718

Закручиваем гайки пользователям: часть 1. Политика ограниченного использования программ.

Я прекрасно понимаю, что этой заметкой для многих я не открою ничего нового. Пост в первую очередь предназначен для начинающих коллег, но если более опытные сисадмины подключатся к обсуждению и поделятся опытом, получится интересно.

Итак %username%, тебя взяли на работу. Предположим, что ты более - менее разбираешься в вопросе и умеешь чуть больше, чем картридж поменять. С момента, как ты стал сисадмином, ты взял на себя огромный груз ответственности. Ты отвечаешь не только за то, что-бы ничего не наебнулось - ты отвечаешь за лицензирование. Будь уверен, если придет проверка, твой генеральный прикинется ветошью и не отсвечивая покажет пальцем в твою сторону.


О лицензировании.

Твоя задача не только самостоятельно не устанавливать всякую дичь aka RePack Photoshopа, но и не дать пользователям самостоятельно устанавливать и запускать подобную дичь с флешки и иных папок/носителей.


Об ограничении.

Описанный ниже способ сэкономит твои нервы и придаст уверенности в используемом программном обеспечении. Политика ограниченного использования программ подобна настройке FireWall. Она предполагает определение типа запрета:

- всё можно, кроме указанного в списке.

- всё нельзя, кроме указанного в списке.


Мне по душе второй вариант. Я люблю работать с местоположением программ.

Для начала мы определяем границы возможностей пользователя:

Определим пути, куда пользователь прав на запись не имеет:

- C:\Windows

- "C:\Program Files"

- "C:\Program Files (x86)"

Именно в этих расположения находятся приложения, установленные системой и администратором.

В остальные каталоги и локальные диски пользователь может иметь доступ на запись.

Это значит, что он может сохранить там приложение и выполнять его.

Если мы разрешим запуск приложений только из системных каталогов, мы получаем:

- Перестают работать Амиго, Яндекс браузер и прочее ПО из профиля пользователя.

- Пользователь не может сам запустить скачанное из интернета приложение: каталоги, откуда он может запустить программу закрыты на запись, а открытые на запись запрещены к запуску.

- Никаких шифровальщиков

- Никакого Portable софта.

При этом Администратор может всё.


Интересно? Читай дальше.


Создание объекта групповой политики

Создадим новый объект групповой политики и свяжем его с доменом. Вы можете создать несколько политик и раскидать их по отделам, например. Зачем? Узнаете от бухгалтера по банкам, когда отвалятся банки
Закручиваем гайки пользователям: часть 1. Политика ограниченного использования программ. Windows, Microsoft, Системное администрирование, Длиннопост

После создания объекта, редактируем его. Идем по пути:

[Конфигурация пользователя - Политики - Конфигурация Windows - Настройки безопасности - Политики ограниченного использования программ]

Создаем новую политику.

После создания нам требуется указать уровень безопасности (то, о чем я говорил - черные и белые списки):

в папке Уровни безопасности выбираем уровень по умолчанию "запрещено".

Закручиваем гайки пользователям: часть 1. Политика ограниченного использования программ. Windows, Microsoft, Системное администрирование, Длиннопост

Далее выбираем область применения политики: все пользователи, кроме локальных администраторов. Это позволит нам устанавливать программы. Разрешаем запуск библиотек: это сохранит работоспособность расширений браузера и ActiveX.

Закручиваем гайки пользователям: часть 1. Политика ограниченного использования программ. Windows, Microsoft, Системное администрирование, Длиннопост

Теперь переходим в папку "Дополнительные правила"

Именно тут нам предстоит создать "белый список".

По умолчанию указаны пути системного каталога и каталога приложений.

Закручиваем гайки пользователям: часть 1. Политика ограниченного использования программ. Windows, Microsoft, Системное администрирование, Длиннопост

Здесь мы будем создавать правила. Нас интересуют два типа правил: правило пути и правило хэша.

Правило пути определяет местоположение файла и разрешает запуск приложений из этого расположения.

Правило хэша определяет контрольную сумму конкретного файла и разрешает его запуск из любого расположения.

Например разрешим людям играть в СТАЛКЕР (ты в курсе, что он работает с флешки). Создадим правило для Хэша, так как мы не знаем букву флешки на компьютерах пользователей.

