如何防止管理员用户绕过 K9 Web Protection

如何防止管理员用户绕过 K9 Web Protection

问题:通过重命名 Windows 7 中的 Windows\System32 目录中的文件,可以非常轻松地绕过 K9 Web Protection。

问题:如何防止管理员用户重命名所述目录中的所述文件,从而绕过 K9 Web Protection?或者,如果我无法做到这一点,如何让标准用户安装程序。

答案1

恐怕我实际上想不出一个可靠的方法来做到这一点。

也许对 Windows 安全有更好了解的人知道一种方法,但据我所知,非域(独立)计算机上具有管理员权限的用户如果知道自己在做什么,就可以做任何他们想做的事情。

你可以尝试欺骗 Windows 将文件添加到Windows 文件保护功能。但我真的不知道这是否可行。如果一个有决心的人真的想删除文件,他还是可以删除的。


关于问题的第二部分:恐怕不行。在独立 PC 上不行。

如果您确实需要保护一台或多台计算机,则需要将它们纳入 Windows 域。Windows 域能够实施多种安全策略。这包括需要运行的软件和服务、受保护的文件和文件夹、有限的管理权限等等。为此,您需要运行至少一个物理或虚拟服务器,并且还需要许可证费用。


但就你的目的而言,避免运行整个 Windows 域的更好选择是创建“透明代理”。基本上,您将路由器或防火墙设置为仅将通过代理的流量转发到 Internet。您在代理上运行过滤器。任何试图绕过代理的人都不会连接到任何有用的东西。设置 DHCP(通过路由器或代理),以便连接到您的网络的 PC 自动具有指向代理的“默认网关”,并且可能还会通过它过滤所有 DNS 请求。当然,您仍然需要一台备用 PC 来执行此操作,如果 Internet 流量很大,则可能需要一台合理的 PC。

更新:阅读了有关透明代理的其他参考线程后,我发现您的其他问题是由于 TinyProxy 中缺少 SSL 支持。所以如果可以的话,不要使用它。如果您有一台可以配置为代理的 PC,那将是最好的选择,但要做到这一点,您需要两个以太网端口。即使是旧笔记本电脑也可以完成这项工作,添加 PCMCIA 或 USB 以太网适配器作为第二张卡。在台式机上,这很容易,许多台式机实际上已经有以太网端口了。在 Google 上搜索如何在 Linux 或 Windows(如果必须)上将 SQUID 设置为透明代理。通过该设置,您将不会遇到代理和过滤 SSL 连接的问题。

相关内容