Закручиваем гайки пользователям: часть 1. Политика ограниченного использования программ.⁠⁠

Диктатура наше всё, му-ха-ха. Пойду в сквиде ещё срежу скорость скачивания mp3.

Да пара серваков на лине есть, файлопомойка и интернет, а так обходимся.

Почитаю. Мне после настройки компов буха и секретаря на запрет через групповые политики остальные лень было настраивать )). Основная проблема - шифровальщики, так-то просто отобрать права админа у пользователей уже раз в 5 уменьшает количество устанавливаемого пользователями по и снижает в разы число вирусов

Для каждой версии приложения хеш будет свой, вряд ли ты выловишь все хеши того же фотошопа гуляющего по сети.

А в общем и целом есть много трюков обхода ГП.

Админы в свое стихии :-).

А я всегда считал, что ограничивать нужно не человека, а вред, который он наносит. Т.е. никаких вирусов, шпионов и прочей пакости, и пусть хоть целый день сидит во вконтакте, инет-магазинах и прочих ютубах. При этом свою работу сделать должен в любом случае. Не сделал - санкции по всей строгости. Только это все зависит от начальников. Если начальник дурак, не может придумать административные положения, сферу обязанностей и четкое руководство по действиям, то он нанимает вот таких бравых ребят, пытаясь их силами замаскировать свою некомпетентность. Это же так просто: нанял профи, тот закрыл все лазейки, значит народ работает. Логика совка. Не будет компа - будут телефоны и частые перекуры. Когда народ не хочет/не может работать, найти причины "слинять" всегда найдутся.

Не, чуваки, вы всё равно неинтересные и никакие громкие заголовки вам не помогут, неа

А потом приходит полицейская проверка и привет #. Вы ведь цену про-винды + 27 тыс обновление до энтерпрайз за каждое рабочее место не станете платить? Или заплатили?

К призывам злым юзверям запретить все что не разрешено, бывают случаи когда такое физически невозможно.

админские права могут быть только у админа

можно настроить отдельные группы "опытных" пользователей с расширенными правами - но никаких локальных админов и прочего

Политика безопасности на уровне компании.

Если кому-то нужны права администратора, то бумага на подпись, что инструктаж прошел и компьютер взят под персональную ответственность пользователя. С этого момента пользователь отвечает за установленный софт, скачанные файлы и все остальное в рамках его компетенции.

битлокер например.

Из за специфического софта, боевые ноуты стараемся даже в домен не цеплять. А есть товарищи у которых, из за несовместимости глючного по - ноут и пачка винтов, которые он передергивает в случае с работой с соответствующей железкой

Юзвер в -40 в жопе ямала на установке говорит Заказчику - извините но я не могу восстановить работу этой системы потому что наш админ мне все права порезал....

А что мешает загрузиться с флешки и скопировать Portable в раздел из которого разрешен запуск.

норм статья.

может подскажешь по правам. есть у нас для бухов купленная прога, ipvanish - vpn клиент. по причине того, что она редактирует таблицу маршрутизации и еще куда то лезет, требует права админа, причем эскалацию прав запрашивает при запуске. временно бухам даны права локального админа, но я прям спать спокойно не могу так.

как мне выдать именно те права, которые нужны для функционирования  программы? права на определенные кусты реестра выдал, в группу операторы сети иль чет такое запихнул юзера. не помогает

Как эти политики скопировать на 20 компов, не имея сервера АД?

Только на маленькую сеть решение. Сам же пишешь про one drive. А теперь представь, что сеть на 10к пользунов, достаточно много филиалов, везде разве профили используемого ПО. И подаминь с этим подходом. Политики устанешь переписывать.
Говорю по собственному опыту написания исключений для браузера.

Всё бы хорошо, но если у пользователя права админа...

Выключать, работать со старым ПО (2000 года) и т.д. Хотя в планах лавочку сильно прикрыть.

