Закручиваем гайки пользователям: часть 1. Политика ограниченного использования программ.

Я прекрасно понимаю, что этой заметкой для многих я не открою ничего нового. Пост в первую очередь предназначен для начинающих коллег, но если более опытные сисадмины подключатся к обсуждению и поделятся опытом, получится интересно.

Итак %username%, тебя взяли на работу. Предположим, что ты более - менее разбираешься в вопросе и умеешь чуть больше, чем картридж поменять. С момента, как ты стал сисадмином, ты взял на себя огромный груз ответственности. Ты отвечаешь не только за то, что-бы ничего не наебнулось - ты отвечаешь за лицензирование. Будь уверен, если придет проверка, твой генеральный прикинется ветошью и не отсвечивая покажет пальцем в твою сторону.


О лицензировании.

Твоя задача не только самостоятельно не устанавливать всякую дичь aka RePack Photoshopа, но и не дать пользователям самостоятельно устанавливать и запускать подобную дичь с флешки и иных папок/носителей.


Об ограничении.

Описанный ниже способ сэкономит твои нервы и придаст уверенности в используемом программном обеспечении. Политика ограниченного использования программ подобна настройке FireWall. Она предполагает определение типа запрета:

- всё можно, кроме указанного в списке.

- всё нельзя, кроме указанного в списке.


Мне по душе второй вариант. Я люблю работать с местоположением программ.

Для начала мы определяем границы возможностей пользователя:

Определим пути, куда пользователь прав на запись не имеет:

- C:\Windows

- "C:\Program Files"

- "C:\Program Files (x86)"

Именно в этих расположения находятся приложения, установленные системой и администратором.

В остальные каталоги и локальные диски пользователь может иметь доступ на запись.

Это значит, что он может сохранить там приложение и выполнять его.

Если мы разрешим запуск приложений только из системных каталогов, мы получаем:

- Перестают работать Амиго, Яндекс браузер и прочее ПО из профиля пользователя.

- Пользователь не может сам запустить скачанное из интернета приложение: каталоги, откуда он может запустить программу закрыты на запись, а открытые на запись запрещены к запуску.

- Никаких шифровальщиков

- Никакого Portable софта.

При этом Администратор может всё.


Интересно? Читай дальше.


Создание объекта групповой политики

Создадим новый объект групповой политики и свяжем его с доменом. Вы можете создать несколько политик и раскидать их по отделам, например. Зачем? Узнаете от бухгалтера по банкам, когда отвалятся банки
Закручиваем гайки пользователям: часть 1. Политика ограниченного использования программ. Windows, Microsoft, Системное администрирование, Длиннопост

После создания объекта, редактируем его. Идем по пути:

[Конфигурация пользователя - Политики - Конфигурация Windows - Настройки безопасности - Политики ограниченного использования программ]

Создаем новую политику.

После создания нам требуется указать уровень безопасности (то, о чем я говорил - черные и белые списки):

в папке Уровни безопасности выбираем уровень по умолчанию "запрещено".

Закручиваем гайки пользователям: часть 1. Политика ограниченного использования программ. Windows, Microsoft, Системное администрирование, Длиннопост

Далее выбираем область применения политики: все пользователи, кроме локальных администраторов. Это позволит нам устанавливать программы. Разрешаем запуск библиотек: это сохранит работоспособность расширений браузера и ActiveX.

Закручиваем гайки пользователям: часть 1. Политика ограниченного использования программ. Windows, Microsoft, Системное администрирование, Длиннопост

Теперь переходим в папку "Дополнительные правила"

Именно тут нам предстоит создать "белый список".

По умолчанию указаны пути системного каталога и каталога приложений.

Закручиваем гайки пользователям: часть 1. Политика ограниченного использования программ. Windows, Microsoft, Системное администрирование, Длиннопост

Здесь мы будем создавать правила. Нас интересуют два типа правил: правило пути и правило хэша.

Правило пути определяет местоположение файла и разрешает запуск приложений из этого расположения.

Правило хэша определяет контрольную сумму конкретного файла и разрешает его запуск из любого расположения.

Например разрешим людям играть в СТАЛКЕР (ты в курсе, что он работает с флешки). Создадим правило для Хэша, так как мы не знаем букву флешки на компьютерах пользователей.

