Политика ограничениого использования программ
 

Всем здоровья! Трабл такой; есть домен, в коем около 60 юзверей, контроллер домена Windows 2008 Enterprise x64. Встала задача ограничить пользователей в устанавливаемых и запускаемых приложений, в частности js-файлов(запустили уже 2-ое, приняв по почте, терь сильно плачут). Есть одна обалденная вещь в GPO - политика ограниченного использования программ. Создал новую политику, связал ее с нужной группой(назвав их Others). Затем, конфигурация пользователя-Конфигурация Windows-Параметры безопасности-Политика ограниченного использования программ. И тут пошли, как мне показалось, чудеса... По идее, при уствновке уровня безопасности по умолчанию "Запрещено" должно запускаться только системные приложения и Уже установленное ПО из папки Programm Files. НО у многих пользователей работет только софт из коробки с виндой(типа блокнота) и кое что из установленного стороннего. Отрубился The Bat , Google Chrome, Opera, но почему то работает Mozila, Thanderbird и весь Office! Все остальное простите-подвинтесь, политика не позволяет. Так же запретились и bat-logon скрипты из доменной политики по умолчанию. Как вариант прокатывает сделать уровень безопасности "неограниченный", когда можно все, в той же политике в ветке "дополнительные правила" создать правила для пути или для хеша, запрещающие запуск определенного ПО, но это сколько же надо там создать, что бы не запускалось ничего кроме нужного! Думал создать разрешающие правила при уровне безопасности "Запрешено" - не срабатывают, все одно нельзя ничего.... Есть еще вариант: Конфигурация пользователя-административные шаблоны-система-система-запускать только указанные приложения Windows-включить. Но тогда в список разрешенных приложений столько всего надо добавить, вплоть до WMP и блокнота, что ай-ай... Коллеги помогите пожалуйста, как грамотно настроить данную политику, чтобы никто, к кому она применяется ни установить ничего не смог, не запустить(скажем с флешки иди приняв по почте), кроме того что уже установлено?. Хочется остановить творящуюся в сети анархию, что бы всех на коротком поводке держать.. Все клиенты Windows XP SP3.

1. Политику делать только в Computer Configuration;
2. В политике ликвидировать тип файла LNK;
3. В политику добавить путь до логон-скриптов (скажем, \\Domain.Name\NetLogon)

http://blog.windowsnt.lv/2011/05/30/...h-srp-russian/
http://blog.windowsnt.lv/2013/07/03/...iting-russian/

Все бы хорошо, но на уровне компьютера данная политика работать не хочет, хоть после перелогина, хоть после перезагрузки...Делал и так как Вы советовали, перед этим прочел кучу статей, где все описано, как это замечательно работает.. Ан нет!!! А на уровне пользователя получается описанный выше бардак :( :( :( На тестовом ноутбуке вообще все позапрещалось, систему вот свежую поставил, думал мало ли чаго, так там и скрипты мои по маппингу и переименованию сетевых дисков как то работают теперь не так :lol: Медленно сползаю падстол...

- а вот это лучше реализовать, оставив пользователям только пользовательские права (убрать права Администратор, Опытные пользователи и т.п). Если что-то и смогут установить (типа mail.ru агента) - на параметры системы никак не повлияет.
- Даже если запустит, права пользователя опять же не дадут внести изменения в систему.
- Опять же поможет ограничение прав.

Dear tamba,
Опишите конкретно и точно все предпринятые шаги по настройке политики в Computer Configuration. Сколько компьютеров делал, все работали. Статья написана как раз для того, чтобы всё сделать беспроблемно.

Dear __sa__nya,
Права стандартного пользователя не удержат пользователя от установки нежелательных программ (например, Google Chrome) в папки профиля. Более того, ограничение привилегий не поможет защититься от запускаемого с флешки или интернетов вируса, шифрующего все доступные документы. Было бы лучше, если бы вы тоже ознакомились с Software Restriction Policies (SRP).

Цитата WindowsNT:
Было бы лучше, если бы вы тоже ознакомились с Software Restriction Policies (SRP) »

Я с ними очень хорошо знаком ( на моем основном сервере, например, где много критичных служб, антивируса просто нет - т.к. неоднократно бывали случаи когда он создавал проблемы в работе этих служб; и в итоге я получал от антивируса вреда больше чем пользы и сервер я обезопасил как раз с помощью SRP), просто прочитав первый пост автора, считаю что начать лучше с ограничения прав.

Значит так: в контейнере Others(где 17 пользователей) создаю и связываю с ним новый объект GPO, под названием Test. Далее, конфигурация компьютера-конфигурация Windows-Параметры безопасности-Политика ограниченного использования программ - создать новую политику ограниченного использования программ. Далее, Уровни безопасности-делаем "Запрещено№ уровнем безопасности по умолчанию. Назначенные типы файлов, в окне выделяем LNK - удалить-ОК. И, собственно, перелогон или ребут(не важно) клиента. Все... Только по-фигу мороз.. :laugh: :biggrin:
Все как работало, так и работает дальше... Ну нет у меня уверенности, что не смотря на мои предупреждения и слова генерального на планерке об опасности, кто то не получит и не попытается открыть пакость, шифрующую файлы...
Решил потренироваться дома. Там еще причудливее: все то же самое проделываю, локальная политика мгновенно срабатывает, и... ваще ничего не работает!!! Там Windows7 Ultimate x64/ Запускается только Office. Не, RSP по сути, классный инструмент, только у меня как то не так, как я того хочу работает... Мож я что не так понял и переоценил его возможности? :dont-know

Dear tamba,
1. Вы не можете объект с настройкой Computer Configuration привязывать к OU с пользователями, он работает только для компьютеров. Это же Computer Configuration.
2. Я сказал "опишите конкретно и точно". Не можете связать два слова — показывайте снимки экрана. Чудес не бывает, где-то вы делаете не так, как в инструкции, это факт. Любой сбой типа "вообще ничего не работает" означает, что сработало конкретное правило для конкретного пути или хэша.

Компьютер — это машина, она слепо подчиняется человеку, свои фантазии не привносит.

Чудес не бывает, это правда, просто в действие вступают законы и правила, которых мы не понимаем или понимаем не так... Точно, объект GPO не привязался к OU с пользователями, этого я не учел... Сделал так: в консоли "управление групповыми политиками" в ветке Users "Мой домен" создал подразделение Etc Comp's, куда покидал компы тех пользователей, используя консоль AD Users and Computers... , с которым связал созданную политику Test c настройкаами политики ограниченного использования программ и установленным уровнем безопасности "Запрещено" по умолчанию. В "Назначенные типы файлов" удалил LNK(что бы по задумке ярлыки срабатывали). Все остальное оставил по дефолту, дополнительных правил для пкти или хэша не создавал... Вуаля! Политика применилась, ка и должно было быть... Но послышались звонки от недовольных через 30 минут( у меня в дефолтной политике прописано, что бы он через 30 минут обновлялись на клиентах, заместо положенных 90). Не работает установленное ПО-запрещено политикой. Это Libre Office, браузеры, почтовые клиенты Thanderbird и The Bat! Без проблем работает только пО от MS (Office и то, что с виндой). Пришлось пока отвязывать политику. :dont-know

Опять нет конкретики - из какого пути не запускались программы, каково было сообщение об ошибке и т.д. С таким описанием вам никто помочь не сможет.

Все, впрде разобрадся... По крайней мере на домашней машине с Win7 Ultimate x64 все заработало как надо!.... Не мог ответить на работе, ибо был занят сбором инфы, где что лежит( там много самописного софта, который запускается откуда угодно, как писавшему его программисту поставить было удобно), но все таки без дополнительных правил для пути обойтись нельзя... Только раньше не работало как я их не создавал, по тому как к пользователям на уровне компьютера пытался применить, а коли применяешь к ним же на уровне пользователей получается вообще неразбериха и хаос, как писалось выше. Причем в любом случае, даже если по хэшу правила добавлять начинал... Завтра предстоит трудная и кропотливая работа по добавлению правил для пути и хэша... спасибо WindowsNT за подсказки, посмотрим, как оно завтра выйдет... :clapping:

Если 7ка лучше делай через Политики управления приложениями AppLocker и применяй на компьютер, а не пользователей.

Короче, господа, опять затыки небольшие... очень много софта написано в среде fox Pro и visual fox Pro, софт разбросан, как в свое время было угодно программисту... Казалось бы чего проще - в той же политике в дополнительных правилах создаю правило для хэша, куда прописываю FOXPROL.EXE, FOXPROX.EXE и VFP.EXE. Из назначенных типов файлов убираю еще и PIF(ярлык для программ MS.DOS)... при запуске обратно ошибка - нельзя, мол политикой запрещено... фокс - полноценная среда разработки и там столько всего еще нужно разрешить... а путь к определенной папке открывать нельзя пому как она лежит у кого где... Ужас. Бардак. По той же причине не могу путь к папке профиля пользователя открыть, где Google Chrome лежит, а версии видать разные, следовательно и хэш тоже. Потому и работает не у всех, хоть находятся все в одном OU и GPO одна к нему привязана... Как в таком случае защитить пользователя от него самого, загадка... :dont-know :dont-know :dont-know

Не надо всё брать хэшами, делайте путями. Пусть будет правило вида "C:\FoxPro : Unrestricted", это всё равно на порядки безопаснее, чем сидеть вообще без штанов.
Пути придётся систематизировать. Для этого ставьте сотрудникам deadline по приведению машины в стандартный вид, подключайте политику к ним по очереди. Установите deadline всего проекта (скажем, до 01-Янв-2015) и делайте пошагово, без тотальной "шоковой терапии", иначе нужный и важный проект будет провален на уровне руководства.

