我們的組織與大多數組織略有不同。在一年中的某些時候,我們的員工人數會增加到數千人,而在休息時間,我們的員工人數會減少到不到一百人。在幾年的時間裡,成千上萬的人來來去去我們的辦公室,並以各種不需要的、未經批准的(有時是未經許可的)軟體安裝在我們的桌面上的形式留下了他們的遺產。
我們目前正在安裝冗餘網域控制站並升級目前伺服器,所有伺服器都執行 Windows Server 2008 Enterprise,最終將能夠運行純 2008 DC 網路。考慮到這一點,我們有哪些選擇來鎖定使用者,這樣他們就無法在沒有 IT 團隊的協助(或授權)的情況下在系統上安裝未經授權的軟體?
我們需要支援大約 400 個桌面,因此自動化是鑰匙。我已經注意到我們可以透過群組原則實施的軟體限制,但這意味著我們已經知道用戶將安裝並嘗試運行什麼......不太優雅。
有任何想法嗎?
答案1
如果您談論的是已簽出/分配給人員的筆記型電腦或桌上型電腦,則只需不要授予他們管理員存取權限即可。這仍然允許他們將程式安裝到他們的主資料夾(假設它們被正確寫入),然後當他們離開時,您只需刪除他們的配置檔案/用戶帳戶即可刪除他們安裝的任何程式/他們所做的更改。這也將限制病毒可能造成的損害 - 只需在他們未登入的任何系統上隔離和清理他們的文檔,刪除並重新建立他們的帳戶,恢復他們清理的文檔。病毒消失了。
由於可執行程式碼甚至不需要名稱,只需駐留在記憶體中標記為可執行的頁面上,因此實際上很難建立已批准的可執行檔的「白名單」。最好的選擇是讓您在用戶離開時更輕鬆地刪除不需要的應用程式。
如果這是一個安全問題而不是「清理」問題,那麼他們最初是如何將程式載入到系統上的?
答案2
如果您有良好的網路基礎設施並重定向某些資料夾(並培訓使用者使用主目錄),您可以獲得像Deep Freeze 這樣的產品(我認為Microsoft 也有類似的免費產品),以便您可以將電腦設置為您的電腦。如果他們安裝了某些東西(或它被病毒感染),重新啟動會將其再次恢復到原始狀態。他們仍然可以安裝東西,但每天都這樣做很麻煩。
當然,您可以限制他們的訪問級別,這樣如果他們不是高級用戶或管理員,他們就無法安裝大多數程式。但這仍然不會限制他們尋找繞過障礙的方法的創造力。
確保您的政策有明確的說明。如果需要的話,將其定為可解僱的罪行(我不知道你們公司的政策,也不知道你們對此的重視程度)。明確指出電腦是公司財產,而不是私人財產,因此不應期望獲得隱私。然後安裝遠端桌面軟體(VNC、遠端協助等)並說明必要時 IT 可以遠端監控活動。你需要把這些事情說清楚,這樣就清楚身為員工可以期待什麼,不可以期待什麼。您希望規則有多嚴厲取決於您和人力資源部門。
您也可以考慮製作系統映像,然後定期將電腦重新映像到原始狀態。不過,要跟上 Windows 更新還是很痛苦的。
答案3
確保網域使用者不是本機桌面上的管理員或超級使用者。如果沒有的話,他們應該無法安裝 Skype 或電話套件之類的東西。再檢查一遍。
取得現代部署套件,例如免費的 Microsoft WDS,甚至可能使用 System Center Configuration Manager。這裡使用的映像與硬體無關,只要驅動程式存在,它就可以在多種不同的硬體上運行。透過 Configuraiton Manager,您還可以自動部署他們需要的應用程式。當此操作自動化時,如果需要,只需擦除並重新加載桌面就應該快速且輕鬆。
進一步的調整將是一個額外的好處,但可能涉及 IE 的 GPO 鎖定以阻止用戶工具列等,但用戶安裝的任何工具列只會對該用戶有效。所以乾脆不要重複使用使用者帳號。
答案4
像 DeepFreeze 這樣的東西是一種可靠的方法。但不確定管理層在類似的事情上投入了多少精力。還有其他方法 - 正如 Zoredache 所提到的,最簡單、最不干涉的方法就是不要讓他們成為本機管理員。他們可以安裝一些東西,但不能安裝太多。