Админю сеть с доменами (около 200 компов) и вирусы у нас бродят лесом, даже если антивирус не будет работать. Суть такая:
Каждому пользователю домена в профиле прописывается вот такие значения реестра
Код:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"RestrictRun"=dword:00000001
Эта запись не даёт запускаться на компьютере exe, bat и msi файлам, если они не входят в список разрешенных к запуску.
Пример списока
Код:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun]
"1"="LA.exe"
"2"="WinRAR.exe"
"4"="wscript.exe"
"5"="regedit.exe"
"6"="cmd.exe"
"7"="NHSRVW32.EXE"
"8"="paint.exe"
"9"="notepad.exe"
и т.д.
Список составляется один раз для всех и при первом логоне в домен прописывается в реестр пользователя, в перемещаемый профиль.
Действует эффективно:
Во-первых не сработает вирус, даже если антивирус его не опознал
Во-вторых пользователь может запускать только те приложения, которые ему разрешил администратор сети
В-третьих пользователи не смогут устанавливать на своём рабочем компе всякий левый софт, который там явно не нужен.