правило пути.

Alt text

Хочешь видеть результат?

Смотри скриншот — ты только что сам заблокировал запуск установки Яндекс.Браузера.

Если-бы не политика, он установился-бы в профиль пользователя и работал-бы от туда. Та же участь постигнет шифровальщики и «письма из налоговой» с расширением exe и js.

Alt text

Бери в руки инструмент и будь рука твоя тверда на пути к власти над пользователями, но помни о бухгалтерах. Для бухгалтера с банк клиентами и Контур.Экстерном создай отдельную политику.

Учти, что OneDrive тоже будет заблокирован — разреши его запуск по пути.

Alt text

Бери в руки инструмент и будь рука твоя тверда на пути к власти над пользователями, но помни о бухгалтерах. Для бухгалтера с банк клиентами и Контур.Экстерном создай отдельную политику.

Учти, что OneDrive тоже будет заблокирован — разреши его запуск по пути.

Alt text