W niektórych organizacjach nadal spotyka się problemy z nieautoryzowaną instalacją oprogramowania przez pracowników albo przez włamywaczy internetowych wykorzystujących podatności oprogramowania lub socjotechnikę. Jeśli użytkownik ma uprawnienia administratora, może zainstalować praktycznie każde oprogramowanie. Na szczęście, dział IT odchodzi od niekontrolowanego modelu, ponadto w nowszych wersjach biznesowych edycji Windows podłączonych do domeny Active Directory można zablokować instalację niepożądanych programów. To zadanie wymaga jednak sporo pracy, ale obowiązuje tu zasada 80/20, czyli 80% sukcesu można osiągnąć prostymi środkami, przy 20% nakładów czasu w porównaniu do całego projektu. Ponadto wykorzystuje się opcje już wbudowane w system Windows i dostępne dla każdego administratora.

Wyłączyć instalator aplikacji

Po wyłączeniu instalatora aplikacji dla niezarządzanego za pomocą Active Directory oprogramowania (w edytorze polis GPO należy włączyć opcję "For non-managed apps only" dla obiektu Windows Installer znajdującego się w Computer Configurations, Administrative Templates, Windows Components), użytkownik nie będzie mógł zainstalować żadnego oprogramowania spoza firmy, jeśli to oprogramowanie korzysta z instalatora Microsoftu.

Niestety, nie wszystkie programy są dystrybuowane jako paczki MSI, spotyka się także NSIS Nullsoftu, a nawet ręczne samorozpakowujące się archiwa ZIP i RAR. Mimo wszystko warto tę opcję włączyć.

Restrykcje oprogramowania

Opcje SRP (Software Restriction Policies) ustawiane za pomocą polis GPO umożliwiają kontrolę uruchamiania aplikacji, co ma duże znaczenie przy wyłączaniu obcych aplikacji na publicznych komputerach. System Windows może identyfikować aplikacje na podstawie nazwy pliku (co jest łatwe do obejścia), certyfikatu cyfrowego lub skrótu kryptograficznego (niezależne od nazwy pliku, zależne od zawartości kodu binarnego). Można utworzyć regułę zabraniającą uruchamiania aplikacji spoza dozwolonej listy, ale należy tę listę dokładnie dostosować do środowiska, w którym użytkownik będzie pracować.

Na liście dozwolonego oprogramowania muszą się znaleźć wszystkie aplikacje (a także wszystkie pliki wykonywalne firmowych aplikacji!), z których użytkownik będzie korzystać. Stosuje się tutaj opcje "All software files except libraries" przy definiowaniu blokowanego oprogramowania oraz "All users except local administrators" przy stosowaniu reguł, które wprowadzą ograniczenia.

Przy tworzeniu listy należy pamiętać, by wyłączyć przypisanie omawianych ograniczeń do kont administracyjnych domeny - inaczej administrator po zalogowaniu zablokuje własne środowisko. Ograniczenia SRP można zastosować w wydaniach biznesowych systemów Windows XP, Vista, 7 i 8 dołączonych do domeny Active Directory.

Za pomocą odpowiednio przygotowanych plików rejestru można również ograniczyć uprawnienia komputerów z biznesowymi systemami Windows pracujących poza domeną Active Directory, chociaż wymaga to więcej pracy.

AppLocker

Rozwinięciem znanych opcji SRP jest AppLocker obecny w systemach Windows Server 2008R2 oraz Windows 7 i 8. AppLocker umożliwia utworzenie reguł, które zezwolą na wykonywanie aplikacji lub zabronią wykonywania, zależnie od identyfikacji plików, przy czym można prosto wskazać grupy i użytkowników, którzy daną aplikację mogą wykonać. Prawdopodobnie najlepszą opcją AppLockera jest automatyczne generowanie reguł na podstawie zainstalowanego już oprogramowania, a także możliwość uruchomienia reguł w trybie śledzenia.

Tryb śledzenia, nazywany trybem audytu, pokazuje, które aplikacje można uruchomić i co można zablokować bez konieczności rzeczywistego wymuszenia reguł SRP. Opcja ta świetnie sprawdza się podczas wstępnego przygotowania reguł i poszukiwania rozwiązań problemów. W odróżnieniu od prostego SRP, AppLocker może pobrać skróty kryptograficzne ze stacji roboczej zawierającej komplet firmowego oprogramowania. Razem z wdrożeniem standardowego obrazu systemu i oprogramowania można automatycznie wdrożyć reguły AppLockera. Rozwiązanie to działa jedynie z Windows 7 Enterprise i Ultimate oraz Windows 8 Pro, wymaga także systemu Windows Server 2008R2.

Sam proces wdrożenia SRP jest pracochłonny. W zamian za to znacznie utrudnia instalację obcego oprogramowania, w tym niektórych wirusów.