GPOs και περιορισμοί χρηστών
Αρχικά να αναφέρω ότι αυτή είναι η πρώτη φορά που γράφω blog και ελπίζω να συνεχιστεί. Εξαρτάται από τα σχόλια σας για να να γίνει αυτό.
-----
΄Μπαίνοντας στο θέμα μας τώρα...
"Θέλουμε ISA server", ήταν εδώ και αρκετό το αίτημα του τμήματος IT προς την διοίκηση, μαζί με όλες τις εξηγήσεις για το 'τι είναι;' ένας ISA.
Παρόλα αυτά, η λύση έπρεπε να βρεθεί ώστε να περιοριστεί το πρόβλημα. Ποιο ήταν το πρόβλημα; Οι χρήστες που είχαν το MSN και όχι απλά μιλούσαν αλλά και αντάλλαζαν αρχεία, μεγάλου μεγέθους πολλές φορές, με αποτέλεσμα η σύνδεση με τον έξω κόσμο να γίνετε τρομερά αργή. Η πρώτη σκέψη που έρχεται είναι το Group Policy. Έχοντας ενεργοποιημένο policy για την αποτροπή download μέσω του Internet Explorer (αναγκαστικά όταν οι χρήστες σου βλέπουν το δίκτυο σαν ένα καλό τρόπο για να κατεβάσουν ότι Torrent υπάρχει στο διαδίκτυο), έπρεπε να ενεργοποιηθεί και το policy για να 'κοπεί' και το MSN.
Ανατρέχοντας στην λίστα των policies, θα βρείτε εύκολα το Policy του Messenger. ΠΡΟΣΟΧΗ!!! Μιλάμε για το Windows Messenger, το οποίο βρίσκεται στο Administrator Templates -> Windows Components -> Windows Messenger (είστε στο User ή στο Computer Configuration).
Το πρόβλημα είναι όμως, ότι οι περισσότεροι χρήστες 'δουλεύουν' με τον Live Messenger. Με την παραπάνω διαδικασία απενεργοποιείς τον 'βασικό' των Windows. Τι κάνεις όμως όταν υπάρχει εγκατεστημένος ο Live;
Εξαρχής η σωστή κίνηση ήταν να είχε απενεργοποιηθεί από τον χρήστη την δυνατότητα να κάνει εγκαταστάσεις, οπότε δεν θα υπάρχει και το παραπάνω πρόβλημα. Αν, όμως αυτό δεν έχει γίνει από την αρχή, τότε η λύση είναι άλλη. Αναζητώντας στο Internet για να βρω "deny program from running through group policy" (και διάφορους άλλους τρόπους-λέξεις κλειδιά αναζήτησης), κατέληξα στο σημείο ότι πάρα πολλοί administrators θέλουν να το κάνουν, αλλά ελάχιστοι είναι αυτοί που το κάνουν χωρίς την χρήση ενός ISA server.
Σε συνδυασμό με το παραπάνω, αποφάσισα ότι οι χρήστες δεν θα ήθελα να τρέχουν άλλον browser και δη τον Mozilla, για τον λόγο που ανέφερα. Να μην κατεβάζουν τίποτα. (Είπαμε, δεν υπάρχει ISA Server) Οπότε η διαδικασία που θα πρέπει να ακολουθηθεί είναι η ίδια.
Windows Settings->Security Settings->Software Restrictions->Additional Rules (είτε στο User ή στο Computer Configuration)
εκεί κάνουμε δεξί κλικ
και οι επιλογές που εμφανίζονται είναι άκρως ενδιαφέρουσες, για να κόψετε το...βήχα σε αρκετούς.
Αυτό που μας ενδιαφέρει περισσότερο σε αυτή την φάση είναι το New Path Rule και διαλέγουμε το path όπου βρίσκετε το πρόγραμμα που δεν θέλουμε ο χρήστης να τρέχει.
Αντίστοιχα και για τον Mozilla κάνουμε το ίδιο πράγμα και όταν ενεργοποιηθεί το policy ο χρήστης βλέπει:
Καλή φάση...ε;
Στην περίπτωση που κάποιος 'έξυπνος' χρήστης αποφασίσει να βάλει σε ένα usb flash stick τον Firefox Portable, οπότε και οι πολιτικές που αναφέρθησαν δεν θα τον επιρρεάζουν, η λύση είναι μέσω ενός New Hash Rule.
Όπου με αυτό τον τρόπο από οπουδήποτε και να τρέξει το πρόγραμμα και οποιοδήποτε όνομα να έχει το αρχείο, ο σύστημα βλέπει το Hash και το αποτρέπει από το να τρέξει. (ΠΡΟΣΟΧΗ) Φυσικά αυτό περιορίζεται σε επίπεδο έκδοσης του προγράμματος, οπότε αν ο χρήστης τρέξει άλλη έκδοση του προγράμματος σημαίνει αυτόματα και άλλο hash key.
Παρόλα αυτά, αυτός είναι ένας τρόπος για να περιορίσεις τους χρήστες χωρίς την χρήση ενός ISA Server και ελπίζω ότι απαντάει σε όσους ψάχνουν τρόπο για να αποτρέψουν ένα πρόγραμμα να τρέξει.
Δεν έχω να προσθέσω τίποτα άλλο κύριε πρόεδρε...
7 Comments
Recommended Comments