Zabezpieczenie XP przed wszelaką modyfikacją


(Bor1904) #1

Witam administratorów systemów Windows

Na dniach dostanę laptopa z XP gdzie wszystko będzie zainstalowane i skonfigurowane (istotne programy to autocad i office).

Mam go tak zabezpieczyć żeby użytkownik (zwykły szeregowy pracownik firmy) mógł sie zalogować do systemu i pracować w "autokadzie", zapisać albo wydrukować coś ew. otworzyć plik z poczty lub pocztą go wysłać (outlook) i NIC POZA TYM !

(bo to są ludzie którzy z miejsca instalują winampy, gierki,gg i latają całą zmianę po necie)

Pytanie moje jest jak najwygodniej będzie wyciąć wszystkie "uprawnienia" w pień ? (albo chociaż możliwość instalowania czegokolwiek poza tym co jest)

(w sumie nie wiem czy to będzie rozdzielona na dwa konta tzn (adm.) szefa i jego pracowników (ogran.) albo szef w ogóle odda tego laptopa na użytek swoich pracowników - czyli tylko jedno konto)

Oglądałem filmiki kolegi Docent na temat wycinania pojedynczych uprawnien ale chyba dla prawie wszystkich uprawnien jest jakaś inna procedura bo to cały dzien zajmie ;]

z góry dziekuje za nakierowanie

pozdrawiam


(goomish) #2

Będzie trudno, ale...

możesz spróbować z tym -> http://www.microsoft.com/downloads/en/d ... laylang=en

A jak nie, to:

  • obowiązkowo i bezwarunkowo konto zwykłego użytkownika zabezpieczone hasłem

  • dobrze by było jakby ci do tego lapka "wsadzili" XP Proffesional, bo wtedy łatwiej przy pomocy zasad grupy dodatkowo "przyciąć" co i gdzie taki użytkownik może; np. zakaz uruchamiania czegokolwiek poza wskazanymi przez admina programami

  • wycięcie na Zaporze całego "niepotrzebnego" ruchu. Zostaw tylko porty niezbędne do działania emaila i ew. drukowania/ udostępniania plików fgolderów o ile to będzie potrzebne.

Nikt nie mówił, że będzie łatwo :-). Tak czy siak to długo i dużo dłubania, a efekt zależy od cierpliwości "admina" i sprytu "użytkownika" :slight_smile:


(Bor1904) #3

Dziekuje za szybką odpowiedz.

Nie mogę w to uwierzyć, że zrobienie tak powszechnej rzeczy jest tak czasochłonne... a jakby tych lapków było do rozdania 50 ? to potrzeba zatrudnić 5 informatyków na miesiąc ?

Co do systemu to XP prof z SP3 to będzie na 98%.

Ten Programik brzmi obiecująco... już go pobieram.

pozdrawiam


(Matmaxalez) #4

Nie no, az tyle czasu to Ci nie zajmie, jak pierwszy raz zrobisz, to troche czasu zajmie, ale w nastepnych kompa to juz bedziesz wiedział co i jak :p.

A ja mam pytanie, czy legalne było by zrobic cos takiego jak chce Bor, ale zrobic to na jednym systemie, potem np. zgrac obraz systemu i na innych kompach zainstalowac, lub zrobic to tak ze robie wszystko na jednym kompie i potem do nastepnych wsadzam tylko plytke lub klucz USB i klikam instaluj albo cos i zrobi samo reszte.


(Bor1904) #5

kurde nie mam XP w domu żeby wypróbować ten programik z linku.

W Win7 jest to pięknie rozwiązane jako kontrola rodzicielska.

Co do legalności rozwiązania przedmówcy to jak sie uda same ustawienia jakoś przenieść to czemu miało by to być nielegalne ?

pozdrawiam


(darek_d) #6

A jeżeli pracownik podłączy pendrive a na nim programy portable, to wszystko napisane po wyżej ma sens?


(goomish) #7

Po pierwsze działa polisa "uruchamiaj tylko pobłogosławione programy", a po drugie jak ktoś ma czas i/lub motywację zawsze może pobawić się w zablokowanie możliwości instalacji urządzeń przez użytkownika (domyślnie urządzenia podłączane przez usb może instalować także zwykły użytkownik)

http://www.ehow.com/how_7295372_block-n ... vices.html

http://diaryproducts.net/about/operatin ... usb_sticks

Podstawowe zadanie początkującego pracownika działu IT dużej firmy :-), czyli przygotowanie wzorcowego obrazu systemu, który potem "rozsiewa się" po stacjach roboczych. A co do legalności - jeżeli możesz przyporządkować do każdego komputera oryginalny klucz/numer seryjny (oraz inne ew. "dowody" legalności systemu) to fakt, że każdy system zainstalujesz z osobnej płyty czy jednego i tego samego nośnika nie ma znaczenia. To tylko kwestia organizacji i techniki pracy. Nie ma nic do legalności i/lub zgodności z licencją.


(darek_d) #8

Znając polskie realia, ze swojej firmy, a takaże z firmami które miałem do czynienia (nie wspomnę o naszych urzędach) nikt w to się nie bawi. A informatyk w firmie to tylko słowo - mało jest tam informatyków którzy dbają o interesy firmy ( mała kasa???).

Dlatego wiele osób w firmach korzysta z programów portable, bo wiadomo, że nikt nie zablokuje wejść USB.

Rola informatyków w firmach kończy się na tym, że pracownicy podpisują oświadczenie, w/g którego nie będą instalować programów niedozwolonych. Ale czy to wystarczy?

Sami wiecie że Polak potrafi.

-- Dodane poniedziałek, 15 listopada 2010, 19:31 --

bor1904 a może to pomoże: http://www.okoszefa.pl/


(Lost World) #9

Spróbuj programem co kolega goomish podał.

http://www.dobreprogramy.pl/Windows-Ste ... 12270.html

Ja przygotowywałem na nim 8 stacji roboczych, co prawda nie o takich restrykcjach i bez możliwości podpięcia pod domenę, i program się spisał w 100% , więc polecam.

Ewentualnie jakiś monitoring , http://www.dobreprogramy.pl/uplook,Prog ... 11956.html


(Mularczyk Maciek) #10

Inne rozwiązanie - Goliath USB HD Protector

http://www.goliath.pl/?p=g5

Programik zapamiętuje wszystkie ustawienia systemu i nie ważne co by jakiś użytkownik zrobił, po restarcie kompa wszystko wraca do stanu początkowego. Proponuję program, bo są dostępne także karty montowane fizycznie na płycie głównej, jednak w lapku to rozwiązanie z oczywistych powodów odpada :wink:

Z tego co wiem, można gdzieś pobrać wersje demo na 10 dni..ale głowy nie dam.