1) Групповые политики на Windows Home — мой случай — мимо.
2) Запуск wscript.exe происходит в данном случае с системного диска, т.е. он бы тоже отработал, несмотря на запрет. Несмотря на то, что ярлык запускается с «запрещенного пути» сама программа находится в списке разрешенных.
В общем случае, что AppLocker, что Политики ограниченного использования программ — не самый надёжный инструмент именно от подобной угрозы. IMHO. Не лишний. Но не панацея ни разу.
Компания — не моя. :-) Была бы моя, наверное в первую очередь посчитал бы затраты и риски.
Я тратил время в том числе и на свою основную работу. Есть вирус, а в моей организации его система не определяет. (Тот же вендор) Уже повод потратить время и силы, чтобы не тратить потом время на устранение аварии.
С кадрами и их обучением я уже подсказывал, что стоит сделать по-минимуму.
Флешки с вирусами естественно клиентам не выдавались. Процесс построен так, что они чаще всего остаются в ателье до выдачи заказа. Тут, скажем так, пронесло. Самый прибыльный день благодаря правильному выбору антивируса (?) не накрылся.
Видимо, владельца такой риск устраивает, наверняка он тоже считал стоимость подстраховки и возможные потери.
От 3-х платных антивирусов именно по причине подобных инцидентов ранее, он уже успел за 5 лет отказаться. Цена антивирусного решения не была определяющим фактором. В том числе и на его домашних ПК.
— Автозапуск сменных носителей не то же самое, что запрет выполнения любого контента с них.
Второе решается средствами AppLocker, доступными для дома только в Ultimate (Максимальной) редакции.
Для организаций — только в Enterprise (Корпоративной) редакции.
Спасибо, я бы тоже так сделал, но переучить приёмщицу, во всём остальном устраивающую работодателя, пользоваться чем-то ещё — большая проблема.
Обновления ставятся регулярно, именно таким способом. Владелец дома отписывает DVD-RW раз в неделю и именно с помощью WSUS Offline, в один из вечеров (в субботу, как правило) обновляет.
1) Домашнее не обозначает только развлекательное.
2) Речь в том числе о выборе антивируса для клиентов, они в основной массе у фотоателье — именно домашние пользователи.
Да, наш язык богат на полутона. Вы правы.
«если я нашел эти книги интересными и прочел, то что останавливает тех, кому они куда как нужнее, чем мне? Парадокс.»
Нет. Не парадокс. Это заложено в систему обучения псевдо-MBA: внушить получившим значок и корочки уверенность в то, что они теперь всё знают об управлении бизнесом и поэтому делают правильно. Что воспринимается большинством недалёких выпускников академии народного хозяйства, как «всё, что я ни делаю, я делаю правильно и теперь читать каких-то ещё специалистов — лишнее»
Сомневаться и постоянно искать новые оптимальные решения — не для такого контингента. Только и всего.
К сожалению, Вы точно передали суть. У нас практически каждый с корочками «MBA от академии народного хозяйства» считает, что знает про управление ресурсами всё. И начинает применять свои «знания», а на деле — легализованные мифы о мотивации, налево-направо. Крайне удивляясь потом непонятным результатам.
Да, есть та же проблема. Установка WindowsUpdateAgent30-x86.exe не помогает.
«голую» установку проще обновить вот этим вот инструментом: download.wsusoffline.net/ а потом «натравить» на WSUS.
Подготовленный под архитектуру образ ставится через WDS/MDT/SCСM. Разливка обновлений через SCCM идёт несколько легче, чем родными механизмами, но тоже очень и очень «тугая». Наши технари в последнее время жалуются, что у них гораздо больше времени уходит на доводку уже разлитых образов.
Много чего.
— DirectAccess? Технология снявшая головняк с бродячими музыкантами по филиалам и командировкам ноутбуками и сэкономившая тучу денег на железе для мелких бранчей.
— У нас станки в основном идут с Embedded версией 2000/XP, в сеть их включать необходимо, настройка защиты при методически правильном подходе какой-то особо большой проблемы не составляет. Ну и Embedded версия сама по себе доп. защита.
PS Большинство станков идут сразу с диском быстрого восстановления, в основном на Norton Ghost. За счет разнесения данных и ПО по разным разделам/дискам потери времени даже при переустановке невелики.
1) SteadyState — крайний вариант, но тоже был в работе.
2) software restriction policies — муторно при обновлениях, но достойный инструмент.
AppLocker — роскошная вещь и технология, с её помощью вопрос с мутантом Guard@mail.ru у меня теперь закрыт, но и цена этой технологии — EA (EAS). Что для малого бизнеса, увы, недоступно.