Кстати. Будет ли в лиге интересна статья про бэкап на выделеную машину на базе линукс? Именно по принципу пишу о том, что сам использую.

К тому что мало быть успешным админом, хорошо быть успешным и свободным.

И ещё в качестве кого вы работаете. То о чем Вы пишите и для интеграции да и для простого понимания изучения и осмысления нужно очееееееень много времени, да и с мозгами нужно быть. Если вы препод какой то Я пойму. Но если Вы практикующий админ и ещё с женой и ребёнком как Вы писали и ещё у Вас есть время такие посты писать, ну Я снимаю шляпу 😀

На про винде эти политики не работают, только энтерпрайз!

Отлично пишите :)

Тут нужен типовой набор правил, распространенные ошибки, например 'как превратить Винду в тыкву одним правилом срп', и ещё описание области применения. Например срп также умеет смотреть и подгружаемые приложениями дллки, что круто но доставляет проблемы, особенно при отсутствии унификации. А ещё оно очень забавно с ярлыками работает, помнится мне :)

А почему вы не рассматриваете правила по подписям файлов? Это имхо самое крутое что в срп есть :)

сохранил. читать скорее всего никогда не буду

почитайте судебную практику

сесть можно за 1 комп с автокадом;)

Запись экранов это следующий шаг, мусора на столах не остается и вроде продуктивность все растет), у админа меньше работы, но адекватный персонал увольняется

Что задумается и не пускают, у работника есть свободное время? вопросы к начальнику)

воспринимайте критику грамотно, некто не засоряет, все по делу

Я приводил где-то в этой теме пример. ХР прожила около 14 лет и дальше просто обновилась, без установки с нуля. На самом деле права админа риск. Но риск есть и без прав админа. Один из нашумевших вирусов если добирался до админа домена разворачивался во всю. Есть вирусы которые не создают файлы вообще, им пофиг на права запуска, есть вирусы повышающие свои права. Я не могу дистанционно перенастроить БИОС, обновить винду и многое другое. Мало людей обслуживающих - нет времени разбираться как можно выкрутиться в текущий условиях (а локальные права админа тоже многое могут исправить, даже если доменные главней).

Не подскажете что еще почитать на тему групповых политик? Хочу создать пользователя с максимально ограниченными правами , все что ему будет разрешено это использовать браузер , что то скачать, но запускать нельзя.

А то пытался как то сделать такого пользователя в итоге заблокировал все диски, даже админа пришлось в срочном порядке вспоминать что я такого выставил там.

Win7

Заранее спасибо

Нет кнопки без прав админа. Я не могу дать права на кнопку, проверку дисков и многое другое. Но могу дать права админа. Вот такая чья-то корявая логика.

Так админ локальный :)

Правила пожарной безопасности. Еле отбился для серной не применять :) Хотя знаю конторы которые и серваки глушат. Из интересного, такие серваки ломаются первыми по сравнению с теми, что не выключаются.

Это да. Недавно так спустя много лет работы чело, в очередной раз (не в первый) рассказывал, что не стоит выключать комп с розетки как только потухнет монитор. МС с тем, что монитор тухнет быстро, а системный блок еще долго может работать что-то подкачала.

И да, на входе в сеть фаервол обязательньо ставить и резать тоже всякое.

недавно так обнаружил срабатывания правила на запрет подключения к вирусному управляющему серваку. Повезло мне. Все больше боюсь за сетку. Ибо половиной всего вообще не управляю.

Это все режется еще в почтовом сервере. И это не менее важно чем права.

Что интересно, относительно часто сталкиваюсь с новинками вирусными, на вирустотале 2 антивируса знает и все. Кстати некоторые вири используют антивирус что бы поднять себе права.

Это как порезать. У нас пользователь не может запустить проверку и исправление. Винда тоже. Самое интересное, но умолчанию порезана даже кнопка выключения винды :)

А потом из банка пришли, принесли данные на флешке, а юсб того.

