Re: [bofhers] Restringir la instalacion de software en un AD.
- From: Nildur <nildur@xxxxxxxxx>
- To: bofhers <bofhers@xxxxxxxxxxxxx>
- Date: Tue, 26 Aug 2014 10:43:12 +0200
Bueno, eso de que no pueden instalar nada... aplicaciones como dropbox,
chrome, firefox, etc, si pueden, ya que esas compañías listillas para
saltarse los permisos lo instalan en el mismo perfil del usuario.
Precisamente por eso es interesante usar Applocker. El modo paranoico tengo
pendiente de probarlo. Seria que restringa la ejecuion de todos los
programas y hacer una lista blanca de aplicaciones o rutas("C:\Archivos de
programas", "C:\Windows", etc) que si estarían permitidas. Por supuesto lo
ideal es que los usuarios no tengan permisos de administrador para que no
abusen de esa lista blanca.
Por otro lado, en principio no veo problema con lo de los admin locales,
para ello están las ACLs, también aplicables a las mismas GPOs.
2014-08-25 20:22 GMT+02:00 tarantonio BOFH <tarantonio@xxxxxxxxx>:
> Tienes razon, pero tengo grupos que deben ser admins locales. De todas
> formas estoy mirando eso a fondo y tiene muchas posibilidades, lo mismo
> arreglo ya con applocker todo.
>
>
> El lunes, 25 de agosto de 2014, · n · <n4txo@xxxxxxxxxxxxxxx> escribió:
>
>> En ad, un usuario normal (que no tenga permisos de administrador local de
>> su máquina, que cosas así me he encontrando porque tal software no funciona
>> si no lo es) no puede instalar nada.
>>
>> En cualquier caso la respuesta es applocker, si el ejecutable que instala
>> un programa* no esta en la lista blanca, no se ejecuta.
>>
>> * In Windows Server 2008 R2 and Windows 7, you can manage four types of
>> files: executable (.exe), Windows Installer (.msi and .msp), script (.bat,
>> .cmd, .js, .ps1, and .vbs), and DLL (.dll and .ocx). Each of these file
>> types is managed in its own rule collection.
>>
>> C/P de aqui ::
>> http://technet.microsoft.com/en-us/library/ee619725(v=ws.10).aspx#BKMK_FileTypes
>> El 25/08/2014 19:49, "tarantonio BOFH" <tarantonio@xxxxxxxxx> escribió:
>>
>>> Applocker me puede servir para el tema de restringir una app, pero me
>>> gustaría restringir en general la instalacion de software para los usuarios.
>>>
>>> El lunes, 25 de agosto de 2014, · n · <n4txo@xxxxxxxxxxxxxxx> escribió:
>>>
>>>> Applocker
>>>> http://technet.microsoft.com/es-es/library/ee424367(v=ws.10).aspx te
>>>> permite bloquear todo lo que quieras (exe,bat,ps...) montas una lista
>>>> blanca y deniegas el resto.
>>>> Quizá parezca un poco hardcore pero es una semana de peticiones durante
>>>> la primera de implementación y luego despreocuparse.
>>>>
>>>> En 1gb
>>>> http://www.1gbdeinformacion.com/2012/11/toma-de-contacto-con-applocker.html?m=1
>>>>
>>>> Implementación practica
>>>> http://esihere.wordpress.com/2011/06/18/step-by-step-guide-on-configuring-applocker-in-the-domain/
>>>>
>>>> Enjoy!
>>>>
>>>> •n•
>>>> El 25/08/2014 14:53, "tarantonio BOFH" <tarantonio@xxxxxxxxx> escribió:
>>>>
>>>>> Buenas,
>>>>>
>>>>> Ando a vueltas con la forma de impedir la instalación de software por
>>>>> parte de los usuarios y me vendría bien un poco de ayuda.
>>>>> Existen ciertos programas que sé que se instalan aun sin privilegios
>>>>> de administrador, tipo chrome. Eso no me preocupa. Solo quiero saber cómo
>>>>> lo resolvéis para comparar y ver si hay opciones más elegantes.
>>>>> En mi caso necesito también restringir el uso de un programa concreto
>>>>> a mayores, y no sé como enfocarlo.
>>>>>
>>>>> Saludos
>>>>>
>>>>
Other related posts:
