Запрет установки программ домен

Да можна через групповую политику безопасности
запусти на машине на которой шочеш ето сделать
пуск —> выполнить
а там введи C :\WINDOWS\system32\gpedit.msc
Там есть административные шаблоны (снизу)
Там в них покопайся. Не помню точно где можно запретить установку и удаление
программ и еще много чево

Потом завершы сеанс и зайди снова. Должно работать
НО УЧТИ ВСЕ ШО ТЫ ТАМ СДЕЛАЕШ БУДЕТ ПРИМЕНЯТСЯ К Л Ю Б О М У ПОЛЬЗОВАТЕЛЮ
будь ты простой узер или трижды администратор.
Такшо осторожно (там везде есть пояснения. Почитай их)
Еслы есть домен тогда проще раз нв серваке поставил и все

Цитата
Анатолий Сидорук пишет:
Ето не извравщение а стандартное решение от компании дяди Била
Цитата
Анатолий Сидорук пишет:
А ты ето пробовал ? снести строку в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\netsvcs)универсальное Попробуй. Получиш не забываемые впечетления

Не использовать рабочие группы
Все ящики включить в домен

Поднять на Active Directory политику безопасности
она применится на все компютеры домена

Паралельно диск с на NTFS поставить права всем на чтение кроме
SYSTEM и администатор домена и локальный админ
папку TEMP все на изменение чтобы офис шмофис запускался и прочие проги
Ну и папки с нужными прогами если не будут работать нормально
тоже поставить всем на изменение
Папку C:\Documents and Settings всем на полный доступ иначе бубут глюки
с профилями

Переменные среды КАЖДОГО юзера указать не %USERPROFILE%\Local Settings\Temp
а %SYSTEMROOT%\Temp

Источник



Блокируем приложение в домене на примере программы Ammyy Admin

Коллеги, приветствую. Сегодня поговорим о том, как же все-таки запретить пользоваться программой, которая не по нраву администратору. Написать эту статью меня побудили две беды, с которыми я столкнулся у себя в рабочей среде. Связаны они прежде всего с информационной безопасностью:

  1. Программы удаленного управления. Их развелось довольно много в последнее время. Наиболее распространенные из коммерческих Radmin, из условно-бесплатных Ammyy Admin, Teamviewer. Программы очень хорошие и имеют богатый функционал. Механизм работы проще простого – клиент подключается к компьютеру через http/https – протокол и может им управлять удаленно. Возможно, у некоторых свой протокол. Не скажу по Radmin, у этой программы свой порт, но протокол все же гипертекстовый скорее всего. Не важно в принципе. Отсюда возникает вопрос – как обезопасить свою рабочую сеть от проникновения? Заблокировать весь протокол нереально, без интернета сейчас никуда. Заблокировать доступ по адресам можно, но их надо узнать, да и они ж могут меняться. Убрать на компьютерах права администратора само собой (но см. 2 проблему), но не всегда это помогает, к тому же всегда есть те, у кого права должны быть. В общем, методов борьбы много, но они не эффективны на 100 %
  2. Портативные программы. Также очень удобны в плане того, что программу вы не устанавливаете, а “заливаете” все сразу в память. После выхода из приложения все очищается. К тому же Portable Edition-программы не требуют прав администратора. Программы типа Ammyy admin и teamviewer как раз такие.

Решил я как-то побороться с этими бедами. Придумал пока такое решение: заблокирую с помощью групповых политик программу Ammyy Admin (затем Teamviewer). Аутсорсинговые компании, которые работают у нас в фирме заставлю пользоваться стандартной программой Удаленный помощник и Удаленный рабочий стол, в перспективе закупим Radmin, который можно разворачивать и администрировать централизованно. Или как злой админ заставлю из приезжать на рабочие места клиентов. Думаю, во многих организациях, где защита инфомарции критичный сервис, именно так и поступают. В общем, время покажет. пока же стоит задача заблокировать использование программы Ammy Admin.

Прежде всего немного теории, буквально очень кратко. Стандартными средствами заблокировать программу (далее “залочить”) можно двумя известными мне способами:

  • Для старых ОС типа Windows XP (хотя должно работать и на новых) это механизм политик ограничения использования программ. Работает блокировка по сертификату приложения/пути/хэшу/зоны сети. Я выбрал сертификат программы, остальные способы мне кажутся наименее действенными. Создаем политику, заходим в свойства. идем по нужному пути (см скриншот) и создаем новое дополнительное правило по сертификату:

Далее через Обзор добавляем exe-файл программы. Чтобы удостовериться можно затем нажать конпку “Подробности”:

Источник

Запрет установки программ домен

Эта политика распространяет повышенные привилегии на все программы. Эти привилегии обычно зарезервированы для программ, которые были назначены этому пользователю (предложены на рабочем столе), назначены этому компьютеру (установлены автоматически), или были сделаны доступными в окне "Установка и удаление программ" панели управления. Эта политика позволяет пользователям устанавливать программы, которые требуют доступа к папкам, которые пользователь не может просматривать или изменять, включая папки на компьютерах с высоким уровнем ограничений.