Это просто для примера. Ты понимаешь, да?

Закручиваем гайки пользователям: часть 1. Политика ограниченного использования программ. Windows, Microsoft, Системное администрирование, Длиннопост

Теперь давай разрешим запуск скриптов из папки Netlogon: создадим правило пути.

Закручиваем гайки пользователям: часть 1. Политика ограниченного использования программ. Windows, Microsoft, Системное администрирование, Длиннопост
Закручиваем гайки пользователям: часть 1. Политика ограниченного использования программ. Windows, Microsoft, Системное администрирование, Длиннопост

Хочешь видеть результат?

Смотри скриншот - ты только что сам заблокировал запуск установки Яндекс.Браузера.

Если-бы не политика, он установился-бы  в профиль пользователя и работал-бы от туда. Та же участь постигнет шифровальщики и "письма из налоговой" с расширением exe и js.

Закручиваем гайки пользователям: часть 1. Политика ограниченного использования программ. Windows, Microsoft, Системное администрирование, Длиннопост

Бери в руки инструмент и будь рука твоя тверда на пути к власти над пользователями, но помни о бухгалтерах. Для бухгалтера с банк клиентами и Контур.Экстерном создай отдельную политику.


Учти, что OneDrive тоже будет заблокирован - разреши его запуск по пути.

Закручиваем гайки пользователям: часть 1. Политика ограниченного использования программ. Windows, Microsoft, Системное администрирование, Длиннопост

Иначе на всех всех компьютерах с Windows 10 при каждом входе будет вылезать ошибка. Если ты хочешь заблокировать OneDrive, ищи другой путь. Но помни: может кто-то его использует.

Закручиваем гайки пользователям: часть 1. Политика ограниченного использования программ. Windows, Microsoft, Системное администрирование, Длиннопост

Так ты отберешь тех, кто им пользуется от тех, кому он не нужен.

И не забывай про обновление ADMX шаблонов.

Лига Сисадминов

1.5K поста17.5K подписчиков

Добавить пост

Правила сообщества

Мы здесь рады любым постам связанным с рабочей деятельностью специалистов нашей сферы деятельности.
Вы смотрите срез комментариев. Показать все
9
Автор поста оценил этот комментарий

сохранил. читать скорее всего никогда не буду

раскрыть ветку (45)
4
Автор поста оценил этот комментарий

Старался не писать много

раскрыть ветку (44)
5
Автор поста оценил этот комментарий

Как эти политики скопировать на 20 компов, не имея сервера АД?

раскрыть ветку (40)
5
Автор поста оценил этот комментарий

Почему АД не заведете?

Для небольших сетей есть Microsoft Essentials.

А по теме:

http://winitpro.ru/index.php/2015/04/17/perenos-nastroek-lok...

раскрыть ветку (37)
4
Автор поста оценил этот комментарий

Да пара серваков на лине есть, файлопомойка и интернет, а так обходимся.

Почитаю. Мне после настройки компов буха и секретаря на запрет через групповые политики остальные лень было настраивать )). Основная проблема - шифровальщики, так-то просто отобрать права админа у пользователей уже раз в 5 уменьшает количество устанавливаемого пользователями по и снижает в разы число вирусов

раскрыть ветку (36)
9
Автор поста оценил этот комментарий

Шифровальщик может запуститься с правами обычного пользователя и зашифровать даже сетевые диски

раскрыть ветку (34)
5
Автор поста оценил этот комментарий

Кстати. Будет ли в лиге интересна статья про бэкап на выделеную машину на базе линукс? Именно по принципу пишу о том, что сам использую.

раскрыть ветку (14)
2
Автор поста оценил этот комментарий

Пишите, почему нет. Особенно, если бекап разностный. Реализовывал как-то на vbs с использованием 7-zip

раскрыть ветку (9)
3
Автор поста оценил этот комментарий

Круто! Есть же еще люди, которые что-то сами делают, а не применяют готовые решения

Автор поста оценил этот комментарий

У меня бат и дифференциальный архив на месяц. Осталось прикрутить volume shadow copy и заливку куда нибудь в амазон глациер

раскрыть ветку (7)
3
Автор поста оценил этот комментарий

Есть прекрасный бесплатный Сobian backup. Умеет VSS, Inc, diff, 7-zip

раскрыть ветку (5)
Автор поста оценил этот комментарий

Есть бесплатная редакция Veeam Backup&Replication. Которая прекрасно автоматизируется Powershell'ом. В разумных пределах, разумеется...

