Закручиваем гайки пользователям: часть 1. Политика ограниченного использования программ.

Я прекрасно понимаю, что этой заметкой для многих я не открою ничего нового. Пост в первую очередь предназначен для начинающих коллег, но если более опытные сисадмины подключатся к обсуждению и поделятся опытом, получится интересно.

Итак %username%, тебя взяли на работу. Предположим, что ты более - менее разбираешься в вопросе и умеешь чуть больше, чем картридж поменять. С момента, как ты стал сисадмином, ты взял на себя огромный груз ответственности. Ты отвечаешь не только за то, что-бы ничего не наебнулось - ты отвечаешь за лицензирование. Будь уверен, если придет проверка, твой генеральный прикинется ветошью и не отсвечивая покажет пальцем в твою сторону.


О лицензировании.

Твоя задача не только самостоятельно не устанавливать всякую дичь aka RePack Photoshopа, но и не дать пользователям самостоятельно устанавливать и запускать подобную дичь с флешки и иных папок/носителей.


Об ограничении.

Описанный ниже способ сэкономит твои нервы и придаст уверенности в используемом программном обеспечении. Политика ограниченного использования программ подобна настройке FireWall. Она предполагает определение типа запрета:

- всё можно, кроме указанного в списке.

- всё нельзя, кроме указанного в списке.


Мне по душе второй вариант. Я люблю работать с местоположением программ.

Для начала мы определяем границы возможностей пользователя:

Определим пути, куда пользователь прав на запись не имеет:

- C:\Windows

- "C:\Program Files"

- "C:\Program Files (x86)"

Именно в этих расположения находятся приложения, установленные системой и администратором.

В остальные каталоги и локальные диски пользователь может иметь доступ на запись.

Это значит, что он может сохранить там приложение и выполнять его.

Если мы разрешим запуск приложений только из системных каталогов, мы получаем:

- Перестают работать Амиго, Яндекс браузер и прочее ПО из профиля пользователя.

- Пользователь не может сам запустить скачанное из интернета приложение: каталоги, откуда он может запустить программу закрыты на запись, а открытые на запись запрещены к запуску.

- Никаких шифровальщиков

- Никакого Portable софта.

При этом Администратор может всё.


Интересно? Читай дальше.


Создание объекта групповой политики

Создадим новый объект групповой политики и свяжем его с доменом. Вы можете создать несколько политик и раскидать их по отделам, например. Зачем? Узнаете от бухгалтера по банкам, когда отвалятся банки
Закручиваем гайки пользователям: часть 1. Политика ограниченного использования программ. Windows, Microsoft, Системное администрирование, Длиннопост

После создания объекта, редактируем его. Идем по пути:

[Конфигурация пользователя - Политики - Конфигурация Windows - Настройки безопасности - Политики ограниченного использования программ]

Создаем новую политику.

После создания нам требуется указать уровень безопасности (то, о чем я говорил - черные и белые списки):

в папке Уровни безопасности выбираем уровень по умолчанию "запрещено".

Закручиваем гайки пользователям: часть 1. Политика ограниченного использования программ. Windows, Microsoft, Системное администрирование, Длиннопост

Далее выбираем область применения политики: все пользователи, кроме локальных администраторов. Это позволит нам устанавливать программы. Разрешаем запуск библиотек: это сохранит работоспособность расширений браузера и ActiveX.

Закручиваем гайки пользователям: часть 1. Политика ограниченного использования программ. Windows, Microsoft, Системное администрирование, Длиннопост

Теперь переходим в папку "Дополнительные правила"

Именно тут нам предстоит создать "белый список".

По умолчанию указаны пути системного каталога и каталога приложений.

Закручиваем гайки пользователям: часть 1. Политика ограниченного использования программ. Windows, Microsoft, Системное администрирование, Длиннопост

Здесь мы будем создавать правила. Нас интересуют два типа правил: правило пути и правило хэша.

Правило пути определяет местоположение файла и разрешает запуск приложений из этого расположения.

Правило хэша определяет контрольную сумму конкретного файла и разрешает его запуск из любого расположения.

Например разрешим людям играть в СТАЛКЕР (ты в курсе, что он работает с флешки). Создадим правило для Хэша, так как мы не знаем букву флешки на компьютерах пользователей.

Это просто для примера. Ты понимаешь, да?

Закручиваем гайки пользователям: часть 1. Политика ограниченного использования программ. Windows, Microsoft, Системное администрирование, Длиннопост

Теперь давай разрешим запуск скриптов из папки Netlogon: создадим правило пути.

Закручиваем гайки пользователям: часть 1. Политика ограниченного использования программ. Windows, Microsoft, Системное администрирование, Длиннопост
Закручиваем гайки пользователям: часть 1. Политика ограниченного использования программ. Windows, Microsoft, Системное администрирование, Длиннопост

Хочешь видеть результат?