Это просто для примера. Ты понимаешь, да?

Закручиваем гайки пользователям: часть 1. Политика ограниченного использования программ. Windows, Microsoft, Системное администрирование, Длиннопост

Теперь давай разрешим запуск скриптов из папки Netlogon: создадим правило пути.

Закручиваем гайки пользователям: часть 1. Политика ограниченного использования программ. Windows, Microsoft, Системное администрирование, Длиннопост
Закручиваем гайки пользователям: часть 1. Политика ограниченного использования программ. Windows, Microsoft, Системное администрирование, Длиннопост

Хочешь видеть результат?

Смотри скриншот - ты только что сам заблокировал запуск установки Яндекс.Браузера.

Если-бы не политика, он установился-бы  в профиль пользователя и работал-бы от туда. Та же участь постигнет шифровальщики и "письма из налоговой" с расширением exe и js.

Закручиваем гайки пользователям: часть 1. Политика ограниченного использования программ. Windows, Microsoft, Системное администрирование, Длиннопост

Бери в руки инструмент и будь рука твоя тверда на пути к власти над пользователями, но помни о бухгалтерах. Для бухгалтера с банк клиентами и Контур.Экстерном создай отдельную политику.


Учти, что OneDrive тоже будет заблокирован - разреши его запуск по пути.

Закручиваем гайки пользователям: часть 1. Политика ограниченного использования программ. Windows, Microsoft, Системное администрирование, Длиннопост

Иначе на всех всех компьютерах с Windows 10 при каждом входе будет вылезать ошибка. Если ты хочешь заблокировать OneDrive, ищи другой путь. Но помни: может кто-то его использует.

Закручиваем гайки пользователям: часть 1. Политика ограниченного использования программ. Windows, Microsoft, Системное администрирование, Длиннопост

Так ты отберешь тех, кто им пользуется от тех, кому он не нужен.

И не забывай про обновление ADMX шаблонов.

Найдены дубликаты

+52

Так и запишем: свой софт заливать в папку .../appdata/...OneDrive...

раскрыть ветку 3
+3

так по хешу если не разрешено не запустишь ничего )

раскрыть ветку 2
+2

Для каждой версии приложения хеш будет свой, вряд ли ты выловишь все хеши того же фотошопа гуляющего по сети.

А в общем и целом есть много трюков обхода ГП.

раскрыть ветку 1
+11

Я ещё дополнительно всем в домене (включая локальных администраторов) запретил по маске: *.js, *.hta, *.vbs. Список исключений именно с этими расширениями исчезающе мал.

раскрыть ветку 5
+4
Контур работает с расширениями очень активно. Да и всякие СМЭВы
раскрыть ветку 2
0

СМЭВ у нас через VipNet и «защищённый канал связи», через браузер заходят на внутренние порталы, с контуром тоже проблем не было.

раскрыть ветку 1
0
*.scr
раскрыть ветку 1
+3

тогда уж и всякие старые расширения типа *.pif, *.com

+11
И лучше это делать с бумагой за подписью руководителя
+9
Только на маленькую сеть решение. Сам же пишешь про one drive. А теперь представь, что сеть на 10к пользунов, достаточно много филиалов, везде разве профили используемого ПО. И подаминь с этим подходом. Политики устанешь переписывать.
Говорю по собственному опыту написания исключений для браузера.
раскрыть ветку 3
+6

На такую сеть есть Windows 10 Enterprise и System Center с AppLocker.

раскрыть ветку 1
+5

System Center не решает проблем большого домена, добавляя свои.

-1

Это работает и в более крупных сетях.

+6

Диктатура наше всё, му-ха-ха. Пойду в сквиде ещё срежу скорость скачивания mp3.

раскрыть ветку 2
+11

самый класс Lamoda ограничить по скорости. И ведь не стыдно...

раскрыть ветку 1
0

В одной конторе любили рбк что ли, так вот там при открытии сайта запускается трансляция.

Выяснил их битрейт и поставил ограничения чуть пониже.

Да трансляция идёт но затыкается.

Веселые были времена)))

+17
Где такие Администраторы как Вы обитаете? Хорошо написано - не осилил.
раскрыть ветку 10
+10
Там, где руководство понимает, что на работе надо работать, а не картиночки в ломаном портабл фотошопе обрабатывать, да "новогоднюю елку" ставить на рабочий стол.
раскрыть ветку 7
+1

А то проблема на смарте позалипать?