"… Дюк Нюкем 3D — и вот он был первым по-настоящему трёхмерным." — нет. Из нового в реалмовском Duke 3D — взгляд вверх-вниз.. Монстры там были как и в Doom плоские. Первые 3-х мерные монстры — появились в Quake.
IMHO, SCCM-ом хорошо потом анализировать, кто где «пасся», а «где именно сейчас этот бездельник», как Вы справедливо написали, через запрос событий керберос, и то с некоторой вероятностью, и если аудит успеха для Audit account logon events включен.
Почему не 100%? Потому, что в случае если пользователь залогинился в отключенной от сети станции, то авторизация его шла по тикету на локальном хранилище. А после восстановления сетевого соединения не факт, что ему сразу резко потребуются какие-то сетевые ресурсы. Он может и локально долго некоторое время работать, хотя машинка уже в сети авторизуется.
2) Запуск wscript.exe происходит в данном случае с системного диска, т.е. он бы тоже отработал, несмотря на запрет. Несмотря на то, что ярлык запускается с «запрещенного пути» сама программа находится в списке разрешенных.
В общем случае, что AppLocker, что Политики ограниченного использования программ — не самый надёжный инструмент именно от подобной угрозы. IMHO. Не лишний. Но не панацея ни разу.
Я тратил время в том числе и на свою основную работу. Есть вирус, а в моей организации его система не определяет. (Тот же вендор) Уже повод потратить время и силы, чтобы не тратить потом время на устранение аварии.
С кадрами и их обучением я уже подсказывал, что стоит сделать по-минимуму.
Флешки с вирусами естественно клиентам не выдавались. Процесс построен так, что они чаще всего остаются в ателье до выдачи заказа. Тут, скажем так, пронесло. Самый прибыльный день благодаря правильному выбору антивируса (?) не накрылся.
Видимо, владельца такой риск устраивает, наверняка он тоже считал стоимость подстраховки и возможные потери.
От 3-х платных антивирусов именно по причине подобных инцидентов ранее, он уже успел за 5 лет отказаться. Цена антивирусного решения не была определяющим фактором. В том числе и на его домашних ПК.
Второе решается средствами AppLocker, доступными для дома только в Ultimate (Максимальной) редакции.
Для организаций — только в Enterprise (Корпоративной) редакции.
Обновления ставятся регулярно, именно таким способом. Владелец дома отписывает DVD-RW раз в неделю и именно с помощью WSUS Offline, в один из вечеров (в субботу, как правило) обновляет.
2) Речь в том числе о выборе антивируса для клиентов, они в основной массе у фотоателье — именно домашние пользователи.
Да, наш язык богат на полутона. Вы правы.
Нет. Не парадокс. Это заложено в систему обучения псевдо-MBA: внушить получившим значок и корочки уверенность в то, что они теперь всё знают об управлении бизнесом и поэтому делают правильно. Что воспринимается большинством недалёких выпускников академии народного хозяйства, как «всё, что я ни делаю, я делаю правильно и теперь читать каких-то ещё специалистов — лишнее»
Сомневаться и постоянно искать новые оптимальные решения — не для такого контингента. Только и всего.
«голую» установку проще обновить вот этим вот инструментом: download.wsusoffline.net/ а потом «натравить» на WSUS.
Подготовленный под архитектуру образ ставится через WDS/MDT/SCСM. Разливка обновлений через SCCM идёт несколько легче, чем родными механизмами, но тоже очень и очень «тугая». Наши технари в последнее время жалуются, что у них гораздо больше времени уходит на доводку уже разлитых образов.
— DirectAccess? Технология снявшая головняк с бродячими
музыкантамипо филиалам и командировкам ноутбуками и сэкономившая тучу денег на железе для мелких бранчей.PS Большинство станков идут сразу с диском быстрого восстановления, в основном на Norton Ghost. За счет разнесения данных и ПО по разным разделам/дискам потери времени даже при переустановке невелики.
2) software restriction policies — муторно при обновлениях, но достойный инструмент.
AppLocker — роскошная вещь и технология, с её помощью вопрос с мутантом Guard@mail.ru у меня теперь закрыт, но и цена этой технологии — EA (EAS). Что для малого бизнеса, увы, недоступно.
Update^ Опередили! :-)
Почему не 100%? Потому, что в случае если пользователь залогинился в отключенной от сети станции, то авторизация его шла по тикету на локальном хранилище. А после восстановления сетевого соединения не факт, что ему сразу резко потребуются какие-то сетевые ресурсы. Он может и локально
долгонекоторое время работать, хотя машинка уже в сети авторизуется.Спасибо автору за скрипт! Разбор исходников удивил тем, что комментарии, как выяснилось и не нужны. Код самодокументирующийся.