有哪些好方法可以保护员工机器免受使用它们的员工的侵害?我正在寻找一种完全无缝的东西,用户不会注意到……不会妨碍机器性能的东西,并允许用户对“我的文档”、他/她的桌面和 Program Files 中的几个文件夹进行读/写访问。
我当前的设置运行良好,但有一些我不太喜欢的地方:
我已经对员工计算机上的驱动器进行了分区,并将所有静态文件夹存储在 D 分区上。C 分区受 Windows Steadystate 保护(仅限磁盘保护,尚无限制),每次重启时都会恢复。
正如我所说,这种方法有效,但有没有更简单的方法?过去,我们在最糟糕的时候因恶意软件而丢失了一些关键的员工机器。
答案1
这真的很简单:不要给予用户“管理员”权限,这样你就已经成功了 95% 确保机器清洁、正常运行。
在 Windows XP 或更早版本下,也不要为他们提供“高级用户”,因为这实际上与“管理员”相同(从“高级用户”到“管理员”非常非常容易)。
对于 Microsoft Office 来说,没有“管理员”权限不会有问题。对于任何带有“专为 Windows XP 设计”或更新徽标标牌的应用程序来说,这应该不是问题(因为以受限用户身份运行是徽标要求的一部分)。您有责任确保其他应用程序正常运行,但您花时间确保应用程序正常运行与稍后清理垃圾 PC 相比是值得的。也有一些工具可以帮助您。一个很好的工具是 Aaron Margosis 的“LUA Buglight”(参见http://nonadmin.editme.com/LUABuglight)。
如果您发现需要应用安全权限更改才能使某些程序正常运行,请考虑使用组策略的文件系统安全设置来完成您的繁重工作(假设您在 AD 域中)。然后,至少,您可以了解哪些权限需要设置一次,并让组策略在新计算机上为您一致地重新应用它们。
如果您还没有这样做,请将用户数据从 PC 转移到服务器计算机上。考虑使用“文件夹重定向”和漫游用户配置文件来帮助您完成此操作(再次假设您在 AD 域中)。理想情况下,PC 应该足够无状态,以便用户可以启动、登录到另一台 PC 并可以使用所有数据文件。(应用程序软件是否可用是另一回事,但软件安装策略也有一个“故事”。)我不会在这里讨论这些项目的大量链接,只是为了让这个答案有点主题性。
如果你真的想阻止不需要的第三方软件,同时又不让用户拥有“管理员”权限,你可以考虑使用“软件限制策略”(请参阅http://technet.microsoft.com/en-us/library/bb457006.aspx和http://technet.microsoft.com/en-us/library/cc782792(WS.10).aspx)。在实施软件限制策略的情况下,非管理员用户无法执行允许路径之外的代码(或基于数字签名的代码)。像 Google Chrome 这样安装在每个用户位置的程序(以及类似的恶意软件)甚至无法运行。这是一项很棒的功能,可以说是利用率最低的功能之一。
答案2
您可能还考虑将其“我的文档”和其他文件夹重定向到网络位置,这样您就不必弄乱分区方案,而只需稳定整个磁盘。
http://technet.microsoft.com/en-us/library/cc977970.aspx
还可以考虑使用 Bluecoat 代理服务器等产品来保护您的互联网流量免受恶意网站的侵害。代理不仅可以在 Web 网关使用 AV 保护来获取签名,还可以使用 Websense 样式类别过滤来阻止访问已知恶意软件网站。
答案3
保护机器免受员工侵害的最佳方法是严格限制权限,并确保您不会像糖果一样分发管理权限。如果他们需要使用 NEAR 管理员权限执行某些操作,请将他们分配到高级用户组。确保您的防病毒解决方案也是最新的并且正在运行。
答案4
确保您的病毒扫描程序已配置为扫描插入计算机的任何可移动设备。我曾让一位供应商给我们一张带有 Conficker 的 SD 卡,因为他们的组织显然有糟糕的防病毒政策。令人惊讶的是,这来自我们合作过的最大公司,这家公司的收入远超 1000 亿美元,拥有 30 万名员工。