我想阻止人们使用 WS2008 在他们的 PC 上安装软件。我读过一些文章,上面说我应该在软件限制策略下更改安全级别。但是当我将其从不受限制设置为基本时,我用户 PC 上的某些程序不再运行。如何设置例外以使这些程序正常运行?
答案1
你可以采取一些技术手段,让用户更难在 Windows PC 上安装软件(我将在最后提到)。但是,这是一个纪律问题,而不是技术问题,通过政策和纪律流程来处理可能更好——因为总有一些聪明人会找到办法绕过你的限制——除非他们认为自己的行为会带来严重后果。
我猜你是一家公司的 IT 管理员。我会向管理层提出商业案例,即用户在机器上安装未经授权的软件不仅是技术问题,而且是法律和财务风险 - 并让他们采取纪律措施。然后只是偶尔进行审计,如果发现未经授权的软件,就开始纪律处分程序 - 口头警告、书面警告等。一旦规避政策带来的痛苦足够多,人们就会自行停止这种行为。
在 Windows XP 上,调整软件以作为受限用户而不是管理用户运行可能极其困难 - Windows Vista 和 7 在这方面取得了一些进展,因此升级 PC 将有所帮助。了解您需要授予哪些权限的最佳方法之一是运行类似进程监控,它将准确地向您显示程序试图访问的内容以及由于权限问题而失败的内容,并且您可以授予权限。
这可能非常繁琐,因此我还会推荐一些其他不需要太多管理的方法来使安装未经授权的软件变得更加困难 - 尽管这些方法会严重惹恼用户,并且有时会妨碍正常操作,这就是为什么更喜欢采用纪律方法的原因:
- 禁用对 USB 驱动器的访问
- 从电脑上移除光驱——所有软件都必须来自网络或 USB
- 阻止在 Web 代理服务器上下载可执行文件和 .ZIP(以及其他存档格式)
- 阻止邮件服务器上的可执行文件和存档
- 使用软件限制策略(根据您的问题)这里有更简单的教程
答案2
@BorkBlatt 的回答非常好,涵盖了多个方面。如果你想要一个全面的预防解决方案,可以使用像 Deep Freeze 这样的应用程序。你可以按照自己的意愿配置机器,然后“冻结”它,无论更改了什么,机器都会在重新启动时恢复到“冻结”状态。
换句话说,您可以删除 Windows 子目录,当您重新启动时该目录会重新出现。
不过,这会带来自身的管理开销。您需要使用管理工具来创建维护窗口(假设 Windows 更新可以可靠地为您工作),尽管我们发现 Windows 7 在重启时安装某些东西的新方法不是一个好主意。否则,您需要手动更新系统。如果您坚持在客户端计算机上运行防病毒软件,那么它们会很棘手,因为更新的签名会在重启时被清除,但另一方面,系统中的任何感染也会在重启时被清除。
如果您使用 DF,您的用户可以使用“解冻空间”(本地驱动器上的另一个驱动器号)或网络映射驱动器进行持久存储,并且他们的漫游配置文件将(或应该)保留他们的桌面/应用程序设置。基本上,他们可以安装的唯一应用程序是他们的本地配置文件或映射驱动器,但依赖于将文件粘贴到任何 Windows 目录中的更改可以在启动时被删除。如果他们坚持安装软件,他们通常会发现每次都要重新安装,所以这不值得。
哦,使用 Deep Freeze 时,您需要禁用定期更改工作站 ID 的 Active Directory 设置。否则您的工作站将“脱离”域。
我还建议检查一下您的用户真正需要访问哪些内容。使用最小权限原则 - 如果他们不需要任何高于普通用户的访问权限,就不要授予他们。不要让人们以管理员身份运行。当程序抱怨无法读取/写入特定注册表项或目录时,使用 Sysinternals 工具套件向特定子目录授予最小权限。
我认为,将允许的可执行文件列入白名单比 Deep Freeze 更严格,除非您很少(甚至从来不)更改正在运行的程序。有些程序(如 LanSweeper)会监视您的网络并为您提供已注册为已安装的软件列表,这样您就可以通过这种方式审核软件。
答案3
应同步进行
- 纪律/公司信息和通信技术政策
- 仅限普通用户访问登录(Windows)
- 禁用 USB 驱动器/光盘驱动器。(大多数银行和大公司都这样做)
- 在 http 代理和电子邮件服务器中禁用 exe 和 zip 下载。
最重要的是第一
在我的公司,每个新员工都会先接受 ICT 入职培训。他们将在那里学习什么可以做,什么不可以做。