사용자가 소프트웨어를 설치하지 못하도록 하려면 어떻게 해야 합니까?

사용자가 소프트웨어를 설치하지 못하도록 하려면 어떻게 해야 합니까?

우리 조직은 대부분의 조직과 조금 다릅니다. 연중 특정 시기에는 직원 수가 수천 명으로 늘어나고, 근무 외 시간에는 직원 수가 100명 미만으로 늘어납니다. 몇 년 동안 수천 명의 사람들이 우리 사무실을 드나들며 온갖 종류의 원치 않는, 승인되지 않은, 때로는 라이센스가 없는 소프트웨어를 데스크탑에 설치하는 형태로 그들의 유산을 남겼습니다.

우리는 현재 중복 도메인 컨트롤러를 설치하고 현재 서버를 업그레이드하고 있으며 모두 Windows Server 2008 Enterprise를 실행하고 있으며 최종적으로는 순수 2008 DC 네트워크를 실행할 수 있게 될 것입니다. 이를 염두에 두고, 폐쇄할 수 있는 옵션은 무엇입니까?사용자, IT 그룹의 지원(또는 승인) 없이는 시스템에 승인되지 않은 소프트웨어를 설치할 수 없습니까?

우리는 약 400대의 데스크탑을 지원해야 하므로 자동화가 필요합니다.열쇠. 그룹 정책을 통해 구현할 수 있는 소프트웨어 제한 사항을 기록해 두었지만 이는 사용자가 무엇을 설치하고 실행하려고 할 것인지 이미 알고 있다는 의미입니다. 그다지 우아하지는 않습니다.

어떤 아이디어가 있나요?

답변1

사람들에게 체크아웃/할당된 랩탑이나 데스크탑에 대해 이야기하는 경우에는 관리자 액세스 권한을 부여하지 마십시오. 이렇게 하면 여전히 프로그램을 홈 폴더에 설치할 수 있으며(제대로 작성되었다고 가정), 그들이 떠날 때 프로필/사용자 계정만 삭제하면 설치한 프로그램/변경 사항을 제거할 수 있습니다. 이는 또한 바이러스가 입힐 수 있는 피해를 제한합니다. 로그인하지 않은 시스템에서 문서를 격리 및 치료하고, 계정을 삭제 및 다시 생성하고, 치료된 문서를 복원하기만 하면 됩니다. 바이러스가 사라졌습니다.

실행 코드에는 이름이 필요하지 않고 단순히 실행 파일로 표시된 페이지의 메모리에 상주한다는 사실을 기반으로 승인된 실행 파일의 "화이트 리스트"를 실제로 만드는 것은 매우 어렵습니다. 가장 좋은 방법은 사용자가 떠날 때 원치 않는 응용 프로그램을 더 쉽게 제거할 수 있도록 하는 것입니다.

이것이 "정리" 문제가 아니라 보안 문제라면 처음에 어떻게 프로그램을 시스템에 설치했습니까?

답변2

네트워크 인프라가 좋고 특정 폴더를 리디렉션하고 사용자에게 홈 디렉터리를 사용하도록 교육하는 경우 Deep Freeze와 같은 제품을 얻을 수 있습니다(Microsoft에도 유사한 무료 제품이 있는 것 같습니다). 회사가 선호하는 구성을 "고정"하면 재부팅 시 컴퓨터가 설정한 원래 상태로 돌아갑니다. 무언가를 설치한 경우(또는 바이러스에 감염된 경우) 재부팅하면 다시 원래 상태로 돌아갑니다. 여전히 물건을 설치할 수는 있지만 매일 설치하는 것은 번거롭습니다.

물론 고급 사용자나 관리자가 아닌 경우 대부분의 프로그램을 설치할 수 없도록 액세스 수준을 제한할 수 있습니다. 그러나 이것은 여전히 ​​​​블록 주위에서 길을 찾는 창의력을 제한하지 않습니다.

정책을 잘 설명했는지 확인하세요. 필요하다면 해고할 수 있는 범죄로 만드십시오(귀하의 회사 정책이나 귀하가 이를 얼마나 심각하게 받아들이고 있는지 모르겠습니다). 컴퓨터는 개인 소유가 아닌 회사 소유이므로 개인 정보 보호를 기대해서는 안 된다는 점을 분명히 하십시오. 그런 다음 원격 데스크톱 소프트웨어(VNC, 원격 지원 등)를 설치하고 필요한 경우 IT가 원격으로 활동을 모니터링할 수 있다는 점을 설명합니다. 직원으로서 기대할 수 있는 것과 기대할 수 없는 것이 무엇인지 명확하게 설명하려면 이러한 사항을 자세히 설명해야 합니다. 규칙을 얼마나 엄격하게 적용할 것인지는 귀하와 HR에 달려 있습니다.

또한 시스템 이미지를 만든 다음 정기적으로 컴퓨터를 원래 상태로 다시 이미지화하는 것을 고려할 수도 있습니다. 하지만 Windows 업데이트를 따라잡는 데는 어려움이 따릅니다.

답변3

도메인 사용자가 로컬 데스크톱의 관리자 또는 슈퍼 사용자가 아닌지 확인하세요. 그렇지 않은 경우 Skype 또는 전화 제품군과 같은 항목을 설치할 수 없어야 합니다. 이중 점검.

무료 Microsoft WDS와 같은 최신 배포 제품군을 사용하거나 System Center Configuration Manager를 사용할 수도 있습니다. 여기에 사용된 이미지는 드라이버가 존재하는 한 하드웨어 독립적이며 다양한 하드웨어에서 작동합니다. Configuration Manager를 사용하면 필요한 애플리케이션도 자동으로 배포할 수 있습니다. 이것이 자동화되면 필요한 경우 데스크톱을 지우고 다시 로드하는 것이 빠르고 고통스럽지 않습니다.

추가 조정은 보너스이지만 사용자 도구 모음 등을 방지하기 위해 IE의 GPO 잠금이 포함될 수 있지만 사용자가 설치한 도구 모음은 해당 사용자에 대해서만 활성화됩니다. 따라서 사용자 계정을 재사용하지 마십시오.

답변4

DeepFreeze와 같은 것이 확실한 방법입니다. 하지만 그런 일에 얼마나 많은 관리가 들어가는지는 잘 모르겠습니다. 다른 방법도 있습니다. 가장 간단하고 손이 많이 가지 않는 방법은 Zoredache가 언급한 것처럼 로컬 관리자로 만들지 않는 것입니다. 그들은 뭔가를 설치할 수 있지만 그렇게 많지는 않습니다.

관련 정보