私たちの組織は、他の組織とは少し異なります。一年の特定の時期には、従業員が数千人まで増えますが、オフシーズンには 100 人未満になります。数年の間に、何千人もの人々が私たちのオフィスに出入りし、デスクトップにさまざまな不要で承認されていない (場合によってはライセンスのない) ソフトウェアをインストールするという形で彼らの遺産を残してきました。
現在、冗長ドメインコントローラをインストールし、Windows Server 2008 Enterpriseを実行している現在のサーバーをアップグレードしており、最終的には純粋な2008 DCネットワークを実行できるようになります。それを念頭に置いて、ロックダウンできるようにするにはどのようなオプションがありますか?ユーザーIT グループの支援 (または承認) なしにシステムに不正なソフトウェアをインストールできないようにしますか?
約400台のデスクトップをサポートする必要があるため、自動化は鍵グループ ポリシーを介して実装できるソフトウェア制限については確認しましたが、これは、ユーザーが何をインストールして実行しようとしているかをすでに把握していることを意味します。それほどエレガントではありません。
何か案は?
答え1
貸し出されている/人に割り当てられたラップトップやデスクトップの場合、管理者権限を与えないでください。そうすることで、ホーム フォルダーにプログラムをインストールできます (プログラムが適切に記述されていると仮定)。そして、その人が退職するときには、その人のプロファイル/ユーザー アカウントを削除するだけで、その人のインストールしたプログラムや行った変更をすべて削除できます。これにより、ウイルスによる被害も制限されます。その人のログインしていないシステム上のドキュメントを隔離してクリーンアップし、アカウントを削除して再作成し、クリーンアップしたドキュメントを復元するだけです。ウイルスは消え去ります。
実行可能コードには名前さえ必要ではなく、実行可能としてマークされたページのメモリ内に単に存在すれば良いという事実に基づいて、承認された実行可能ファイルの「ホワイト リスト」を実際に作成するのは非常に困難です。最善策は、ユーザーが去ったときに不要なアプリケーションを簡単に削除できるようにすることです。
これが「クリーンアップ」の問題ではなくセキュリティの問題である場合、そもそもどのようにしてプログラムをシステムに導入したのでしょうか?
答え2
適切なネットワーク インフラストラクチャがあり、特定のフォルダーをリダイレクトし (ホーム ディレクトリを使用するようにユーザーをトレーニングする)、Deep Freeze などの製品 (Microsoft にも同様の無償製品があると思います) を入手して、マシンを会社の推奨構成に設定してから「フリーズ」すると、再起動時にコンピューターは設定した元の状態に戻ります。何かをインストールした場合 (またはウイルスに感染した場合)、再起動すると、コンピューターは元の状態に戻ります。インストールは引き続き可能ですが、毎日行うのは面倒です。
もちろん、アクセス レベルを制限して、パワー ユーザーや管理者でない場合はほとんどのプログラムをインストールできないようにすることができます。しかし、それでもブロックを回避する方法を見つける創造性が制限されるわけではありません。
ポリシーをきちんと明記してください。必要であれば、解雇の対象にしてください (あなたの会社のポリシーや、この問題をどの程度深刻に受け止めているかはわかりません)。コンピューターは会社の所有物であり、個人の所有物ではないため、プライバシーを期待すべきではないことを明記してください。次に、リモート デスクトップ ソフトウェア (VNC、リモート アシスタンスなど) をインストールし、必要に応じて IT 部門がリモートでアクティビティを監視できることを明記してください。従業員として期待できることと期待できないことを明確にするために、これらのことを明記する必要があります。ルールをどの程度厳しくするかは、あなたと人事部門次第です。
システムのイメージを作成し、定期的にコンピューターのイメージを元の状態に戻すことも検討できます。ただし、Windows Update に追いつくのは大変です。
答え3
ドメイン ユーザーがローカル デスクトップの管理者またはスーパー ユーザーでないことを確認してください。そうでない場合は、Skype や電話スイートなどをインストールできないはずです。再確認してください。
無料の Microsoft WDS などの最新の展開スイートを使用するか、System Center Configuration Manager を使用することもできます。ここで使用するイメージはハードウェアに依存しないため、ドライバーが存在する限り、さまざまなハードウェアで動作します。Configuraiton Manager を使用すると、必要なアプリケーションも自動的に展開できます。これを自動化すると、必要に応じてデスクトップを消去して再ロードするだけで、迅速かつ簡単に実行できます。
さらに調整を加えるとさらに便利になりますが、ユーザーのツール バーなどを防ぐために IE の GPO ロックダウンが必要になる可能性があります。ただし、ユーザーがインストールしたツール バーは、そのユーザーに対してのみアクティブになります。したがって、ユーザー アカウントを再利用しないでください。
答え4
DeepFreeze のようなものは確実な方法です。ただし、そのようなものにどの程度の管理が必要なのかはわかりません。他の方法もあります。最も簡単で手間がかからないのは、Zoredache が述べたように、ローカル管理者にしないことです。その方法では、ある程度はインストールできますが、あまり多くはインストールできません。