Более того, сейчас вирусы могут файлы вообще не образовывать. Как в память залез, так там и запустился.

А потом ой, на диске ошибка. Сейчас запустим проверку.. ой, нет прав... Всяко бывает.

Сижу без доступа в основную сеть, без антивира и брандмауэра (большая часть из стопятсот по будет лагать). Качаю сотни гигов в месяц, и нет ни вирусов, ни яндекс говна...

Всплакнул, не работали вы с технарями. Которому нужно стоптитсот программ и вот сейчас.

А теперь представь, что нас сидит 60 человек разработчиков разного уровня, в разных зданиях и каждый пишет скрипты, разрабатывает программы, управляет инфраструктурой и рассылают отчеты остальным сотрудникам. Если бы нам всем не выдавали администратора в домене, то бедные ребята из IT бегали бы целый день и подтверждали каждый чих.

Для этого и был сделан регламент выдачи прав администратора остальным сотрудникам в исключительных случаях, если это жизненно необходимо для работы. А так же сидят локальные админы, которые решают насущные проблемы. Конечно ситуацию отслеживают и если что-то происходит не так, то приходит служба безопасности и долго выносят мозг) В общем если нет возможности управлять этим, то надо хотя бы регламентировать уставными документами.

как с вами можно связаться? захотелось пообщаться)

Не прокатит. Причём у нас есть бухсофт что работает только на хр(так уж получилось) а вот в 8.1 рунас шел не хочет работать в домене, даже если вызывать локального админа скриптом, то просит дать админ доступ юзеру для машины. Только так, локальный админ в машинах бухгалтера(

Тогда вопрос цели

если смотреть глобальнее то вы маневрируете между удобством работы и бюрократией

К примеру есть друг из интеграторов, собой заменяет отдел крупных фирм (для понимания строит военные городки, газпром объекты и подобное по ит части), ему удобен ноут на винде и кучу кряков, которые нужны для тестов, к примеру интеграция одной системы в другую

К чему я, если его ограничить в правах админа, предприятие потеряет заказы на интеграцию систем разнородных, ну или сильно усложнит всем жизнь

Пример другой

Я люблю слушать музыку в vk, убрав ее, мне проще будет сменить работу, а спец я неплохой для своей зп и должности и подобрать на мою зп спеца ой как сложно, собеседовал-знаю

Ваш случай, это записи экранов, нажатий клавиш и прочее, но это подход гнилых насквозь контор, где сидят дормоеды, которых можно заменить 10м нормальных людей, такие конторы истреблять нужно (знаю о чем говорю работал по обе стороны)

Работа должна приносить радость, а не рабский труд, а тут вы его на себя вешаете

сколько раз в день скайп обновляете и ему подобные?

Мусор на компах, отняли админа - все. а от кликеров в скайпе и хроме даже linux не спасает с macos

@mfc166 привет! пытался политику эту настроить,

политики уровень безопасности по умолчанию: неограниченно

в дополнительные правила в таком случае как я понимаю можно заносить чёрный список, что явно будет запрещено

явно запрещаю примерно это:

%AppData%\*\

%LocalAppData%\*\

%Temp%\

%Temp%\*\

%Temp%\*

C:\Users\*\

явно разрешаю там же в правилах, ставлю права "обычный пользователь" (не разобрался как маска * работает, и работает ли вообще)

C:\Program Files (x86)\*\*

C:\Program Files\*\*

C:\Windows\

но у меня всё равно блокирует всё за подряд(cmd, regedit), но при этом не блокируется *.exe с рабочего стола, но *.bat блокируется например

Т. Е., чтоб сделать такое правило надо каждую прогу иметь установленной, или хотьбы стащить экзешник?

