Внимание сис админам пикабушникам⁠⁠

Механизм защиты давно отработан и обязателен для использования в рабочих средах отличных от домашних. Воткну копипасту, её можно немного доработать, но общий смысл должен быть ясен.

Возможно для кого-то это будет открытием (очень может быть что для большинства), но гораздо эффективней антивирусов это настроить политику ограничения применения программного обеспечения (Software Restriction Policies). Лучше всего конечно использовать ее вместе с антивирем параллельно. Механизм защиты прост и эффективен, суть его в том что пользователю разрешено запускать только явно разрешенные приложения, это избавляет от всяческих неприятностей с запуском вирусни, установкой adware, spyware и прочей мути в профиль пользователя и еще от ряда неприятностей. После чего юзер хоть до боли в фалангах пусть тыкается в ссылки в письмах, ничего плохого не произойдет.

Если коротко, то:

- Учётным записям всех сотрудников выдаем права только Users.

- Максимально возможное количество приложений перенести в Program Files и Program Files (x86).

- Создать политику ограниченного запуска ПО: «Пуск» -> «Выполнить» -> secpol.msc -> «Политики ограниченного использования программ» (Software Restriction Policies), создаем новую политику ограниченного запуска, выбираем пункт «Применение» и во втором пункте выбираем «Всех пользователей, кроме локальных администраторов».

- Что бы пользователи могли использовать ярлыки на рабочем столе и в прочих местах необходимо разрешить их использовать. Открываем пункт «Назначенные типы файлов» и удаляем из него расширение LNK.

- Теперь включаем правила «Белого списка». Для этого переходим в подпапку «уровни безопасности» и задаем пункту «Запрещено» значение «По умолчанию».

- При необходимости разрешения выполнения программ из папок отличных от C:\Windows и C:\Program Files (они задаются как разрешенные по умолчанию и прав на запись туда у пользователя быть не должно ) вам нужно добавить правило пути в раздел "Дополнительные правила". Например добавление пути C:\Distr c «Неограниченным» доступом. В этом случае стоит сразу учитывать что разрешения на запись в эту папку надо ограничивать и выдавать только администраторам. Нужно всегда помнить аксиому - у пользователя не должно быть прав на запись туда, откуда разрешен запуск!.

P.S. Если ограничение на запуск ПО необходимо применить пользователям в домене, то мы соответственно должны создать новую групповую политику (например pExecutionPolicy ) в том OU куда входят эти пользователи и удаляем права на чтение и применение данной политики у Authenticated Users. В разделе Конфигурация пользователя настраиваем эту политику как описано выше. Затем создаем группу безопасности (например gExecutionPolicy) и присваиваем данной группе права на чтение и применение политики pExecutionPolicy. Добавляем один-два-несколько тестовых пользователей в группу gExecutionPolicy и проверяем действие политики, если надо корректируем правила, если все как надо загоняем в эту группу всех остальных пользователей.