раскрыть ветку 1
0

Знаете, админ тоже немалую роль играет в том, что понимает руководство под работой

раскрыть ветку 4
+2

Просто же достаточно. Даже для меня - далёкому от программирования и сисадминства.

0

Всё хорошо, но со скриптами из экселя не сработает...

+5
Отлично пишите :)

Тут нужен типовой набор правил, распространенные ошибки, например 'как превратить Винду в тыкву одним правилом срп', и ещё описание области применения. Например срп также умеет смотреть и подгружаемые приложениями дллки, что круто но доставляет проблемы, особенно при отсутствии унификации. А ещё оно очень забавно с ярлыками работает, помнится мне :)

А почему вы не рассматриваете правила по подписям файлов? Это имхо самое крутое что в срп есть :)
раскрыть ветку 5
+3

Потому-что не использую сам. Пишу о том, чем пользуюсь.

+1

Когда то давно работал на заводе, где админы закручивали гайки всем чем можно, а программки нужны были нештатные, тогда и вычитал прикольный трюк (не знаю работает ли сейчас, но на win7 работало) нужно было знать логин и пароль любого пользователя в домене даже с ограниченными правами (я тупо списал с соседнего компа) суть в том, что запустив приложение (например диспетчер задач) от имени другого пользователя через шифт, ты можешь запускать из него абсолютно любое приложение и политики на него не сработают)

раскрыть ветку 3
0

Я попробую обязательно. комментарий сохранил, по результатам отвечу.

раскрыть ветку 2
+6

норм статья.

может подскажешь по правам. есть у нас для бухов купленная прога, ipvanish - vpn клиент. по причине того, что она редактирует таблицу маршрутизации и еще куда то лезет, требует права админа, причем эскалацию прав запрашивает при запуске. временно бухам даны права локального админа, но я прям спать спокойно не могу так.

как мне выдать именно те права, которые нужны для функционирования  программы? права на определенные кусты реестра выдал, в группу операторы сети иль чет такое запихнул юзера. не помогает

раскрыть ветку 18
+3

установи в качестве сервиса

+5
раскрыть ветку 2
0

это дичь

0

сомневаюсь, что это сработает в домене

+1

Я в бытность эникейщиком использовал для этого утилиту адмилинк, но это было давно и я не знаю как она себя поведет на вин 10. Утилита древняя, но на вин 7 работала, в том числе с доменными учетками.


Ссылку прикрепить не дает пикабу, просто гугли admilink, родной сайт будет в домене narod (вот настолько она старая)

+1

Можно попробовать сделать костыль через JEA (just enough administration).

0
Можно попробовать черезMicrosoft Application Compatibility Toolkit. Есть инструкция, могу поделиться :)
раскрыть ветку 2
0

давай)

раскрыть ветку 1
0
Не пробовал compatibility administrator?
0
Добавь ее в планировщик задачь при старте системы
0

Powershell runas.exe? Правда пароль в открытом виде. В службы ее запихать нельзя?

раскрыть ветку 3
+1
Не прокатит. Причём у нас есть бухсофт что работает только на хр(так уж получилось) а вот в 8.1 рунас шел не хочет работать в домене, даже если вызывать локального админа скриптом, то просит дать админ доступ юзеру для машины. Только так, локальный админ в машинах бухгалтера(
раскрыть ветку 2
0

ярлык от имени админа на эту прогу, пароль сохранен

раскрыть ветку 2
+7

сразу нет. никаких кэшированных админских паролей, СКАЖЕМ НЕТ РУНАСУ!

п.с. костылями я и сам могу

раскрыть ветку 1
+6

сохранил. читать скорее всего никогда не буду

раскрыть ветку 44
+3

Старался не писать много

раскрыть ветку 43
+5

Как эти политики скопировать на 20 компов, не имея сервера АД?

раскрыть ветку 39
+1

как с вами можно связаться? захотелось пообщаться)

раскрыть ветку 2
+4
Иллюстрация к комментарию
+6

Админы в свое стихии :-).

А я всегда считал, что ограничивать нужно не человека, а вред, который он наносит. Т.е. никаких вирусов, шпионов и прочей пакости, и пусть хоть целый день сидит во вконтакте, инет-магазинах и прочих ютубах. При этом свою работу сделать должен в любом случае. Не сделал - санкции по всей строгости. Только это все зависит от начальников. Если начальник дурак, не может придумать административные положения, сферу обязанностей и четкое руководство по действиям, то он нанимает вот таких бравых ребят, пытаясь их силами замаскировать свою некомпетентность. Это же так просто: нанял профи, тот закрыл все лазейки, значит народ работает. Логика совка. Не будет компа - будут телефоны и частые перекуры. Когда народ не хочет/не может работать, найти причины "слинять" всегда найдутся.

раскрыть ветку 1
+11

Я что-то писал про блокировку интернета?

По-моему нет. Я говорил о блокировке приложений и скриптов.

+3

Админ с которым курим, сильно жалуется на пользователей нашей компании, потому как его горячо любимая w10 нах не сдалась нам, все сидят под разными линухами от генты до минта)) Тешит себя иллюзиями о том, что заставит кого-нибудь перейти на 10 и вращать линух в виртуале, но не судьба. Ещё очень обижается, когда приходят пользователи и начинают его учить, как правильно сервера настраивать, постоянно правят конфиги серверов под свои нужды, разворачивают удалённые доступы без согласований и т.д. Не просто быть админом в компании, где твои пользователи это 100+ программистов))

раскрыть ветку 3
+3
постоянно правят конфиги серверов под свои нужды, разворачивают удалённые доступы без согласований
Вот за это нужно бить смертным боем. Особенно за выделенное жирным...
0

Это очень круто и весело:))

Меня возьмите))

У меня сейчас группа 1С они безобидные и группа веб разработки тоже ручные)) сидят ток в гит комитят и ждут деплоя своего ))

0

пфффф

пусть линукс в магазине на десятке скачают

Иллюстрация к комментарию
+2

А что мешает загрузиться с флешки и скопировать Portable в раздел из которого разрешен запуск.

раскрыть ветку 27
+5

битлокер например.

раскрыть ветку 1
+3

Ты крут, отец. Я и забыл о нем, хоть и использую.

+3

У обычного пользователя прав на запись в папку системы и Program Files нет. Он не сможет скопировать программу.

раскрыть ветку 24
+4

При чём тут обычный пользователь? При загрузке с Live CD. Можно хоть папки копируй, хоть винду сноси.

раскрыть ветку 23
+1

мы делали силами батников и костылей)

просто составили список самого распространенного софта который в апдату ставят. создали там папки с такими же именами и отняли права у всех. в итоге эмуляция установки есть-программы по факту нет.

в таком способе есть мульён минусов но к сожалению силами АД делать нам руководство почему-то запретило

раскрыть ветку 1
0

на заре была тема с самописным скриптом, который говорил о том кто что понаставил

+1

Благодарю за пост. Плюсик поставил, пост сохранил. Что касается прав юзверей - никаких прав у них быть не должно. Вот вам браузер с запретом под страхом анальной пенетрации вконтактов/одноглазников и пр., офис и калькулятор - и хватит с вас.

раскрыть ветку 12
+5

Не понимаю, почему все так возбухают на доступность развлекательных ресурсов на работе?

Ну полистает человек ленту вк пару минут и чего?

раскрыть ветку 9
0

Потому что потому:) пара минут превращается в часы..

Да и есть свой телефон бери там и листай

-1

А того, что в том же вк ушлый кулхацкер рассылает хню, твой юзверь её тыкает - получи, админ, головняк. Оно нам не надо. Хотите в вкашках шариться - шарьтесь с мобилы через опсоса, никто не запрещает. Корпоративная сеть предназначена для другого.

раскрыть ветку 3
-3

синдром вахтёра. виртуального вахтёра ))

раскрыть ветку 3
+2

Это если нет старого проприетарного софта.

раскрыть ветку 1
0

Тогда стоит обратить внимание на виртуализацию UAC.

0
Не понял как работает правило хеша. Каким образом оно натсраивается
раскрыть ветку 3
0

Работает просто: скармливаете исполняемый файл мастеру групповой политики, он рассчитывает контрольную сумму файла.

После этого, система будет выделять этот файл среди остальных.

То есть так можно разрешить (или запретить) запускать конкретное приложение вне зависимости от его расположения.

Могу картинок запилить если надо.

раскрыть ветку 2
0
Т. Е., чтоб сделать такое правило надо каждую прогу иметь установленной, или хотьбы стащить экзешник?
раскрыть ветку 1
0

Даже мелкософт уже не считает ИЕ браузером. Но да пусть народ мучается и пользуется тем чем я сказал. Причем дыру в виде activex оставим. Весь софт обновляет только админ - пока народу 20 чел подождут, а на второй сотне взвоют. Но большинство контор из 20 рыл в современном мире обойдутся без домена и серверов.

раскрыть ветку 8
0

То есть Вы считаете засилье софта на компах нормой?

А что за софт нужен на большинстве компов?

Офис? Он обновляется автоматически.

7-zip

SumatraPDF

Firefox или Chrome установленные от админа обновляются потом автоматически.

Так много софта?

раскрыть ветку 4
0

То есть firefox у вас при обновлении скачает новую версию и установит из под пользователя который не имеет права на запись в каталог установки?

раскрыть ветку 3
0

ActiveX - используется периодически в разных местах. Видеорегистраторы и камеры - первейший пример. Но, я например, могу привести в пример дилерский портал тойоты.

Который работает исключительно и только в IE 8.... Так что IE иногда - суровая необходимость...

раскрыть ветку 2
0

Угу куча антикварных сайтов и специализированных мест. А еще огромная куча сайтов не работает на ИЕ. И конечно давайте заставим юзеров пользоваться интернетом каким он был 10 лет назад. Да хотя все представления оттуда - Пусть попробует запретить среднему руководителю уносить домой ноут и подключать его тут по необходимости

раскрыть ветку 1
0

Трындец... 8 лет как не занимаюсь администрированием, а там оказывается ничего не изменилось  :):):)

раскрыть ветку 3
+1

У него статьи отдают 2008р2 как раз те времена:)

раскрыть ветку 2
0

Ну я так, немножко с сарказмом :)

раскрыть ветку 1
0

Статья так себе, она оторвана от реальности

начнем с типа проверки:

- налоговая (тут все по бумажкам, спорим ваш бух накосячил и кучу ваших лицензий уже нелегальные? а у вас две фирмы, это вообще ад) - тут только подкуп, коли до///сь

- Затравили Adobe-Microsoft-Autodesk (они звонят вначале сами, договоритесь с ними, так будет дешевле, это по всегда должно быть легально априори

- Общая проверка (здесь половину не усмотрят и придут за взяткой, что делать понятно)

- Затравили конкуренты - тут и прикладом под ребра и сами поставят если нужно что угодно (валить с такой конторы нужно заранее и далеко)



Описанный вами способ, имеет слабое отношение к действительности, усложняет жизнь админа

вы забыли, что нелегальна и музыка и фильмы и т.д



ps просто так не приходят, мороки много профита нет, легче выловить приходящих админов

у вас и юрист и кучу экспертиз с наверняка спорными моментами, а там самопризнание, а средний-крупный обьем это автокад с адобе на 1 машинке

раскрыть ветку 10
0

Вы зациклились на проверке.

Речь не о ней. Если так удобнее, речь о запрете пользователями запуска любого софта, кроме заранее разрешенного. Это поможет от засилья говна на компах и не даст запуститься шифровальщикам например.

раскрыть ветку 9
-2

Тогда вопрос цели

если смотреть глобальнее то вы маневрируете между удобством работы и бюрократией

К примеру есть друг из интеграторов, собой заменяет отдел крупных фирм (для понимания строит военные городки, газпром объекты и подобное по ит части), ему удобен ноут на винде и кучу кряков, которые нужны для тестов, к примеру интеграция одной системы в другую

К чему я, если его ограничить в правах админа, предприятие потеряет заказы на интеграцию систем разнородных, ну или сильно усложнит всем жизнь


Пример другой

Я люблю слушать музыку в vk, убрав ее, мне проще будет сменить работу, а спец я неплохой для своей зп и должности и подобрать на мою зп спеца ой как сложно, собеседовал-знаю


Ваш случай, это записи экранов, нажатий клавиш и прочее, но это подход гнилых насквозь контор, где сидят дормоеды, которых можно заменить 10м нормальных людей, такие конторы истреблять нужно (знаю о чем говорю работал по обе стороны)

Работа должна приносить радость, а не рабский труд, а тут вы его на себя вешаете

сколько раз в день скайп обновляете и ему подобные?


Мусор на компах, отняли админа - все. а от кликеров в скайпе и хроме даже linux не спасает с macos

раскрыть ветку 8
0

Не подскажете что еще почитать на тему групповых политик? Хочу создать пользователя с максимально ограниченными правами , все что ему будет разрешено это использовать браузер , что то скачать, но запускать нельзя.

А то пытался как то сделать такого пользователя в итоге заблокировал все диски, даже админа пришлось в срочном порядке вспоминать что я такого выставил там.

Win7

Заранее спасибо

раскрыть ветку 16
+1

Рассмотрите группу Гости домена.

Профили участников группы удаляются при выходе.

Про запускать нельзя я уже написал в статье.

раскрыть ветку 1
0

Спасибо.

-1

Chromeos)))

раскрыть ветку 13
+1
Убунта наше все, 400+ юзверей полет, петя -мимо
раскрыть ветку 2
0

Вы оторваны от реальности.

Человек про Windows спрашивает - Вы его на линуху агитируете.

Тогда я голосую за NetWare.

В любой теме найдется линуксоид.

раскрыть ветку 9
-1

Ответственность за нелиценз ПО несёт гендир, и похуй на кого он там пальцем будет показывать.

раскрыть ветку 6
0

почитайте судебную практику

раскрыть ветку 5
+1

Согласен. Достаточно будет даже свидетельских показателей сотрудников офиса.

раскрыть ветку 4
-1

Всё бы хорошо, но если у пользователя права админа...

раскрыть ветку 51
+5

У него не должно быть прав админа

раскрыть ветку 29
+7

Юзвер в -40 в жопе ямала на установке говорит Заказчику - извините но я не могу восстановить работу этой системы потому что наш админ мне все права порезал....

раскрыть ветку 10
+1

Всплакнул, не работали вы с технарями. Которому нужно стоптитсот программ и вот сейчас.

раскрыть ветку 8
-2

А потом ой, на диске ошибка. Сейчас запустим проверку.. ой, нет прав... Всяко бывает.

раскрыть ветку 8
+2

Политика безопасности на уровне компании.

Если кому-то нужны права администратора, то бумага на подпись, что инструктаж прошел и компьютер взят под персональную ответственность пользователя. С этого момента пользователь отвечает за установленный софт, скачанные файлы и все остальное в рамках его компетенции.

раскрыть ветку 15
+3

Всё равно допускать подобное нельзя. Такой компьютер не должен быть в домене.

раскрыть ветку 9
+2

админские права могут быть только у админа

можно настроить отдельные группы "опытных" пользователей с расширенными правами - но никаких локальных админов и прочего

раскрыть ветку 2
+1

Жаль что я никогда такого в реальном мире не видел.

0

Только если комп в сети и поймает заразу, то может всей сети достаться.

+2

Вот пусть сам и админит

раскрыть ветку 2
+3

Самое простое решение. Приказом повесить ответственность за конкретный ПК на юзверя и все.

Только при условии, что пользователь шарит. Иначе будет косячить он, а разгребать тебе. Как-то собрал я комп в бухгалтерию. Быстро все поставил так, чтобы можно было работать, но при этом ограничения не настроил. Как итог: Я отошел на пару часов, чтобы докупить антивирус и офисный пакет, а вернулся уже к компу заваленному амиго и так далее по списку.

раскрыть ветку 1
+2

Можно локальному админу включить ограничения, а доменному исключение.

раскрыть ветку 1
0

т.е. ? Права и выданы потому что надо иметь возможность ставить софт.

-2

*ехидный смех линуксоида.

-5
И ещё в качестве кого вы работаете. То о чем Вы пишите и для интеграции да и для простого понимания изучения и осмысления нужно очееееееень много времени, да и с мозгами нужно быть. Если вы препод какой то Я пойму. Но если Вы практикующий админ и ещё с женой и ребёнком как Вы писали и ещё у Вас есть время такие посты писать, ну Я снимаю шляпу 😀
раскрыть ветку 7
+2

Так и есть. Практикующий админ с женой и ребёнком.