Запобігання користувачам змін у реєстрі

Фон: Я запускаю невелику комп'ютерну лабораторію з 10 комп'ютерів з використанням Windows 7 x64 Enterprise. Наші користувачі налаштовані як обмежені користувачі. Для додаткових обмежень я встановлюю політику локальних груп для неадміністраторів, використовуючи консоль керування Microsoft.

Проблема: Нещодавно я дізнався, що деякі з цих обмежень були скасовані. Переглянувши налаштування MMC і в ntuser.pol показали, що налаштування все одно повинні бути на місці. Однак у ntuser.dat відсутні відповідні параметри реєстру. Я вже маю відключений редагування реєстру в GPO (хоча і не в тихому режимі).

Питання: Який найкращий спосіб вирішити цю ситуацію? Чи слід шукати, щоб запобігти змінам налаштувань реєстру? Чи слід налаштувати ревізію реєстру, щоб дізнатися, як змінилися ці ключі? Або я повинен відмовитися від привидів і написати якийсь скрипт входу, який застосовує значення реєстру, якщо вони були змінені? Інші ідеї?

security windows-registry group-policy

— graf_ignotiev
джерело

Чи не можна просто відредагувати списки ACL записів реєстру, щоб заборонити права на запис для цієї групи користувачів?

— Synetech

Я не думав про це. Я побачу, що це працює. Дякую.

— graf_ignotiev

Мої користувачі мають доступ до цих ключів лише для читання, тому я не впевнений, як змінюються ключі. Як я можу дослідити проблему далі?

— graf_ignotiev

Чи існує якась програма, яка використовує права адміністратора? Тривіально використовувати його як портал для виконання інших речей. Наприклад, якщо ви запускаєте програму з правами адміністратора і вона має якийсь Відкрити файл Ви можете отримати доступ cmd звідти, клацніть правою кнопкою миші та виберіть запуск. Він також буде запущений з правами адміністратора, тоді ви зможете робити все, що хочете. Чи мають вони обмежені права на файли / папки? Це не гарантовано, якщо вони змогли зламати реєстр, оскільки вони також могли змінити типові значення та надавали собі доступ до файлів.

— Synetech

Вони не використовують програми, які вимагають прав адміністратора. Я не впевнений, що ви маєте на увазі обмежені права на файл / папку. На цьому етапі ми не можемо бути впевнені, що зміни роблять навіть мої користувачі. Це може бути побічним ефектом іншої програми, яка може навіть не мати шкідливих намірів, але вона продовжує відбуватися.

— graf_ignotiev

Гаразд, тому проблема полягає в тому, що ви внесли деякі зміни з gpedit, але зміни в реєстрі немає? Ви перевірили, чи вони знаходяться в реєстрі відразу після внесення змін до редактора політики?

Ви можете перевірити записи реєстру, щоб дізнатися, хто / що їх змінює. Це значно полегшить його зупинку, оскільки, як ви вважаєте, це може бути щось інше (наприклад, системний процес або щось), що вносить зміни, тому встановлення обмежень на групу користувачів не впливає.

Ви можете налаштувати його за допомогою Редактор групової політики , але я знаходжу Діалогове вікно дозволів простіше:

enter image description here

— Synetech
джерело

Як додаток, ви можете внести пропозиції щодо того, яким користувачам я повинен бути включений?

— graf_ignotiev

Я не знаю, які у вас користувачі. Ви повинні додати групу Користувачів взагалі, оскільки вони є невизначеними, які не повинні вносити зміни до даного ключа.

— Synetech

Ну, єдині користувачі, які можуть вносити зміни до ключа, - це ті, які мають належні привілеї дозволу на вкладці Дозволи. Чи не повинні вони бути тими, які я повинен додати?

— graf_ignotiev

А? Чи мають вони певні привілеї для запису (тобто, вони мають привілеї запису, встановлені для їхніх фактичних, окремих імен користувачів, а не тільки групи адміністраторів)? Якщо так, то чому? Ви їх спеціально додали? Якщо ви цього не зробили, ви можете спеціально видалити свої права на запис або видалити їх повністю, щоб вони успадкували свої привілеї від батьківського ключа.

— Synetech

На жаль, я мав на увазі користувачів, групи та принципи безпеки, а не лише користувачів. Вибач за те. Я буду використовувати об'єкт Усі, щоб включити будь-кого або будь-що, що може змінити ключ.

— graf_ignotiev