我们有一个 Windows (7 pro) 工作站 LAN,通过组策略进行管理。我们的许多用户都使用 Dropbox。除了安全问题之外,我们的一位网络管理员表示,我们的路由器/防火墙正在处理和阻止大量 UDP 广播流量,他们希望停止这种情况。我们跟踪了 Dropbox 的 LAN 同步功能的流量。
我们网络上的大多数用户都不使用 LAN Sync(他们在网络上只有一个工作站),但似乎几乎每个使用 Dropbox 的人都打开了它。
有没有办法集中禁用 Dropbox 的 LAN Sync,适用于 GPO 管理的 LAN 中的所有 Windows 工作站?
解决方案不必像真正的 GPO 那样精致和基于状态;它可以像计划任务一样简单,每天在所有工作站上运行某些程序以禁用 LAN Sync。哎呀,解决方案甚至不必是 GPO——我们可以使用 PS_EXEC 将程序从域控制器推送到工作站。我只是希望避免手动重新配置所有用户的 Dropbox 应用程序。用户是本地管理员,因此如果他们真的想打开 LAN Sync,他们可以。
另外:让管理层同意禁止/删除 Dropbox 或用户的管理员权限的可能性几乎为零。
我尝试过的:
最初,我以为会有一个可通过 GPO 管理的注册表项。结果却不是这样;Dropbox 将其所有配置保存在 SQLite 文件中。
然后我尝试使用这个脚本修改 SQLite 文件,但 Dropbox 的新版本似乎没有可外部修改的配置。
答案1
一个替代方案是在 Widows 防火墙中创建一条规则,阻止到您在组策略中看到的端口范围的出站流量(甚至阻止来自创建流量的实际程序的出站流量)。这将减轻网络设备的负载。
在 Windows 7、Windows Vista、Windows Server 2008 或 Windows Server 2008 R2 上创建出站端口规则
这可能/也应该导致 DropBox 本身禁用 LAN Sync(基于DropBox LAN Sync 帮助页面):
如果 Dropbox 检测到防火墙阻止访问您的 LAN,它将自动关闭 Dropbox 偏好设置中的 LAN 同步。
答案2
创建 GPO 以阻止 dropbox.exe 文件打开。
用户配置 > 策略 > 管理模板 > 系统 > 策略 > 不要运行指定的 Windows 应用程序。
我们还使用此功能来阻止特定部门的许多即时通讯应用程序。