nicoven Posted May 11, 2015 Report Share Posted May 11, 2015 Καλησπέρα, Σε domain με Win 2012 DCs και clients Win 7 Pro, οι απλοί χρήστες δεν μπορούν μεν να εγκαταστησουν εφαρμογές στο program files, αλλα μπορουν να εγκαταστησουν π.χ. το WinRAR στο προσωπικο προφιλ τους, κατι το οποίο δεν θέλουμε. Το Applocker δεν παιζει λόγω Profesional εκδοσης, θελει Enterprise. To whitelisting μεσω Software Restriction Policy θα ήθελα να το αποφύγω, γιατι έχει περίπλοκη διαχείριση. Έχω φτιάξει πολιτική να μπλοκάρω τον Google Chrome ονομαστικα, αλλα υπάρχουν άπειρες εφαρμογες και δεν μπορω να κάνω το ίδιο σε όλες. Θελω να μην μπορεί ο χρήστης να εγκαταστήσει καμία εφαρμογή exe στο profile του (AppData). Τι άλλες λύσεις, εκτός από third party προγράμματα, υπάρχουν? Μπορώ να κανω disable τον Windows Installer σε επίπεδο χρήστη ας πούμε? Ευχαριστώ πολύ Quote Link to comment Share on other sites More sharing options...
fumantsu Posted May 11, 2015 Report Share Posted May 11, 2015 http://www.mcbsys.com/techblog/2013/10/block-user-folder-executables/ Δες αν σου κανει. Κάτι τέτοιο είχε βγει απο την eset σαν λύση για να μην κολλήσει χρήστης τον cryptolocker. Quote Link to comment Share on other sites More sharing options...
nicoven Posted May 12, 2015 Author Report Share Posted May 12, 2015 Φιλε Fumanchu ευχαριστω πολύ. Το εχω δει το αρθρο που μου πρότεινες αλλα είναι στην ουσια αυτό το whitelisting το οποιο και θελω να αποφυγω διοτι απαιτει αρκετο χρονο για administration. Quote Link to comment Share on other sites More sharing options...
proximagr Posted May 15, 2015 Report Share Posted May 15, 2015 Καλησπέρα, ήθελα να προσθέσω ότι δεν θες μόνο να κάνεις disable τον windows installer γιατί υπάρχουν προγράμματα που κάνουν εγκατάσταση χωρίς την χρήση του windows installer, όπως το 7-zip και πολλά άλλα. Δεν έχω χρησιμοποιήσει κάτι αλλά αν βρω κάτι θα ενημερώσω Quote Link to comment Share on other sites More sharing options...
nkspeed Posted May 15, 2015 Report Share Posted May 15, 2015 και τα windows updates!! NK Quote Link to comment Share on other sites More sharing options...
afotakel Posted May 16, 2015 Report Share Posted May 16, 2015 Εάν χρησιμοποιούνται roaming profiles ή folder redirection μια πιθανή λύση θα ήταν να εγκατασταθεί ο ρόλος FSRM στο σερβερ που αποθηκεύονται τα προφίλ και να απαγορευτούν τα .exe /.msi αρχεία. Πιθανόν θα χρειαστεί να κρυφτούν από τους χρήστες οι τοπικοί δίσκοι σε αυτή την περίπτωση. Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.