Необходимо войти или зарегистрироваться

Авторизация

Введите логин, email или номер телефона, начинающийся с символа «+»
Забыли пароль? Регистрация

Новый пароль

Авторизация

Восстановление пароля

Авторизация

Регистрация

Выберите, пожалуйста, ник на пикабу
Номер будет виден только вам.
Отправка смс бесплатна
У меня уже есть аккаунт с ником Отменить привязку?

Регистрация

Номер будет виден только вам.
Отправка смс бесплатна
Создавая аккаунт, я соглашаюсь с правилами Пикабу и даю согласие на обработку персональных данных.
Авторизация

Пост

Пост

Закручиваем гайки пользователям: часть 1. Политика ограниченного использования программ.

mfc166 в Лига Сисадминов

Я прекрасно понимаю, что этой заметкой для многих я не открою ничего нового. Пост в первую очередь предназначен для начинающих коллег, но если более опытные сисадмины подключатся к обсуждению и поделятся опытом, получится интересно.

Итак %username%, тебя взяли на работу. Предположим, что ты более - менее разбираешься в вопросе и умеешь чуть больше, чем картридж поменять. С момента, как ты стал сисадмином, ты взял на себя огромный груз ответственности. Ты отвечаешь не только за то, что-бы ничего не наебнулось - ты отвечаешь за лицензирование. Будь уверен, если придет проверка, твой генеральный прикинется ветошью и не отсвечивая покажет пальцем в твою сторону.


О лицензировании.

Твоя задача не только самостоятельно не устанавливать всякую дичь aka RePack Photoshopа, но и не дать пользователям самостоятельно устанавливать и запускать подобную дичь с флешки и иных папок/носителей.


Об ограничении.

Описанный ниже способ сэкономит твои нервы и придаст уверенности в используемом программном обеспечении. Политика ограниченного использования программ подобна настройке FireWall. Она предполагает определение типа запрета:

- всё можно, кроме указанного в списке.

- всё нельзя, кроме указанного в списке.


Мне по душе второй вариант. Я люблю работать с местоположением программ.

Для начала мы определяем границы возможностей пользователя:

Определим пути, куда пользователь прав на запись не имеет:

- C:\Windows

- "C:\Program Files"

- "C:\Program Files (x86)"

Именно в этих расположения находятся приложения, установленные системой и администратором.

В остальные каталоги и локальные диски пользователь может иметь доступ на запись.

Это значит, что он может сохранить там приложение и выполнять его.

Если мы разрешим запуск приложений только из системных каталогов, мы получаем:

- Перестают работать Амиго, Яндекс браузер и прочее ПО из профиля пользователя.

- Пользователь не может сам запустить скачанное из интернета приложение: каталоги, откуда он может запустить программу закрыты на запись, а открытые на запись запрещены к запуску.

- Никаких шифровальщиков

- Никакого Portable софта.

При этом Администратор может всё.


Интересно? Читай дальше.


Создание объекта групповой политики

Создадим новый объект групповой политики и свяжем его с доменом. Вы можете создать несколько политик и раскидать их по отделам, например. Зачем? Узнаете от бухгалтера по банкам, когда отвалятся банки
Закручиваем гайки пользователям: часть 1. Политика ограниченного использования программ. Windows, Microsoft, Системное администрирование, Длиннопост

После создания объекта, редактируем его. Идем по пути:

[Конфигурация пользователя - Политики - Конфигурация Windows - Настройки безопасности - Политики ограниченного использования программ]

Создаем новую политику.

После создания нам требуется указать уровень безопасности (то, о чем я говорил - черные и белые списки):

в папке Уровни безопасности выбираем уровень по умолчанию "запрещено".

Закручиваем гайки пользователям: часть 1. Политика ограниченного использования программ. Windows, Microsoft, Системное администрирование, Длиннопост

Далее выбираем область применения политики: все пользователи, кроме локальных администраторов. Это позволит нам устанавливать программы. Разрешаем запуск библиотек: это сохранит работоспособность расширений браузера и ActiveX.