раскрыть ветку (2)
Автор поста оценил этот комментарий

Не рекомендую, наелся я с ним. Что то пошло не так, архив не поднялся.

Хорошо была резервная копия.

Автор поста оценил этот комментарий
Согласен, прикольная штука.
ща неименеем лучшего использую её.
Автор поста оценил этот комментарий

Используй copymik. Он умеет в VSS.

1
Автор поста оценил этот комментарий
А есть что-то особенного в вашем бэкапе?
раскрыть ветку (2)
1
Автор поста оценил этот комментарий

Тянет из расшареных и нерасшареных  папок с виндовых и линуксовых компов, централизовано настраивается через веб интерфейс, происходит незаметно для пользователя. Сравнительно прост в настройке.

   Backuppc  называется.

раскрыть ветку (1)
Автор поста оценил этот комментарий

А как вы сделали веб интерфейс?

Автор поста оценил этот комментарий

Интересно. Пишите.

1
Автор поста оценил этот комментарий

Более того, сейчас вирусы могут файлы вообще не образовывать. Как в память залез, так там и запустился.

раскрыть ветку (17)
1
Автор поста оценил этот комментарий

Во первых большинство вирусов предварительно скачиваются юзерами самостоятельно, причем из почты.

mynewphoto.vbs

счет_на_оплату.exe

Знакомо? Вот от этого поможет.

От остального антивирус надо иметь.

раскрыть ветку (16)
1
Автор поста оценил этот комментарий

Это все режется еще в почтовом сервере. И это не менее важно чем права.

Что интересно, относительно часто сталкиваюсь с новинками вирусными, на вирустотале 2 антивируса знает и все. Кстати некоторые вири используют антивирус что бы поднять себе права.

раскрыть ветку (15)
1
Автор поста оценил этот комментарий

Да, но тогда могут ссылку прислать.

Я к тому, что юзер всегда найдет способ выпилить систему.

раскрыть ветку (12)
1
Автор поста оценил этот комментарий

Это да. Недавно так спустя много лет работы чело, в очередной раз (не в первый) рассказывал, что не стоит выключать комп с розетки как только потухнет монитор. МС с тем, что монитор тухнет быстро, а системный блок еще долго может работать что-то подкачала.


И да, на входе в сеть фаервол обязательньо ставить и резать тоже всякое.

недавно так обнаружил срабатывания правила на запрет подключения к вирусному управляющему серваку. Повезло мне. Все больше боюсь за сетку. Ибо половиной всего вообще не управляю.

раскрыть ветку (11)
DELETED
Автор поста оценил этот комментарий

А как будет резаться файл архивного формата, если сотрудникам часто присылают файлы в архивах?

раскрыть ветку (1)
1
Автор поста оценил этот комментарий

Почтовик проверяет в основных форматах архива (включая одно вложение как минимум) + антивирус на местах и по желанию еще один антивирус на ОС где почтовик. Хотя последнее не рекомендуется.

Все, что почтовик не смог проверить идет в отдельную очередь и на локальные машины уже только по решению админа приходит.

Автор поста оценил этот комментарий

В курсе. Бэкапы наше все

Автор поста оценил этот комментарий
Сделайте политику на локальной машине и задеплойте на остальные) гуглите "применение политик без active directory".
1
Автор поста оценил этот комментарий

Заходишь с настроенного компьютера, переходишь в папку Windows, System32,GroupPolicyUsers копируешь данные из нужного тебе пользователя и вставляешь в другой ПК

Автор поста оценил этот комментарий

Подобное можно провернуть, если делать не через политики, а в реестре Windows. reg файл потом копируется и исполняется.

1
Автор поста оценил этот комментарий

как с вами можно связаться? захотелось пообщаться)

раскрыть ветку (2)
1
Автор поста оценил этот комментарий

leonid@uhanov.org

раскрыть ветку (1)
1
Автор поста оценил этот комментарий

спасибо!

Вы смотрите срез комментариев. Чтобы написать комментарий, перейдите к общему списку