Файл: На базе Windows Server 2016. Часть Развертывание приложений на компьютерах домена, дальнейшее знакомство с групповой политикой.pdf

1
Создание виртуальной сети вымышленного предприятия «COMPANY»
на базе Windows Server 2016.
Часть 4. Развертывание приложений на компьютерах домена,
дальнейшее знакомство с групповой политикой.
Задание.
На базе развернутой и настроенной в предыдущих работах виртуальной сети (контроллера домена, интернет-шлюза и клиента) необходимо выполнить следующие задачи:
1. Средствами ГП запретить рядовым пользователям домена доступ в
«Магазин Microsoft Store» и облачное хранилище «OneDrive».
2. Скачать с официальных сайтов разработчиков ПО в формате MSI- дистрибутивов и опубликовать его средствами ГП на контроллере домена. Затем проверить развертывание ПО на компьютере Win10.
3. Проверка результатов.

2
Этап 1.
Блокировка возможности пользователей на рабочих ПК устанавливать любые приложения с Магазина Microsoft Store необходима для повышения уровня безопасности и контроля набора приложений на ПК.
Как правило, администраторы согласно политике информационной безопасности предприятия централизованно устанавливают/распространяют на рабочих ПК необходимое ПО и блокируют возможность самостоятельной установки пользователями произвольного ПО.
Дополнительно, для демонстрации возможности блокирования различных параметров с помощью Административных шаблонов в ГП отключим доступность встроенного приложения для Облачного хранилища
OneDrive.
На контроллере домена с помощью средства Управление групповой
политикой создайте новый объект ГП «Global Ban Rule»:
Измените следующие параметры для отключения Магазина.
Перейдите в "Конфигурация компьютера – Политики –
Конфигурация Windows – Параметры безопасности – Политики
ограниченного использования программ». Там щелкнув правой кнопкой мыши создайте политику ограниченного использования программ:

3
Затем в разделе «Дополнительные правила» создайте новое запрещающее правило для пути
%programfiles%\WindowsApps\Microsoft.WindowsStore*
Примечание: добавляя в данный раздел пути (или иные значения) можно запретить запуск любых программ для любых пользователей вошедших на компьютер поскольку изменения в разделе «Конфигурация компьютера» действуют на всех пользователей на компьютере.
Измените следующие параметры для отключения OneDrive.
"Конфигурация компьютера – Политики - Административные
шаблоны - Компоненты Windows –OneDrive»:

4
Запретить использование OneDrive для хранения файлов – включено;
По умолчанию сохранять документы в OneDrive – отключено.
Затем свяжите объект ГП «Global Ban Rule» с подразделениями
«Buhg» и «Managers»:
Закройте редактор групповой политики, затем форсируйте применение политик на компьютере Win10 и проверьте действие ограничений на запуск
Магазина Windows и OneDrive.
В результате при попытке запуска Магазина Windows должно отобразиться знакомое предупреждение:
Также, следует проверить появление предупреждений в «Управление
компьютером - Журналы Windows - Приложение»:

5
Что также будет свидетельствовать о срабатывании правил блокировки программ.
Что касается OneDrive то никаких сообщений при попытке запуска не выйдет вообще.
Если созданные ограничения не работают, проверьте в оснастке
«Пользователи и компьютеры Active Directory» принадлежит ли компьютер
Win10 подразделению «Buhg» (Для которого собственно создавали огранчиения).
Затем удостоверьтесь что объект ГП «Global Ban Rule» связан с подразделением «Buhg».
Этап 2.
Централизованная установка приложений на компьютерах домена является одной из типовых задач администратора/специалиста техподдержки. Контроль/ удаление/ обновление установленных приложений является обязательной частью ИБ на предприятии. Как правило, у рядовых

6 пользователей отсутствуют какие-либо права на установку приложений в т.ч. через Магазин Windows.
1. Создание сетевой папки и размещение в нем скачанных заранее
MSI- пакетов приложений.
Создайте сетевую папку Install на диске C:
Предоставьте права сетевого доступа группам:
«Компьютеры домена» на чтение (поскольку установка будет производиться от имени Системы (System) до входа/авторизации пользователя;
«Прошедшие проверку» на чтение;
«Пользователи домена» на чтение.
Во вкладке безопасность добавьте следующие права доступа:

7
«Компьютеры домена» на чтение;
«Пользователи домена» на чтение;
«Прошедшие проверку» на чтение.
Скачайте с официальных/надежных источников дистрибутивы.
Скачать MSI-инсталлятор архиватора 7Zip 64 bit можно по ссылке:
https://www.7-zip.org/download.html
Скачать MSI-инсталлятор браузера Mozilla Firefox 64 bit можно по ссылке: https://www.mozilla.org/ru/firefox/all/#product-desktop-release

8
Скачанные с официальных источников MSI-дистрибутивы скопируйте в сетевую папку Install.
Примечание: для включения возможности копирования файлов с физической машины на виртуальную, возможно придется установить дополнения гостевой ОС и включить буфер обмена, или настроить функцию
Drag&Drop для обмена.
2. Настройка публикации приложений средствами ГП.

9
Далее, с помощью редактора ГП необходимо редактировать объект ГП связанный с конкретным подразделением Buhg (или Managers) в который входит компьютер Win10 (на который необходимо развернуть MSI-пакеты).
С помощью средства «Управление групповой политикой» откройте имеющуюся политику «Policy for Buhg».
Откройте
«Конфигурация
компьютера
–
Политики
–
Конфигурация программ – Установка программ».
С помощью правой кнопки мыши создайте пакет.
Выберите через сетевое окружение
\\DCSERVER1\Install\
необходимый
MSI – пакет.
Метод развертывания - «Особый»
Во вкладке «Безопасность» добавьте:
«Компьютеры домена» - права на чтение

10
Подобным образом опубликуйте второй MSI-пакет с браузером:
После чего форсируйте применение групповой политики с помощью gpupdate /force на контроллере домена и Win10.
Зайдите под учетной записью buhg1 (или manager1) на Win10 и проверьте факт появления назначенные приложений 7Zip и Mozilla Firefox.
Если назначенные приложения не были установлены на Win10, проверьте в оснастке «Пользователи и компьютеры Active Directory» принадлежит ли компьютер Win10 подразделению «Buhg» (ГП которой собственно и редактировали).
Затем удостоверьтесь что объект ГП «Policy for Buhg» связан с подразделением «Buhg».

11
При необходимости внесите необходимые изменения и снова форсируйте применение ГП.

12
Этап 3. Проверка результатов
В отчет обязательно добавить скриншот с Win10 свидетельствующий об успешной установке и работе 7Zip и Firefox:
Также, обязательно добавляем в отчет скрины из журнала «Система» компьютера Win10, подтверждающие успешную установку назначенных приложений 7Zip и Firefox (события с кодом 302).

13