Закручиваем гайки пользователям: часть 1. Политика ограниченного использования программ. Windows, Microsoft, Системное администрирование, Длиннопост

Теперь переходим в папку "Дополнительные правила"

Именно тут нам предстоит создать "белый список".

По умолчанию указаны пути системного каталога и каталога приложений.

Закручиваем гайки пользователям: часть 1. Политика ограниченного использования программ. Windows, Microsoft, Системное администрирование, Длиннопост

Здесь мы будем создавать правила. Нас интересуют два типа правил: правило пути и правило хэша.

Правило пути определяет местоположение файла и разрешает запуск приложений из этого расположения.

Правило хэша определяет контрольную сумму конкретного файла и разрешает его запуск из любого расположения.

Например разрешим людям играть в СТАЛКЕР (ты в курсе, что он работает с флешки). Создадим правило для Хэша, так как мы не знаем букву флешки на компьютерах пользователей.

Это просто для примера. Ты понимаешь, да?

Закручиваем гайки пользователям: часть 1. Политика ограниченного использования программ. Windows, Microsoft, Системное администрирование, Длиннопост

Теперь давай разрешим запуск скриптов из папки Netlogon: создадим правило пути.

Закручиваем гайки пользователям: часть 1. Политика ограниченного использования программ. Windows, Microsoft, Системное администрирование, Длиннопост
Закручиваем гайки пользователям: часть 1. Политика ограниченного использования программ. Windows, Microsoft, Системное администрирование, Длиннопост

Хочешь видеть результат?

Смотри скриншот - ты только что сам заблокировал запуск установки Яндекс.Браузера.

Если-бы не политика, он установился-бы  в профиль пользователя и работал-бы от туда. Та же участь постигнет шифровальщики и "письма из налоговой" с расширением exe и js.

Закручиваем гайки пользователям: часть 1. Политика ограниченного использования программ. Windows, Microsoft, Системное администрирование, Длиннопост

Бери в руки инструмент и будь рука твоя тверда на пути к власти над пользователями, но помни о бухгалтерах. Для бухгалтера с банк клиентами и Контур.Экстерном создай отдельную политику.


Учти, что OneDrive тоже будет заблокирован - разреши его запуск по пути.

Закручиваем гайки пользователям: часть 1. Политика ограниченного использования программ. Windows, Microsoft, Системное администрирование, Длиннопост

Иначе на всех всех компьютерах с Windows 10 при каждом входе будет вылезать ошибка. Если ты хочешь заблокировать OneDrive, ищи другой путь. Но помни: может кто-то его использует.

Закручиваем гайки пользователям: часть 1. Политика ограниченного использования программ. Windows, Microsoft, Системное администрирование, Длиннопост

Так ты отберешь тех, кто им пользуется от тех, кому он не нужен.

И не забывай про обновление ADMX шаблонов.

Аватар сообщества "Лига Сисадминов"
383 поста 7 944 подписчика
302 комментария
drugol
+51

Так и запишем: свой софт заливать в папку .../appdata/...OneDrive...

+51
раскрыть ветку 3
Nowost
+3

так по хешу если не разрешено не запустишь ничего )

+3
раскрыть ветку 2
Icyx
+2

Для каждой версии приложения хеш будет свой, вряд ли ты выловишь все хеши того же фотошопа гуляющего по сети.

А в общем и целом есть много трюков обхода ГП.

+2
раскрыть ветку 1
daver
+11

Я ещё дополнительно всем в домене (включая локальных администраторов) запретил по маске: *.js, *.hta, *.vbs. Список исключений именно с этими расширениями исчезающе мал.

+11
раскрыть ветку 5
Аватар пользователя Neddlog Neddlog
+4
Контур работает с расширениями очень активно. Да и всякие СМЭВы
+4
раскрыть ветку 2
daver
0

СМЭВ у нас через VipNet и «защищённый канал связи», через браузер заходят на внутренние порталы, с контуром тоже проблем не было.

