我是一家公司的管理員,最近我使用 Windows Server 2012 R2 和 Windows 7 電腦作為用戶端建立了一個 Active Directory。我對所有使用者有一個群組策略來停用 USB 儲存( HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR )。我這樣做是因為我的老闆要求我這麼做。辦公室裡的一個人要我解鎖他電腦的USB,這樣他就可以傳輸文件,但我告訴他我不能違抗老闆。他告訴我他知道一種啟用 USB 連接埠的方法,但他無法告訴我那是什麼。另外,客戶端無法存取我的計算機,因為我使用了另一個 GPO,該 GPO 不允許客戶端存取他們的驅動器。客戶是否可以透過其他方式存取其 USB 儲存裝置並傳輸檔案?最近我們將他們的舊文件轉移到他們的新電腦。我不知道是否有人設法轉移.exe或其他東西。任何建議都會有幫助。謝謝
答案1
不用擔心,總會有「高級用戶」認為他們可以繞過 IT 實施的內容。尤其是應高級職員的要求。
因此,請做好盡職調查,而您對此的擔憂對您來說是有利的。好吧,除了他違反公司政策(如果有的話,通常是紀律處分)之外,你還可以採取一些措施來確保你的職位。以下組合之一:
- 除非需要,否則不要允許他擔任本機管理員。
- 不允許存取 Regmon 應用程式 - 監視註冊表更改
- 不要在 Windows 電腦上允許 Regedit32 或 Regedit。這只能由網域管理員等使用
- 使用 sophos 之類的東西來停用某些 exe
- 考慮以某種方式限制它們 - 在 BIOS 設定中禁用機器的 USB
- 使用 sophos 或同等產品僅允許連接某些類型的硬體
這應該在一定程度上涵蓋了物理方面,但不要忘記您還面臨保管箱等的威脅。因此最好也從政策制定者那裡了解一些事情。
- 限制的目的是什麼?
- 如果有人反對,會產生什麼影響(誰應該受到責備或有過錯)
您可以透過以下連結嘗試測試他可能使用的潛在漏洞: https://blogs.technet.microsoft.com/markrussinovich/2005/04/30/circumventing-group-policy-settings/
希望有幫助。