[ОТВЕТИТЬ]
Опции темы
12.04.2014 11:47  
OlegON
Итак, случилось несчастье и в зону вашей ответственности попал Windows-хост, на который имеют доступ больше одного человека. Ввиду отсутствия принципиальной разницы между сервером и десктопом по обсуждаемой теме, предлагаю обсуждать их тут одновременно, просто подчеркивая, для чего предлагается то или иное. Цель - недопустить зловредов, несанкционированного доступа и идиотских действий тех, кто имеет учетку на компе. Понимаю, что трудно без точного описания необходимых прав этой учетки описать, что же именно ей можно отрезать, но давайте все же попробуем?
 
12.04.2014 12:10  
OlegON
Да, антивирус и прочие стенки на этом хосте отсутствуют. Это условие добавляю, чтобы флуд про антивирусы не разводить.
Итак, что я первым делом бы сделал для сервера.
  1. Обновления, дефендер, фаервол, восстановление системы и снимки должны быть отключены.
  2. Юзерская учетка не имеет прав писать в папки на системном диске кроме каталога windows, appdata, desktop, documents и temp
  3. Реестр восстанавливается из резервной копии при каждом запуске.
  4. Юзерская учетка не имеет прав на выполнение файлов и ярлыков из папок с правами на запись включая temp.
  5. Из папок windows и Program Files можно выполнять только подписанные файлы или файлы явно указанные в белом списке.
  6. На терминальные сессии установлен лимит времени бездействия, после которого сессия закрывается
  7. Пользователи не имеют права устанавливать софт

Расплывчатая и очень объемная у меня тема получилась, но, надеюсь, вы поймете о чем я..
 
12.04.2014 13:02  
Iggy
RemoteRegistry (Удаленный реестр) отключение автозапуска
 
01.05.2014 19:18  
Tema
хотелось бы примеров, кто как решает пункты 3,4,5 (допустим что AD в данном варианте отсутствует)
 
10.05.2014 09:04  
OlegON
AD тут вообще не в тему, винда работает с локальными политиками и без нее. В аттаче пример .reg файла, который запрещает выполнение программ с диска C: за исключением системных папок windows, Program Files и папки UserSoft.
Для возврата в первоначальное состояние различных системных областей можно пользоваться EWF.
Вложения
Тип файла: 7z group-policy.7z (1.4 Кб, 92 просмотров)
 
 
Опции темы



Часовой пояс GMT +3, время: 08:46.

Все в прочитанное - Календарь - RSS - - Карта - Вверх 👫 Яндекс.Метрика
Форум сделан на основе vBulletin®
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd. Перевод: zCarot и OlegON
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.