0
раскрыть ветку 1
Аватар пользователя Drexxter Drexxter
0
*.scr
0
раскрыть ветку 1
Аватар пользователя Velisariy Velisariy
+2

тогда уж и всякие старые расширения типа *.pif, *.com

+2
WizardSR
+11
И лучше это делать с бумагой за подписью руководителя
+11
Aquen
+9
Только на маленькую сеть решение. Сам же пишешь про one drive. А теперь представь, что сеть на 10к пользунов, достаточно много филиалов, везде разве профили используемого ПО. И подаминь с этим подходом. Политики устанешь переписывать.
Говорю по собственному опыту написания исключений для браузера.
+9
раскрыть ветку 3
Аватар пользователя mfc166 mfc166
+4

На такую сеть есть Windows 10 Enterprise и System Center с AppLocker.

+4
раскрыть ветку 1
winterheart
+4

System Center не решает проблем большого домена, добавляя свои.

+4
WindowsNT
-1

Это работает и в более крупных сетях.

-1
vasavdey
+5

Диктатура наше всё, му-ха-ха. Пойду в сквиде ещё срежу скорость скачивания mp3.

+5
раскрыть ветку 2
Аватар пользователя mfc166 mfc166
+9

самый класс Lamoda ограничить по скорости. И ведь не стыдно...

+9
раскрыть ветку 1
Аватар пользователя AnotherThai AnotherThai
0

В одной конторе любили рбк что ли, так вот там при открытии сайта запускается трансляция.

Выяснил их битрейт и поставил ограничения чуть пониже.

Да трансляция идёт но затыкается.

Веселые были времена)))

0
sinn3r
+5
Отлично пишите :)

Тут нужен типовой набор правил, распространенные ошибки, например 'как превратить Винду в тыкву одним правилом срп', и ещё описание области применения. Например срп также умеет смотреть и подгружаемые приложениями дллки, что круто но доставляет проблемы, особенно при отсутствии унификации. А ещё оно очень забавно с ярлыками работает, помнится мне :)

А почему вы не рассматриваете правила по подписям файлов? Это имхо самое крутое что в срп есть :)
+5
раскрыть ветку 5
Аватар пользователя mfc166 mfc166
+3

Потому-что не использую сам. Пишу о том, чем пользуюсь.

+3
Icyx
+1

Когда то давно работал на заводе, где админы закручивали гайки всем чем можно, а программки нужны были нештатные, тогда и вычитал прикольный трюк (не знаю работает ли сейчас, но на win7 работало) нужно было знать логин и пароль любого пользователя в домене даже с ограниченными правами (я тупо списал с соседнего компа) суть в том, что запустив приложение (например диспетчер задач) от имени другого пользователя через шифт, ты можешь запускать из него абсолютно любое приложение и политики на него не сработают)

+1
раскрыть ветку 3
Аватар пользователя mfc166 mfc166
0

Я попробую обязательно. комментарий сохранил, по результатам отвечу.

0
раскрыть ветку 2
WhiteAngel013
+16
Где такие Администраторы как Вы обитаете? Хорошо написано - не осилил.
+16
раскрыть ветку 10
Аватар пользователя Ilninho Ilninho
+9
Там, где руководство понимает, что на работе надо работать, а не картиночки в ломаном портабл фотошопе обрабатывать, да "новогоднюю елку" ставить на рабочий стол.
+9
раскрыть ветку 7
AlexsandrS
+1

А то проблема на смарте позалипать?

+1
раскрыть ветку 1
NaiNaya
0

Знаете, админ тоже немалую роль играет в том, что понимает руководство под работой

0
раскрыть ветку 4
mi1303
+2

Просто же достаточно. Даже для меня - далёкому от программирования и сисадминства.

+2
Аватар пользователя akathron akathron
0

Всё хорошо, но со скриптами из экселя не сработает...

0
Barabul
+9

Админы в свое стихии :-).

А я всегда считал, что ограничивать нужно не человека, а вред, который он наносит. Т.е. никаких вирусов, шпионов и прочей пакости, и пусть хоть целый день сидит во вконтакте, инет-магазинах и прочих ютубах. При этом свою работу сделать должен в любом случае. Не сделал - санкции по всей строгости. Только это все зависит от начальников. Если начальник дурак, не может придумать административные положения, сферу обязанностей и четкое руководство по действиям, то он нанимает вот таких бравых ребят, пытаясь их силами замаскировать свою некомпетентность. Это же так просто: нанял профи, тот закрыл все лазейки, значит народ работает. Логика совка. Не будет компа - будут телефоны и частые перекуры. Когда народ не хочет/не может работать, найти причины "слинять" всегда найдутся.

+9
раскрыть ветку 1
Аватар пользователя mfc166 mfc166
+8

Я что-то писал про блокировку интернета?

По-моему нет. Я говорил о блокировке приложений и скриптов.

+8
Аватар пользователя Xubaka Xubaka
+7

сохранил. читать скорее всего никогда не буду

+7
раскрыть ветку 44
Аватар пользователя mfc166 mfc166
+3

Старался не писать много

+3
раскрыть ветку 43
NaiNaya
+5

Как эти политики скопировать на 20 компов, не имея сервера АД?

+5
раскрыть ветку 39
zobally
+1

как с вами можно связаться? захотелось пообщаться)

+1
раскрыть ветку 2
Аватар пользователя technopenetrator technopenetrator
+6

норм статья.

может подскажешь по правам. есть у нас для бухов купленная прога, ipvanish - vpn клиент. по причине того, что она редактирует таблицу маршрутизации и еще куда то лезет, требует права админа, причем эскалацию прав запрашивает при запуске. временно бухам даны права локального админа, но я прям спать спокойно не могу так.

как мне выдать именно те права, которые нужны для функционирования  программы? права на определенные кусты реестра выдал, в группу операторы сети иль чет такое запихнул юзера. не помогает

+6
раскрыть ветку 17
Аватар пользователя mfc166 mfc166
+4
+4
раскрыть ветку 2
Nowost
+1

это дичь

+1
Аватар пользователя technopenetrator technopenetrator
+1

сомневаюсь, что это сработает в домене

+1
Nowost
+1

установи в качестве сервиса

+1
v1rg1n
+1

Можно попробовать сделать костыль через JEA (just enough administration).

+1
Аватар пользователя iSpooky iSpooky
+1

ярлык от имени админа на эту прогу, пароль сохранен

+1
раскрыть ветку 2
Аватар пользователя technopenetrator technopenetrator
+6

сразу нет. никаких кэшированных админских паролей, СКАЖЕМ НЕТ РУНАСУ!

п.с. костылями я и сам могу

+6
раскрыть ветку 1
hold213
0
Можно попробовать черезMicrosoft Application Compatibility Toolkit. Есть инструкция, могу поделиться :)
0
раскрыть ветку 2
Аватар пользователя technopenetrator technopenetrator
0

давай)

0
раскрыть ветку 1
Аватар пользователя yaboroda yaboroda
0

Я в бытность эникейщиком использовал для этого утилиту адмилинк, но это было давно и я не знаю как она себя поведет на вин 10. Утилита древняя, но на вин 7 работала, в том числе с доменными учетками.


Ссылку прикрепить не дает пикабу, просто гугли admilink, родной сайт будет в домене narod (вот настолько она старая)

0
Аватар пользователя SadKiller SadKiller
0
Не пробовал compatibility administrator?
0
Аватар пользователя Lucipoher Lucipoher
0
Добавь ее в планировщик задачь при старте системы
0
vasavdey
0

Powershell runas.exe? Правда пароль в открытом виде. В службы ее запихать нельзя?

0
раскрыть ветку 2
Аватар пользователя Neddlog Neddlog
+1
Не прокатит. Причём у нас есть бухсофт что работает только на хр(так уж получилось) а вот в 8.1 рунас шел не хочет работать в домене, даже если вызывать локального админа скриптом, то просит дать админ доступ юзеру для машины. Только так, локальный админ в машинах бухгалтера(
+1
раскрыть ветку 1
Похожие посты
Возможно, вас заинтересуют другие посты по тегам: