Zapobiegaj instalowaniu oprogramowania przez użytkownika

26

Mój dziadek jest dość zaawansowany technologicznie jak na swój wiek i uwielbia wysyłać e-maile, korzystać z Photoshopa i przeglądać sieć. Sprawiłem, że jego komputer jest dość bezpieczny, instalując AdBlock i ucząc go, jak nie pobierać wirusów, ale co jakiś czas otrzymuje pocztę z darmową wersją próbną programu antywirusowego Avast. Jest typem osoby, która nie może się oprzeć za darmo i natychmiast go instaluje. Jest to dość irytujące, ponieważ bardzo spowalnia komputer, zapobiega otwieraniu Firefoksa i robi wiele innych rzeczy. Odinstalowanie to także prawdziwy ból.

Moje pytanie: Czy mogę skonfigurować coś, co uniemożliwi mu pobieranie, instalowanie lub uruchamianie instalatora Avast?

Mam system Windows 7

Dragongeek
źródło
Pierwszy poziom obrony: zainstaluj filtr spamu :-)
Bergi
12
@Bergi, lol, to jednak nie jest e-mail, to rzeczywisty fizyczny list!
Dragongeek,
4
To nie rozwiązuje problemu ... Uczenie go jest najlepszym rozwiązaniem ...
Dave,
6
@ Džuris Ogólnie nie jestem fanem oprogramowania antywirusowego. Możesz zasadniczo zablokować wszystkie złośliwe oprogramowanie za pomocą AdBlocka i wbudowanego programu Windows Defender. W szczególności Avast pomieszał z ustawieniami Firefoksa (strona główna), zainstalował wszelkiego rodzaju wtyczki do przeglądarek i wyłączył adblocker (?!). Ponadto spowalnia starszy komputer mojego dziadka do indeksowania, szczególnie podczas logowania.
Dragongeek
8
Czy próbowałeś mu powiedzieć, że instalowanie bezpłatnego oprogramowania za pośrednictwem poczty i reklam e-mail jest równoważne z tym, że spożywa bezpłatny słoik majonezu, który siedzi na słońcu przez 6 dni? Dodatkowo sprawdź thewindowsclub.com/…
MonkeyZeus,

Odpowiedzi:

29

Jeśli chcesz uniemożliwić instalację określonego oprogramowania, możesz spróbować zaimportować jego certyfikat (podpis cyfrowy) do „Niezaufanych certyfikatów”. Następnie za każdym razem, gdy spróbuje go zainstalować, okno dialogowe UAC wyświetli „To oprogramowanie nie jest zaufane” zamiast monitować o przyznanie Administratorowi dostępu do programu instalacyjnego.

Istnieje bezpieczniejszy sposób korzystania z certyfikatu instalatora, ale może nieco spowolnić cały system. Możesz zaimportować certyfikat Avast do Zasad grupy, więc nawet jeśli nie wymaga on uprawnień administratora, nie będzie działać.

Jeśli chcesz zablokować instalację całego oprogramowania, daj mu konto użytkownika (bez uprawnień administratora). Może to być jednak jedyne rozwiązanie do blokowania wszystkiego. Musisz upewnić się, że twój dziadek nie potrzebuje często uprawnień administratora.

Jeśli pozwala, możesz skonfigurować bieżące oprogramowanie AV, aby nie ufało certyfikatowi Avast, i może usunąć instalator natychmiast po jego pobraniu. To także dobra opcja.


W każdym razie osobiście uważam, że edukowanie twojego dziadka, aby nauczyć się opierać reklamom i tym, czymkolwiek darmowym próbom, jest najlepszym rozwiązaniem. Wtedy nie będziesz musiał się tym przejmować, aby uniemożliwić mu ich instalację.

iBug
źródło
„W każdym razie osobiście uważam, że najlepszym rozwiązaniem jest kształcenie twojego dziadka, aby nauczyć się opierać reklamom i wszystkim innym darmowym próbom”. <- może zainstalowanie adblockera może trochę pomóc?
Ismael Miguel
4
@IsmaelMiguel Nie blokuje fizycznych reklam .
iBug
Ale może pomóc zredukować kolejny wektor ataku?
Ismael Miguel
@IsmaelMiguel Nieprawdopodobne. OP już powiedział, że e-mail nie jest prawdą.
iBug
2
@ IsmaelMiguel Pytanie stwierdza, że ​​adblocker jest już na miejscu.
15

