我想知道我可以設定哪些策略等來阻止伺服器 2003 網域環境中發生任何安裝?我有 2003 RC2 和 XP Pro 客戶端。
我想快速簡單的方法是讓每個人都是客人,但這也阻止了他們可能需要做/訪問的其他事情。我見過很多想法,但它們並不能完全阻止一切。我知道可能沒有解決所有問題,但希望盡可能接近。
謝謝你們,
答案1
刪除本地管理員權限、刪除本地高級用戶、花費數小時調試有存取問題的蹩腳且架構不良的軟體,使用 sysinternals 軟體手動解決存取問題。
為主目錄、設定檔等設定軟體共用,並將選取的子目錄(如我的文件)重新導向至網路共用。然後,在每次重新啟動後,使用 Faronics Deep Freeze 等工具將電腦「重置」回原始狀態。
我認為他們也有可以將可執行檔列入白名單的軟體,但如果您有大量需要處理的系統,那麼設定和維護將會很痛苦。
取得沒有 CD 光碟機的系統並使用可攜式 USB 隨身碟來安裝軟體。
讓人力資源部門支持政策,明確系統上允許什麼、不允許什麼,它們是公司財產,不存在隱私問題。
使用過濾軟體來監控網路使用情況,如果需要,您可以阻止下載。
你想變得多嚴厲?
您也可以使用系統映像並定期將電腦重新映像至乾淨狀態。儘管如此,仍然需要維護,因為過時一個月的圖像需要安裝一個月的補丁,而且用戶仍然需要在伺服器上記錄自己的數據,或者如果他們設法「意外」在本地保存內容,那麼您就需要進行維護。
你需要檢查你的政策,並在可用性與你將為員工完成工作提供多少 PITA 以及你想讓你的員工感到多麼痛苦(如果雇主對員工期望很高)之間取得平衡。他們任何授權或自由的感覺......那些感覺被人踩在背上、監視別人的員工有非常有創意的方法讓你的生活變得更加痛苦,但他們不會如果他們覺得有道理的話,至少會感到難過。
答案2
答案是阻止他們成為管理員。如果您不願意這樣做,那麼他們總會有辦法繞過您設定的任何內容。
答案3
你的第一步將是獲得企業的支持,以真正允許你做這樣的事情。即使在大型企業的安全環境中,我也看到高階主管不願意建立應用程式白名單。之後你應該看看軟體限制政策。
這允許您根據以下條件允許或阻止軟體:
哈希值、證書、路徑和 Internet 區域。
不適用軟體限制的情況是:
驅動程式或其他核心模式軟體。
由 SYSTEM 帳戶執行的任何程式。
Microsoft Office 2000 或 Office XP 文件中的巨集。
為公共語言運行時編寫的程式。
對於 CLR 鎖定,您應該使用 CASPOL。
部署步驟是設定測試機器並開始鎖定策略。管理員權限對此類限制沒有影響(除非您選擇查看連結以了解詳細資訊)。一旦您鎖定了常規軟體和基於 CLR 的軟體,唯一真正值得擔心的就是 java。
答案4
他們始終能夠「安裝」不需要管理員存取權限的軟體。許多軟體不需要寫入 Program Files 資料夾或進行任何系統範圍的變更。尤其是簡單的應用程序,只是 EXE 或“便攜式應用程式”。畢竟,您允許他們運行 EXE 文件,對嗎?
如果他們確實是非管理員,並且沒有程式檔案或 Windows 的寫入或修改權限,那麼我敢打賭他們只是運行簡單的應用程式。有一個群組原則設定可以讓您將允許的 EXE 列入白名單,但我會非常小心地使用它,因為它可能會使您的所有電腦無法運作。