Estoy trabajando para una organización grande que usa algunos productos de Windows que requieren Python para funcionar.
Python se utiliza para ejecutar scripts de utilidad incorporados y el usuario nunca reconoce que Python está involucrado. Dado que los requisitos de seguridad del sistema son bastante estrictos, estamos tratando de bloquear Python tanto como sea posible. Normalmente no permitimos que los usuarios normales utilicen compiladores o intérpretes, ya que no está permitido agregar aplicaciones o funcionalidad al sistema. Así que estamos buscando sugerencias sobre cómo restringir python para que solo se puedan ejecutar algunos scripts mientras el indicador / intérprete interactivo no esté disponible.
¿Es eso posible?
Nuestro primer enfoque consistió en restringir Python con políticas de grupo, pero no es fácil hacerlo ya que Python no es "consciente de GPO". El uso de políticas de restricción de software es básicamente un bloque de Python para todos o permitir Python para todos.
Dado que los scripts de Python se ejecutan a través del intérprete (python.exe), la configuración de restricción del software GPO para las ubicaciones ejecutables solo comprueba python.exe y no la ubicación del script en sí (el sistema GPO solo ve el script de python como un argumento genérico al ejecutable python.exe).
Entonces, mi pregunta es: ¿si alguien tiene alguna experiencia en reforzar la seguridad con respecto a python? Una vez más, nuestro objetivo es que solo se puedan ejecutar algunos scripts mientras el indicador / intérprete interactivo no esté disponible. ¿Es eso posible?