Если эта политика отключена или не задана, система применяет разрешения текущего пользователя при установке программ, не распространяемых или назначаемых системным администратором.

Замечание: эта политика появляется как в папке "Конфигурация компьютера", так и папке "Конфигурация пользователя". Чтобы эта политика вступила в силу, следует включить ее в обеих папках.

надеюсь, кто-нибудь может дать доп. пояснения.

Домен 2003, пользователь ХП.

Нужна дать пользователю права на свободную инсталяцию.

Always install with . включен и на комп и на пользоваетеля (политику обновлял)
Пользователь добавлен в локальные админы (как альтернативная попытка)

При инсталяции, пользователь все равно не имеет доступа на запись в папке ПрограмФайлс.

Поможите пожалуйста решить эту проблему.

Да и дело как раз в том, что не хочется давать права на папку, пользователь сам то косячить не начнет, но все же не есть безопастно иметь такой аккаунт.

Пробовал методом Sergey Sosnovsky:
Конф. польз. — адм.шабл. —комп.Win — Установщик — Всегда производить установку с повышенными полномочиями

эту политику положил в ОУ, где лежат эти 3 пользователя, gpupdate -> не могут устанавливать, говорит нужны административные права

в этот же ОУ положил пару компов, gpupdate -> не могут устанавливать, говорит нужны административные права

отредактировал политику добавил в ветке Конф.комп. — адм.шабл. —комп.Win — Установщик — Всегда производить установку с повышенными полномочиями -> не могут устанавливать, говорит нужны административные права

Источник

Закручиваем гайки пользователям: часть 1. Политика ограниченного использования программ.

Итак %username%, тебя взяли на работу. Предположим, что ты более — менее разбираешься в вопросе и умеешь чуть больше, чем картридж поменять. С момента, как ты стал сисадмином, ты взял на себя огромный груз ответственности. Ты отвечаешь не только за то, что-бы ничего не наебнулось — ты отвечаешь за лицензирование. Будь уверен, если придет проверка, твой генеральный прикинется ветошью и не отсвечивая покажет пальцем в твою сторону.

О лицензировании.
Твоя задача не только самостоятельно не устанавливать всякую дичь aka RePack Photoshopа, но и не дать пользователям самостоятельно устанавливать и запускать подобную дичь с флешки и иных папок/носителей.

Об ограничении.
Описанный ниже способ сэкономит твои нервы и придаст уверенности в используемом программном обеспечении. Политика ограниченного использования программ подобна настройке FireWall. Она предполагает определение типа запрета:
— всё можно, кроме указанного в списке.
— всё нельзя, кроме указанного в списке.

Мне по душе второй вариант. Я люблю работать с местоположением программ.

Для начала мы определяем границы возможностей пользователя:
Определим пути, куда пользователь прав на запись не имеет:
— C:\Windows
— «C:\Program Files»
— «C:\Program Files (x86)»
Именно в этих расположения находятся приложения, установленные системой и администратором.

В остальные каталоги и локальные диски пользователь может иметь доступ на запись.
Это значит, что он может сохранить там приложение и выполнять его.
Если мы разрешим запуск приложений только из системных каталогов, мы получаем:
— Перестают работать Амиго, Яндекс браузер и прочее ПО из профиля пользователя.
— Пользователь не может сам запустить скачанное из интернета приложение: каталоги, откуда он может запустить программу закрыты на запись, а открытые на запись запрещены к запуску.
— Никаких шифровальщиков
— Никакого Portable софта.
При этом Администратор может всё.

Интересно? Читай дальше.

Создание объекта групповой политики

Создадим новый объект групповой политики и свяжем его с доменом. Вы можете создать несколько политик и раскидать их по отделам, например. Зачем? Узнаете от бухгалтера по банкам, когда отвалятся банки

После создания объекта, редактируем его. Идем по пути:

[Конфигурация пользователя — Политики — Конфигурация Windows — Настройки безопасности — Политики ограниченного использования программ]
Создаем новую политику.
После создания нам требуется указать уровень безопасности (то, о чем я говорил — черные и белые списки):

Источник

Запретить пользователям установку или запуск программ в Windows 10/8/7

Групповая политика

При желании вы можете запретить пользователям устанавливать или запускать программы в Windows 10/8/7, а также в семействе Windows Vista/XP/2000 и Windows Server. Это можно сделать с помощью определенных параметров Групповой политики , чтобы управлять поведением установщика Windows, запретить запуск или ограничение определенных программ через Редактор реестра .