Zapobiegaj wykonywaniu pobranych programów

Oprócz dobrej sugestii @ iBug, aby usunąć prawa administracyjne z konta dziadka (po uprzednim utworzeniu innego konta z prawami administratora!), Powinieneś również zapobiegać wykonywaniu plików (np. Instalatorów oprogramowania) zapisanych w katalogu Pobrane.

Zrób to, edytując uprawnienia NTFS w folderze Pobrane i wyczyść uprawnienia do folderu Traverse / wykonania pliku .

Zapobiegnie to uruchomieniu jakiegokolwiek pliku wykonywalnego zapisanego w tym folderze. Możesz to zrobić również w folderze Desktop.

Zaletą tej metody w połączeniu z usuwaniem uprawnień administratora z konta jest to, że uniemożliwia ona uruchomienie dowolnego instalatora, nie tylko tych, które wymagają uprawnień administratora. Wiele niechcianych programów nadal będzie się instalować, jeśli użytkownik nie ma uprawnień administratora, ale jeśli program nie może zostać uruchomiony w pierwszej kolejności, nie ma to znaczenia.

Mówię: Przywróć Monikę
źródło
Czy wpłynie to na instalatory .msi?
Ismael Miguel
@ IsmaelMiguel Nie jestem pewien, ale z mojego doświadczenia wynika, że .msiinstalatorzy prawdopodobnie nie będą mieli na to wpływu.
iBug
Usunięcie uprawnienia Wykonaj nie ma wpływu na instalatory .MSI.
Mówię: Przywróć Monikę
2
@TwistyImpersonator Czy dlatego, że .msipliki są odczytać przez msiexec.exe, zamiast sami wykonywane, co wymaga tylko uprawnienia do odczytu?
iBug
1
@ iBug Tak. W systemie operacyjnym pliki .MSI nie są wykonywalne; to tylko kolejny plik, który należy otworzyć za pomocą innej aplikacji. Ale w tym przypadku jest to aplikacja, która instaluje oprogramowanie.
Mówię: Przywróć Monikę
4

Zrobiłem to zarówno dla niepiśmiennego przyjaciela rodziny (który uważa, że ​​„ hot_nympho_girls_movie.exe ” jest uzasadniony, nawet po kilkunastu przypomnieniach), jak i na laptopach w pracy, które są wypożyczane studentom na co dzień (chcemy, aby zainstaluj sterowniki i oprogramowanie, których potrzebują, ale nie chcę ponownie tworzyć kopii zapasowej komputera na koniec każdego dnia)

Użyliśmy Toolwiz Time Freeze, który jest darmowym produktem. Zainstalujesz go, skonfigurujesz urządzenie tak, jak chcesz, a następnie włączysz oprogramowanie. Po ponownym uruchomieniu komputer powraca do punktu, w którym oprogramowanie zostało włączone. Możesz „odblokować” określone pliki i foldery (np. Odblokowałem foldery konfiguracyjne Thunderbirda, aby e-maile zachowywały się między restartami), abyś mógł dać lub przejąć tyle kontroli, ile potrzeba.

Jest to prawdopodobnie nieco przesada, ale działa świetnie dla nas, ponieważ każda pożyczona maszyna jest „gotowa do pracy” od momentu jej zamknięcia pod koniec dnia. A nasz przyjaciel rodziny nie narzekał na wyskakujące okienka i paski narzędzi w tajemniczy sposób.

Grayda
źródło
Czy działa to podobnie do konta gościa?
Wes Toleman,
nawet po kilkunastu przypomnieniach ” Przychodzi moment, w którym przestajesz włączać głupie.
RonJohn,
@WesToleman Bardziej jak komputer gościa . Całe urządzenie, wszystkie konta gości, wszystko oprócz folderów, które odmroziłeś, są resetowane po ponownym uruchomieniu.
Grayda