Как предотвратить несанкционированную установку программного обеспечения на ПК с Windows?

Существуют технологические меры, которые вы можете предпринять, чтобы затруднить пользователям установку программного обеспечения на своих ПК с Windows (о чем я упомяну в конце). Тем не менее, это дисциплинарный вопрос, а не технический, и, вероятно, его лучше решать с помощью политик и дисциплинарных процессов - поскольку некоторые умные люди всегда найдут способ обойти ваши ограничения - если они не заметят значительных последствий своих действий.

Я предполагаю, что вы являетесь ИТ-администратором компании. Я бы убедил руководство в том, что пользователи, устанавливающие несанкционированное программное обеспечение на компьютеры, - это не просто техническая проблема, но и юридический и финансовый риск, и пусть они применяют дисциплинарные меры. Затем просто проводите периодические проверки и, если обнаруживается несанкционированное программное обеспечение, начинайте дисциплинарное производство - устное предупреждение, письменное предупреждение и т. Д. Как только возникает боль, связанная с обходом политик, люди сами прекращают поведение.

В Windows XP может быть крайне сложно настроить программное обеспечение для работы в качестве пользователя с ограниченными правами, а не в качестве администратора - Windows Vista и 7 добились определенного прогресса в этом отношении, поэтому обновление компьютеров поможет. Один из лучших способов определить, какие разрешения необходимо предоставить, - запустить инструмент, такой как Process Monitor, который точно покажет, к чему пытается обратиться программа, из-за проблем с правами, и вы можете предоставить права.

Это может быть очень утомительным, поэтому я также порекомендую некоторые другие, менее интенсивные способы администрирования, чтобы усложнить установку несанкционированного программного обеспечения - хотя эти методы будут сильно раздражать пользователей и иногда могут препятствовать нормальной работе, поэтому предпочтительны дисциплинарные методы:

• Отключить доступ к USB-накопителям
• Извлекайте оптические приводы с ПК - все программное обеспечение должно приходить из сети или USB
• Блокировка загрузки исполняемого файла и.ZIP (и других форматов архива) на веб-прокси-сервер
• Блокировать исполняемые файлы и архивы на вашем почтовом сервере
• Используйте Политики ограниченного использования программ (в соответствии с вашим вопросом).

Ответ @BorkBlatt довольно хорош с охватом нескольких основ. Если вы хотите использовать комплексное решение для профилактики, есть такие приложения, как Deep Freeze. Вы настраиваете машину так, как вы хотите, чтобы она была настроена, "замораживаете" ее, и независимо от того, что изменено, машина переходит в "замороженное" состояние при перезагрузке.

Другими словами, вы можете удалить подкаталог Windows, и после перезагрузки каталог появится снова.

Это приносит свои собственные управленческие издержки, хотя. Вам необходимо использовать инструменты управления для создания окна обслуживания (при условии, что обновления Windows будут работать для вас надежно), хотя с помощью нового способа установки некоторых компонентов Windows 7 при перезагрузке мы сочли это плохой идеей. В противном случае вам нужно обновить системы вручную. Антивирусы сложны, если вы настаиваете на их запуске на клиентских компьютерах, поскольку обновленные сигнатуры стираются при перезагрузке, но с другой стороны, любые инфекции в системе стираются и при перезагрузке.

Если вы используете DF, ваши пользователи могут использовать "пространство оттаивания" (еще одну букву на локальном диске) или сетевой сопоставленный диск, и их перемещаемый профиль будет (или должен) сохранять настройки рабочего стола / приложения. В основном, единственные приложения, которые они могли установить, были бы в их локальном профиле или подключенном диске, но изменения, которые основаны на вставке файлов в любой каталог Windows, могут быть удалены при запуске. Если они настаивают на установке программного обеспечения, они, как правило, каждый раз переустанавливают его, поэтому оно того не стоит.

Да, и с Deep Freeze вам нужно будет отключить параметр Active Directory, который периодически меняет ID рабочей станции. В противном случае ваши рабочие станции "отваливаются" от домена.

Я также предложил бы рассмотреть, к чему ваши пользователи действительно должны иметь доступ. Используйте принцип наименьших полномочий - если им не нужен доступ выше обычного пользователя, не предоставляйте его им. Не позволяйте людям работать от имени администратора. Используйте набор инструментов Sysinternals для предоставления минимальных привилегий определенным подкаталогам, когда программы жалуются на невозможность чтения / записи в определенный раздел реестра или каталог.

По моему мнению, внесение в белый список разрешенных исполняемых файлов более радикально, чем Deep Freeze, если только вы редко, если вообще не меняете, какие программы вы используете. Существуют программы, такие как LanSweeper, которые будут наблюдать за вашей сетью и предоставлять вам списки того, какое программное обеспечение зарегистрировано как установленное, так что вы можете проводить аудит программного обеспечения таким образом.

Должен прийти в шаг

1. Дисциплинарная политика / политика компании
2. только для обычного доступа пользователя (windows)
3. отключить USB / оптический привод. (большинство банков и крупные корпорации делают)
4. отключить загрузку exe и zip на http прокси и почтовом сервере.

самое главное нет. 1

в моей компании каждый новый персонал сначала будет проходить вводный курс по ИКТ. там они узнают, что можно и нельзя.