Смотри скриншот - ты только что сам заблокировал запуск установки Яндекс.Браузера.

Если-бы не политика, он установился-бы  в профиль пользователя и работал-бы от туда. Та же участь постигнет шифровальщики и "письма из налоговой" с расширением exe и js.

Закручиваем гайки пользователям: часть 1. Политика ограниченного использования программ. Windows, Microsoft, Системное администрирование, Длиннопост

Бери в руки инструмент и будь рука твоя тверда на пути к власти над пользователями, но помни о бухгалтерах. Для бухгалтера с банк клиентами и Контур.Экстерном создай отдельную политику.


Учти, что OneDrive тоже будет заблокирован - разреши его запуск по пути.

Закручиваем гайки пользователям: часть 1. Политика ограниченного использования программ. Windows, Microsoft, Системное администрирование, Длиннопост

Иначе на всех всех компьютерах с Windows 10 при каждом входе будет вылезать ошибка. Если ты хочешь заблокировать OneDrive, ищи другой путь. Но помни: может кто-то его использует.

Закручиваем гайки пользователям: часть 1. Политика ограниченного использования программ. Windows, Microsoft, Системное администрирование, Длиннопост

Так ты отберешь тех, кто им пользуется от тех, кому он не нужен.

И не забывай про обновление ADMX шаблонов.

Лига Сисадминов

1.5K поста17.5K подписчиков

Добавить пост

Правила сообщества

Мы здесь рады любым постам связанным с рабочей деятельностью специалистов нашей сферы деятельности.
Вы смотрите срез комментариев. Показать все
7
Автор поста оценил этот комментарий

норм статья.

может подскажешь по правам. есть у нас для бухов купленная прога, ipvanish - vpn клиент. по причине того, что она редактирует таблицу маршрутизации и еще куда то лезет, требует права админа, причем эскалацию прав запрашивает при запуске. временно бухам даны права локального админа, но я прям спать спокойно не могу так.

как мне выдать именно те права, которые нужны для функционирования  программы? права на определенные кусты реестра выдал, в группу операторы сети иль чет такое запихнул юзера. не помогает

раскрыть ветку (18)
3
Автор поста оценил этот комментарий

установи в качестве сервиса

раскрыть ветку (2)
1
Автор поста оценил этот комментарий

это дичь

1
Автор поста оценил этот комментарий

сомневаюсь, что это сработает в домене

2
Автор поста оценил этот комментарий

Я в бытность эникейщиком использовал для этого утилиту адмилинк, но это было давно и я не знаю как она себя поведет на вин 10. Утилита древняя, но на вин 7 работала, в том числе с доменными учетками.


Ссылку прикрепить не дает пикабу, просто гугли admilink, родной сайт будет в домене narod (вот настолько она старая)

1
Автор поста оценил этот комментарий

Можно попробовать сделать костыль через JEA (just enough administration).

Автор поста оценил этот комментарий
Можно попробовать черезMicrosoft Application Compatibility Toolkit. Есть инструкция, могу поделиться :)
раскрыть ветку (2)
Автор поста оценил этот комментарий

давай)

раскрыть ветку (1)
Автор поста оценил этот комментарий
https://drive.google.com/file/d/1Fzl6J6otLHVW05wgf63DedC-Zwnf5eZq/view?usp=drivesdk

Инструкция для сканирования, но проверена на проге для led-строки, выводящей uac при запуске.
Автор поста оценил этот комментарий
Не пробовал compatibility administrator?
Автор поста оценил этот комментарий
Добавь ее в планировщик задачь при старте системы
1
Автор поста оценил этот комментарий

Powershell runas.exe? Правда пароль в открытом виде. В службы ее запихать нельзя?

раскрыть ветку (3)
1
Автор поста оценил этот комментарий
Не прокатит. Причём у нас есть бухсофт что работает только на хр(так уж получилось) а вот в 8.1 рунас шел не хочет работать в домене, даже если вызывать локального админа скриптом, то просит дать админ доступ юзеру для машины. Только так, локальный админ в машинах бухгалтера(
раскрыть ветку (2)
1
Автор поста оценил этот комментарий

UAC на компьютерах включен или отключен?

раскрыть ветку (1)
1
Автор поста оценил этот комментарий
Включен, так как 1с долбится на сервак что в структуре домена, да и консультант так же
1
Автор поста оценил этот комментарий

ярлык от имени админа на эту прогу, пароль сохранен

раскрыть ветку (2)
7
Автор поста оценил этот комментарий

сразу нет. никаких кэшированных админских паролей, СКАЖЕМ НЕТ РУНАСУ!

п.с. костылями я и сам могу

раскрыть ветку (1)
3
Автор поста оценил этот комментарий

Mimicatz за такой подгон спасибо скажет. Особенно, за права доменного админа...

Вы смотрите срез комментариев. Чтобы написать комментарий, перейдите к общему списку