![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
scif_yar posting in ![[community profile]](https://www.dreamwidth.org/img/silk/identity/community.png){kind=small}
ru_sysadminsЧитал вот этот ужоснах
https://social.technet.microsoft.com/Forums/ru-RU/ee5d6029-ae44-4c9f-812c-4b2996dedd63/-?forum=xpru
Решил написать что и как.
SRP я решил внедрять еще лет 10 назад, и внедрял с переменным успехом. Два года назад начал очередное внедрение, после пролезшего мимо антивируса шифровальщика. Данные из бекапа подняли, осадочек остался.
Что имею таки сказать.
1. Выбор applocker или Software Restriction Policies (SRP)
Без разницы.
Windows AppLocker
https://technet.microsoft.com/en-us/library/dd759117(v=ws.11).aspx
появился в семерке, когда я первые разы запускал - везде была XP. Выбора не было
2. Обучение персонала
Да, полезно - но требует обучения под роспись и действенных мер по обучению. Это бывает весьма редко, да и помогает примерно никак.
3. Защита типа "а мы не будем мапить сетевые диски диски, наделаем ярлыков" - локальные файлы все равно зашифрует, может быть неудобно.
Теперь о запуске.
1. Очевидно (но не для всех), что опыты надо сначала ставить на себе, потом на себе еще раз, потом отдельной политикой на отдельной OU.
2. SRP/applocker не отменяет антивирус
3. Вместе с политикой SRP/applocker надо писать политику распространения таска в task scheduler, которая по событию NN вызовет скрипт, который отправит вам сообщение (почта, смс, прочее) о срабатывании. Что еще туда будет записано - имя компа, имя пользователя, ип/мак, время срабатывания, прочая, прочая - дело ваше.
4. Первые полгода будет постоянно всплывать всякое говно. В частности:
4.1 Наставленный в юзерские папки софт, особенно хром и опера. Фаерфокс встречается почему-то реже. Хром еще свои репортер тулзы кладет в юзерский профиль, приходится добавлять.
4.2 обновления баз всяких кладров и прочих классификаторов для 1с и банк-клиентов.
Индивидуально надо настраивать, но они не каждый день обновляются.
4.3 Разный говнософт, который обновляется через DCOM. Это пиздец, но это есть. лечится выкидыванием софта.
4.4 Сложно с погромистами. Но решаемо.
4.5 Время от времени система толи сама сходит с ума, толи вирусня какая-то просачивается, толи что - бывают неопределяемые глюки. Возможно это вариация на тему самоудаляющейся вирусни в ворде/экселе, возможно что-то еще.
4.6 Перед началом процедур нужно административное решение, потому что иначе мозг будут выедать ложкой, со словами Я ХОЧУ TEAMVIEWER ИЗ ДОМА И НИИБЕТ.
В остальном - вполне рабочее решение, если руки не из жопы.
https://social.technet.microsoft.com/Forums/ru-RU/ee5d6029-ae44-4c9f-812c-4b2996dedd63/-?forum=xpru
Решил написать что и как.
SRP я решил внедрять еще лет 10 назад, и внедрял с переменным успехом. Два года назад начал очередное внедрение, после пролезшего мимо антивируса шифровальщика. Данные из бекапа подняли, осадочек остался.
Что имею таки сказать.
1. Выбор applocker или Software Restriction Policies (SRP)
Без разницы.
Windows AppLocker
https://technet.microsoft.com/en-us/library/dd759117(v=ws.11).aspx
появился в семерке, когда я первые разы запускал - везде была XP. Выбора не было
2. Обучение персонала
Да, полезно - но требует обучения под роспись и действенных мер по обучению. Это бывает весьма редко, да и помогает примерно никак.
3. Защита типа "а мы не будем мапить сетевые диски диски, наделаем ярлыков" - локальные файлы все равно зашифрует, может быть неудобно.
Теперь о запуске.
1. Очевидно (но не для всех), что опыты надо сначала ставить на себе, потом на себе еще раз, потом отдельной политикой на отдельной OU.
2. SRP/applocker не отменяет антивирус
3. Вместе с политикой SRP/applocker надо писать политику распространения таска в task scheduler, которая по событию NN вызовет скрипт, который отправит вам сообщение (почта, смс, прочее) о срабатывании. Что еще туда будет записано - имя компа, имя пользователя, ип/мак, время срабатывания, прочая, прочая - дело ваше.
4. Первые полгода будет постоянно всплывать всякое говно. В частности:
4.1 Наставленный в юзерские папки софт, особенно хром и опера. Фаерфокс встречается почему-то реже. Хром еще свои репортер тулзы кладет в юзерский профиль, приходится добавлять.
4.2 обновления баз всяких кладров и прочих классификаторов для 1с и банк-клиентов.
Индивидуально надо настраивать, но они не каждый день обновляются.
4.3 Разный говнософт, который обновляется через DCOM. Это пиздец, но это есть. лечится выкидыванием софта.
4.4 Сложно с погромистами. Но решаемо.
4.5 Время от времени система толи сама сходит с ума, толи вирусня какая-то просачивается, толи что - бывают неопределяемые глюки. Возможно это вариация на тему самоудаляющейся вирусни в ворде/экселе, возможно что-то еще.
4.6 Перед началом процедур нужно административное решение, потому что иначе мозг будут выедать ложкой, со словами Я ХОЧУ TEAMVIEWER ИЗ ДОМА И НИИБЕТ.
В остальном - вполне рабочее решение, если руки не из жопы.
no subject
Date: 2017-03-25 03:09 pm (UTC)разница огромна -- не нужно переписывать правила при каждом обновлении
и насколько сурово они применены? я обычно ограничиваюсь только запретом старта из усерпрофайл, кроме подписанных -- типовые проблемы вонючий хром, да, а также сиско вебекс, ситрикс го2митинг и прочие телеконф пидарасы. А теперь ещё и сам майкрософт, т.к. приложения типа майкрософт сторе часто а то и всегда стартуют оттуда и это большой заёб, неуправляемый в масштабах
есть решения третьих фирм, типа ViewFinity, основное отличие централизованная консоль, где центральный логгинг и центральные правила управления хозяйством, плюс не только запуск-незапуск бинер, но и нюансы, типа дать запустить, но без сеточки, или дать запуститься, но с окошком типа УАК и т.п.
no subject
Date: 2017-03-25 03:58 pm (UTC)-
там еще парочка отличий, да. но я апплокер не запускал.
---
>>разница огромна -- не нужно переписывать правила при каждом обновлении
-
это если софт подписан. а если это говноархив, самораспаковывающийся?
---
>>и насколько сурово они применены?
-
все что низя - нахуй. третий пункт
no subject
Date: 2017-03-25 04:03 pm (UTC)Вообще, staged инсталляции это признак говнософта, нередко бесплатный софт напичкан всякими тулбарами, допустим, качнул ты экзешник, ставишь его и всё норм, а тулбары прицепом стартуют нередко да, как архивы экзешники из юзерпрофайла и обламываются -- профит
Вцелом, геморроя пздц много, требует много майнтенанса, особенно если голый срп/апплокер без централизованной консоли
no subject
Date: 2017-03-25 04:07 pm (UTC)-
userprofele\app\temp
---
>> геморроя пздц много, требует много майнтенанса, особенно если голый ср
-
не так чтоб много. т.е у хрома есть вариант, когда он все же в програм филес.
но да, немного геморроя есть.