Не понял как работает правило хеша. Каким образом оно натсраивается

Ну я так, немножко с сарказмом :)

Ради интереса попробуй включить комп (доменный) выдернув патчкорд, войди под пользователем (доменным) из тех чьи пароли есть в кеше, т.к. гпо не отработало, поидее можно запустить что хочешь если нет ограничений локальными политиками. После логона можно вставить патч обратно, сеть заработает, а гпо первые 5 мин не отработает. Ну это так теорвер.

Когда то давно работал на заводе, где админы закручивали гайки всем чем можно, а программки нужны были нештатные, тогда и вычитал прикольный трюк (не знаю работает ли сейчас, но на win7 работало) нужно было знать логин и пароль любого пользователя в домене даже с ограниченными правами (я тупо списал с соседнего компа) суть в том, что запустив приложение (например диспетчер задач) от имени другого пользователя через шифт, ты можешь запускать из него абсолютно любое приложение и политики на него не сработают)

Админ с которым курим, сильно жалуется на пользователей нашей компании, потому как его горячо любимая w10 нах не сдалась нам, все сидят под разными линухами от генты до минта)) Тешит себя иллюзиями о том, что заставит кого-нибудь перейти на 10 и вращать линух в виртуале, но не судьба. Ещё очень обижается, когда приходят пользователи и начинают его учить, как правильно сервера настраивать, постоянно правят конфиги серверов под свои нужды, разворачивают удалённые доступы без согласований и т.д. Не просто быть админом в компании, где твои пользователи это 100+ программистов))

Модернизация помнится уже все. А вот ремонт может прокатить, там помнится тоже есть ограничения.

То есть firefox у вас при обновлении скачает новую версию и установит из под пользователя который не имеет права на запись в каталог установки?

синдром вахтёра. виртуального вахтёра ))

Даже мелкософт уже не считает ИЕ браузером. Но да пусть народ мучается и пользуется тем чем я сказал. Причем дыру в виде activex оставим. Весь софт обновляет только админ - пока народу 20 чел подождут, а на второй сотне взвоют. Но большинство контор из 20 рыл в современном мире обойдутся без домена и серверов.

За незаконное использование объектов авторского права будет отвечать лицо, фактически принявшее решение об использовании нелицензионного ПО. А как доказывается, если дир и админ друг на друга пальцами показывают?

какой же это перенос? я не переношу лицензия на новый арм - я провожу ремонт/модернизацию старого арма

Убунта наше все, 400+ юзверей полет, петя -мимо

Chromeos)))

Статья так себе, она оторвана от реальности

начнем с типа проверки:

- налоговая (тут все по бумажкам, спорим ваш бух накосячил и кучу ваших лицензий уже нелегальные? а у вас две фирмы, это вообще ад) - тут только подкуп, коли до///сь

- Затравили Adobe-Microsoft-Autodesk (они звонят вначале сами, договоритесь с ними, так будет дешевле, это по всегда должно быть легально априори

- Общая проверка (здесь половину не усмотрят и придут за взяткой, что делать понятно)

- Затравили конкуренты - тут и прикладом под ребра и сами поставят если нужно что угодно (валить с такой конторы нужно заранее и далеко)

Описанный вами способ, имеет слабое отношение к действительности, усложняет жизнь админа

вы забыли, что нелегальна и музыка и фильмы и т.д

ps просто так не приходят, мороки много профита нет, легче выловить приходящих админов

у вас и юрист и кучу экспертиз с наверняка спорными моментами, а там самопризнание, а средний-крупный обьем это автокад с адобе на 1 машинке

Давно не смотрел, но помнится OEM только только вместе с оборудованием. Даже не компом в сборе, а только часть компа дает право продавать ОЕм лицензии. Давно это было, возможно есть несколько видов ОЕМ лицензий.

Не проблема. ОЕМ со шлейфом на SATA диск. Комп может работать без веника? Значить жизненно важное оборудование.

Железо не вечно, особенно на дохлое и дешевое, а сама ОС может прожить 10-15лет и за это время не одну смену железа.