Пути профиля добавлять не следует, конечно же. Хром из профилей сносить, ставить только корпоративный в Program Files.

Ну, я так и делаю, начинает кое что проясняться и работать на фоне по началу устроенного всеобщего облома, спасибо! Теперь я почти спокоен. Еще недельки полторы систематизации всего и левому ПО скажем твердое НЕТ :yahoo:

Расскажите потом о своём опыте. Как шёл проект, какие были трудности, какие достижения. Размер и специфика компании.

Ну, собственно, силами сотрудников отдела руками по сети переносим все пользовательские проги по складу, сбыту и бухгалтерии в одно место на локальной машине(благо софт там не требует инсталяции, пути в реестре не трогает и ему по-барабану откуда работать) прописал пару правил для путей еще, и вуаля, порядок почти восстановлен. С остальным разбирается сетевой антивирус, если что и проникает... не панацея, конечно, но в купе с RSP рисков все же меньше... в домене около 65 машин. Почему везде, кроме некоторых Win XP стоит( хотя легализация ло Win 7 Pro куплена) - не работает выше XP FoxPro 2 и 3 версия. На которой все и написано.. Есть, конечно недовольные - жучки, знаете ли не работают и проч. :laugh: Компания, относительно небольшая, трудимся над производством кирпича. Года 4 назад всю сеть перевел в доменный режим работы, до этого сеть из-за небольшого размера была полностью одноранговой. Вот так потихоньку и доказываем, что АСУ - это крутой отдел, а не мальчики по-вызову. :closed-to

Сервера тоже сконфигурены?
Уведомления SRP на почту сделали?

Вот до чего еще руки не дошли, так это до уведомлений... Сервера постольку по-поскольку настраиваются... по мере надобности, их всего 4.... файловый NAS, интегрированный в AD(Synology RS-812), прокси, контроллер домена и антивирусный, который еще и как резервный контроллер. Еще копировально-множительная техника около 50 единиц, 2 пром контроллера в сети profnet и чудо мини-АТС Samsung OS 7400. В штате 2 системщика, 1 программер, 1 телефонист... :help:

Я сделал уведомления для всего домена примерно за 5 минут. Статья у вас есть.

Сначала добьюсь, что бы хоть нужное запускалось.... Работы много, потому как все на каждой машине разбросано по разному. Если тупо переместить файлы в папку, где запуск разрешен, все одно руками много поправлять надо. Так что тут глобальная автоматизация не прокатит. Пока не поздно, все руками доделывать надо. Например, нельзя просто так, даже удаленно во время работы сотрудника сбыта готовой продукции(работающего с перерывами и пересменками круглосуточно) эксперементировать. В который раз жалею, что рабочий день всего до 17-00. Так что сначала, я думаю, до ума все довести, а уведомления, я думаю настроить чуть позже... Тут и так много вопросов у людей возникает, почему не работает, скажем покер, или что то еще, что раньше запускалось. Получив ответ и сделав вывод, что, оказывается, на работе надо тупо работать( по крайней мере, ВТ использовать только по прямому назначению), наживаю себе врагов...

Должно быть, вы не понимаете ключевой момент: уведомления позволяют моментально увидеть, что и где не запускается. Это позволяет реагировать быстрее, чем даже кто-то начнёт жаловаться. Сотрудник ещё не позвонил, а вы уже знаете, что у него заблокировалось; и исправляете политику, после чего быстро делается psexec \\ComputerName gpupdate, и клиент даже не успеет понять, что произошло.

Как раз это я понял, очень полезно и своевременно. Беда в том, что люди, которые работают непрерывно( касса, сбыт), среагируют быстрее, чем я прочту почту и пред приму действия. Я же объяснял, политика практически настроена, спасибо за советы. Но очень многое приходится подправлять по месту жительства. Или политика просто обрастет еще кучей правил для путей( напоминаю, софт разбросан очень рандомно), что в итоге сделает ее безполезной. У кого конкретно и что не за пустится я теперь знаю, над этим пока и работаем. Уверяю вас, кассир или работник сбыта, которому нужно отпустить 3 фуры продукции, стоящих под парами на выезде оповестит меня, потом и генерального как бы не быстрее, чем я прочту и проанализирую отчет сформированный политикой и разрулю ему все... По-этому, я считаю, что это не первоочередная задача, хотя и тоже важная. Спасибо огромное за ссылку на статьи и советы - очень помогли и натолкнули на множество конструктивный мыслей.))))