Ветеран
Сообщения: 1496
Благодарности: 384
|
Профиль
|
Отправить PM
| Цитировать
Application Whitelisting — "белый список" разрешённых для запуска программ. Например, вы указываете "разрешаю запускать всё из папки Program Files и \\Server\Data\1C\1c.exe; всё остальное запрещено". Для пользователей это будет выглядеть так: приносимые ими на флешках или скачиваемые с интернетов программы запускаться не будут, будет работать только 1С, офис, Adobe. Для вас это будет выглядеть так: практически стопроцентная невозможность запуска вирусов с флешек и кэша браузера, а также никаких "левых" программ.
Если под "юзерами" вы имеете в виду пользователей, то "делать всё" равняется отсутствию безопасности. Всё — форматировать диски? Запускать вирусы? Удалять данные?
Под "сложностями" тогда будем понимать безотказную безвирусную работу компьютерной системы.
Необходимо настроить целый ряд политик и параметров безопасности. Откройте GPEdit.msc на одной машине и полистайте секции Computer Configuration, User Configuration. Как минимум, должен быть включён DEP (Data Execution Prevention), Account Lockout, уровень аутентификации LanManager поднят до NTLMv2 (запрещены LM/NTLM), включены цифровые подписи на SMB-сессии, включён ряд параметров аудита: успешные удаления документов из общих папок, неуспешных попыток входа и т.п.
Домен даёт два преимущества:
1. Централизованная регистрация учётных записей. Создал пользователя один раз, добавил в группы — он распознаётся на всех машинах сразу. Назначать привилегии, доступ в такой системе гораздо проще. Без домена вам придётся регистрировать каждого пользователя на каждой рабочей станции, а на сладкое останется управление параметрами сотен учётных записей.
2. Централизованное управление. Включил, к примеру, AppLocker один раз — все машины подчинились. Указал в доменной политике установить на все машины скайп — все исполнили. Указал требуемые для 1С региональные настройки один раз — у всех пользователей они установились.
Если какая-то сторонняя система не поддерживает домены, то зачем тогда вам такая система?
Криминала совмещения терминала с контроллером не вижу.
|
