我在一家帮助智障人士的组织工作。他们所有人都在我们的 AD 中拥有用户帐户。
客户端计算机运行 Windows 7 和 8.1,服务器是 Win2k8R2。
最近,我们发现一些用户正在下载不需要的文件,例如 .mp3 和 .flac 文件。有时,这些文件被存档为 .rar 或其他存档格式。
我现在正在寻找一个可以帮助我们预防或至少在下载完成后立即扫描文件中是否存在不需要的文件的程序。
我很确定通过 GPO 解决这个问题会非常困难,因为我们不仅使用 IE,还使用 Chrome 和 Firefox。
你们当中有人知道如何实现这一目标吗?
谨致问候/里卡德
答案1
典型的技术方法是安装一个HTTP 代理服务器您在哪里实施下载限制/政策。
然后,您可以使用 GPO 强制使用代理服务器(假设您的计算机都是 AD 域成员),并且在下一阶段您在网关/防火墙上阻止直接互联网访问。
通常情况下,在技术实施之前,您需要同意互联网使用政策(SANS 模板)与管理层和用户沟通,因为人们可能会(理所当然地)抱怨“监控互联网访问”可能带来的隐私问题。
答案2
这取决于用户如何使用相关工作站——它们是用来保存文件的,还是只是普通工作站?问题是你不希望它们听音乐,还是它们会随音乐下载病毒?(我也不知道你的预算。)
根据此情况,我可能会使用多种方法。
- 代理服务器,HBrujin 和 Benjamin Dénécé 对此进行了很好的介绍。有开源和付费两种选择。这应该是第一道防线。
- 某些防病毒程序会阻止下载具有某些扩展名的文件 - 也许您的程序就是其中之一?(您的 AV 是否有集中管理控制台?)
- 禁止常见的解压程序、iTunes 等的软件限制组策略。
- 通过组策略阻止 USB 驱动器(以阻止它们从家里带来音乐、视频和病毒)。
- 如果他们根本不应该在工作站上保存材料,那么像深度冻结或者竞争对手可能会提供帮助。(如果您选择这种方式,您可能需要允许 USB 驱动器为他们提供保存文件的合法位置。)
祝你好运!
答案3
我现在正在寻找一个可以帮助我们预防或至少在下载完成后立即扫描文件中是否存在不需要的文件的程序。
从下一代防火墙开始
安装 UNTANGLE 作为路由器。有了它,您可以防止下载带有 mp3、mov 等扩展名的文件。此外,您还可以设置 MIME 扫描来阻止带有虚假扩展名的文件。
您可以设置各种网络事件的日志记录和电子邮件事件警报。
我很确定通过 GPO 很难解决这个问题
无法通过 gpo 在本地硬盘上设置文件筛选。您可以使用 ad 和 gpo 执行的一件事是,防止在本地磁盘上存储任何数据,并将用户重定向到网络共享,您可以在其中使用文件服务器资源管理器在 Windows Server 上设置文件筛选,并有效地停止保存特定文件类型。
另一个想法是运行简单的批处理文件,它将定期扫描硬盘并删除所有具有指定扩展名的文件。
答案4
我认为从长远来看,Watchguard 或 Sonicwall 等 UTM 设备会是一种更便宜的选择,而不是花费大量时间尝试让组策略处理互联网流量。坚持使用专门为此工作而制造的设备...