我们的组织与大多数组织略有不同。在一年中的某些时候,我们的员工人数会增长到数千人,而在休息时间,员工人数则不到一百人。在短短几年的时间里,成千上万的人在我们的办公室来来去去,留下了各种不想要的、未经批准的(有时是未经授权的)软件安装在我们的桌面上。
我们目前正在安装冗余域控制器并升级当前服务器,所有服务器都运行 Windows Server 2008 Enterprise,最终将能够运行纯 2008 DC 网络。考虑到这一点,我们有哪些选择可以锁定用户,以便他们能够在没有 IT 团队的协助(或授权)的情况下在系统上安装未经授权的软件?
我们需要支持大约 400 台桌面,因此自动化是钥匙。我注意到我们可以通过组策略实施软件限制,但这意味着我们已经知道用户将安装和尝试运行什么……不太优雅。
有任何想法吗?
答案1
如果您指的是已签出/分配给人员的笔记本电脑或台式机,那么只需不授予他们管理员访问权限即可。这样他们仍可以将程序(假设这些程序编写正确)安装程序到他们的主文件夹,然后当他们离开时,您只需删除他们的个人资料/用户帐户即可删除他们安装的任何程序/所做的更改。这还可以限制病毒可能造成的损害 - 只需在他们未登录的任何系统上隔离和清理他们的文档,删除并重新创建他们的帐户,恢复已清理的文档。病毒消失了。
实际上,创建已批准可执行程序的“白名单”非常困难,因为可执行代码甚至不需要名称,只需驻留在内存中标记为可执行的页面上即可。最好的办法是让用户离开时更容易删除不需要的应用程序。
如果这是一个安全问题而不是“清理”问题,那么他们一开始是如何将这些程序放入系统的呢?
答案2
如果您拥有良好的网络基础设施并重定向某些文件夹(并培训用户使用主目录),您可以获得像 Deep Freeze 这样的产品(我认为 Microsoft 也有类似的免费产品),这样您就可以将机器设置为公司首选的配置,然后“冻结”它,这样在重新启动时,计算机就会恢复到您设置的原始状态。如果他们安装了某些东西(或者它感染了病毒),重新启动会使其再次恢复到原始状态。他们仍然可以安装东西,但每天都这样做很麻烦。
当然,你可以限制他们的访问级别,这样如果他们不是高级用户或管理员,他们就无法安装大多数程序。但这仍然不会限制他们发挥创造力,找到绕过你阻止的方法。
确保你的政策清晰明了。必要时可将其定为可解雇的罪行(我不知道你的公司政策,也不知道你对此有多重视)。明确说明计算机是公司财产,而不是私人财产,他们不应期望隐私。然后安装远程桌面软件(VNC、远程协助等),并明确说明必要时 IT 可以远程监控活动。你需要明确说明这些内容,以便明确员工可以做什么和不能做什么。你想要你的规则有多严厉取决于你和人力资源部门。
您还可以考虑制作系统映像,然后定期将计算机重新映像到原始状态。不过,跟上 Windows 更新很麻烦。
答案3
确保域用户不是本地桌面的管理员或超级用户。如果不是,他们就无法安装 Skype 或电话套件之类的东西。再检查一下。
使用现代部署套件,例如免费的 Microsoft WDS,或者甚至可以使用 System Center Configuration Manager。这里使用的映像与硬件无关,只要存在驱动程序,它就可以在大量不同的硬件上运行。使用 Configuraiton Manager,您还可以自动部署它们所需的应用程序。当此操作自动化时,如果需要,只需简单地擦除并重新加载桌面即可,这应该快速而轻松。
进一步调整将是一个好处,但可能涉及 IE 的 GPO 锁定以阻止用户工具栏等,但用户安装的任何工具栏都只对该用户有效。所以不要重复使用用户帐户。
答案4
像 DeepFreeze 这样的软件是万无一失的方法。不过我不确定这种软件需要多少管理。还有其他方法 - 最简单、最不干涉的方法是不要让他们成为本地管理员,正如 Zoredache 提到的。这样他们可以安装一些东西,但不能安装太多。