Установщик Windows , msiexec.exe , ранее известный как установщик Microsoft, – это механизм установки, обслуживания и удаления программного обеспечения в современных системах Microsoft Windows.

В этом посте мы увидим, как заблокировать установку программного обеспечения в Windows 10/8/7.

Отключить или ограничить использование установщика Windows через групповую политику

Введите gpedit.msc в начале поиска и нажмите Enter, чтобы открыть редактор групповой политики. Перейдите к Конфигурациям компьютера> Административные шаблоны> Компоненты Windows> Установщик Windows. В панели RHS дважды щелкните Отключить установщик Windows . Настройте опцию как требуется.

Этот параметр может запретить пользователям устанавливать программное обеспечение в своих системах или разрешить пользователям устанавливать только те программы, которые предлагаются системным администратором. Если вы включите этот параметр, вы можете использовать параметры в окне Отключить установщик Windows, чтобы установить параметр установки.

Параметр «Никогда» означает, что установщик Windows полностью включен. Пользователи могут устанавливать и обновлять программное обеспечение. Это поведение по умолчанию для установщика Windows в Windows 2000 Professional, Windows XP Professional и Windows Vista, когда политика не настроена.

Параметр «Только для неуправляемых приложений» позволяет пользователям устанавливать только те программы, которые назначает системный администратор (предлагает на рабочем столе) или публикует (добавляет их в «Установка и удаление программ»). Это поведение по умолчанию установщика Windows в семействе Windows Server 2003, когда политика не настроена.

Параметр «Всегда» означает, что установщик Windows отключен.

Этот параметр влияет только на установщик Windows. Это не мешает пользователям использовать другие методы для установки и обновления программ.

Всегда устанавливайте с повышенными привилегиями

В редакторе групповой политики перейдите к Конфигурация пользователя> Административные шаблоны> Компоненты Windows. Прокрутите вниз и нажмите «Установщик Windows» и установите для него значение Всегда устанавливать с повышенными привилегиями .

Этот параметр указывает установщику Windows использовать системные разрешения при установке любой программы в системе.

Этот параметр расширяет привилегии всех программ. Эти привилегии обычно зарезервированы для программ, которые были назначены пользователю (предлагаются на рабочем столе), назначены компьютеру (установлены автоматически) или стали доступны в разделе «Установка и удаление программ» на панели управления. Этот параметр позволяет пользователям устанавливать программы, которым требуется доступ к каталогам, которые пользователь может не иметь разрешения на просмотр или изменение, включая каталоги на компьютерах с ограниченными правами.

Если этот параметр отключен или не настроен, система применяет разрешения текущего пользователя при установке программ, которые системный администратор не распространяет или не предлагает.

Этот параметр отображается в папках «Конфигурация компьютера» и «Конфигурация пользователя». Чтобы этот параметр вступил в силу, необходимо включить параметр в обеих папках.

Опытные пользователи могут использовать разрешения, предоставляемые этим параметром, для изменения своих привилегий и получения постоянного доступа к файлам и папкам с ограниченным доступом. Обратите внимание, что версия этого параметра в конфигурации пользователя не гарантируется как безопасная.

Не запускайте указанные приложения Windows

В редакторе групповой политики перейдите к Конфигурация пользователя> Административные шаблоны> Система

Здесь, на панели RHS, дважды нажмите Не запускать указанные приложения Windows и в открывшемся окне выберите Включено. Теперь под опциями нажмите Показать. В открывшемся новом окне введите путь к приложению, которое вы хотите запретить; в этом случае: msiexec.exe .

Это запретит запуск установщика Windows, который находится в папке C: \ Windows \ System32 \ .

Этот параметр не позволяет Windows запускать программы, указанные в этом параметре. Если вы включите этот параметр, пользователи не смогут запускать программы, добавленные вами в список запрещенных приложений.

Этот параметр запрещает пользователям запускать программы, запускаемые процессом Windows Explorer.Это не мешает пользователям запускать программы, такие как диспетчер задач, которые запускаются системным процессом или другими процессами. Кроме того, если вы разрешаете пользователям получать доступ к командной строке cmd.exe, этот параметр не запрещает им запускать программы в командном окне, которые им не разрешено запускать с помощью проводника Windows. Примечание. Чтобы создать список запрещенных приложений, нажмите «Показать». В диалоговом окне «Показать содержимое» в столбце «Значение» введите имя исполняемого файла приложения (например, msiexec.exe).

Запретить установку программ через редактор реестра

Откройте редактор реестра и перейдите к следующему ключу:

Создайте строковое значение с любым именем, например, 1, и установите его значение в EXE-файле программы.

Источник

Кроме этого:  Национальный удостоверяющий центр