Запретить локальному администратору устанавливать какие-либо пакеты из черного списка на Ubuntu (Desktop)

В нашей компании есть потребность в клиентах Ubuntu. Однако есть некоторые проблемы с безопасностью. В нашем случае большинство пользователей Ubuntu являются локальными администраторами (перечислены в / etc / sudoers), но мы хотели бы запретить пользователям доступ к вредоносным инструментам и пакетам. В настоящее время это частично выполняется с использованием Cisco Umbrella / OpenDNS, однако он не является полностью водонепроницаемым.

Итак, как мы можем убедиться, что обновления безопасности и обновления установленных пакетов выполняются, но пользователи не могут устанавливать «новые» пакеты или создавать пакеты из исходного кода?

• Добавление пакетов в черный список может решить некоторые проблемы, однако местный администратор может обойти это. Можно ли это предотвратить?
• Может ли быть временное решение, например, уровень привилегий между «sudoers» и «обычными» пользователями?