这是我最后一次尝试解决这个问题。如果我能解决的话。
有什么方法可以阻止用户在计算机上安装程序?我们将运行 Server 2016。我尝试拒绝他们的本地管理员权限(我成功做到了)。但是,无济于事。我还尝试强制程序以提升的权限运行,但同样无济于事。
我该怎么做?这可能吗?
我将非常感激所有能得到的帮助。
答案1
假设您要使用域并使用 GPO,那么推荐的路径(虽然很麻烦,但由于您是从头开始,因此实现起来要容易得多)是软件限制策略。这还具有有效预防恶意软件/勒索软件的额外好处。
https://technet.microsoft.com/en-us/library/hh831534(v=ws.11).aspx
软件限制策略 (SRP) 是基于组策略的功能,可识别域中计算机上运行的软件程序,并控制这些程序的运行能力。软件限制策略是 Microsoft 安全和管理策略的一部分,旨在帮助企业提高其计算机的可靠性、完整性和可管理性。
您还可以使用软件限制策略为计算机创建高度受限的配置,在该配置中,您只允许特定标识的应用程序运行。软件限制策略与 Microsoft Active Directory 和组策略集成。您还可以在独立计算机上创建软件限制策略。软件限制策略是信任策略,是由管理员设置的规则,用于限制不完全受信任的脚本和其他代码的运行。
答案2
继 TheCleaner 提出的软件限制策略之后,微软又发布了一个更“硬核”的版本,称为 AppLocker。
https://technet.microsoft.com/en-us/library/ee424367(v=ws.10).aspx
AppLocker 是 Windows Server 2008 R2 和 Windows 7 中的一项新功能,它改进了软件限制策略的特性和功能。AppLocker 包含新功能和扩展,允许您创建规则以根据文件的唯一标识允许或拒绝应用程序运行,并指定哪些用户或组可以运行这些应用程序。使用 AppLocker,您可以:控制以下类型的应用程序:可执行文件(.exe 和 .com)、脚本(.js、.ps1、.vbs、.cmd 和 .bat)、Windows 安装程序文件(.msi 和 .msp)和 DLL 文件(.dll 和 .ocx)。
根据从数字签名派生的文件属性定义规则,包括发布者、产品名称、文件名和文件版本。例如,您可以根据通过更新而保持不变的发布者属性创建规则,也可以为文件的特定版本创建规则。
将规则分配给安全组或单个用户。
创建规则例外。例如,您可以创建一条规则,允许除注册表编辑器 (Regedit.exe) 之外的所有 Windows 进程运行。
使用仅审核模式来部署策略,并在执行之前了解其影响。
导入和导出规则。导入和导出会影响整个策略。例如,如果您导出策略,则所有规则集合中的所有规则都会被导出,包括规则集合的强制设置。如果您导入策略,现有策略中的所有条件都将被覆盖。
使用 Windows PowerShell cmdlet 简化 AppLocker 规则的创建和管理。
AppLocker 可减少由于用户运行未经批准的应用程序而导致的技术支持呼叫次数,从而帮助减少管理开销并降低组织管理计算资源的成本。
请注意,AppLocker 策略是机器启动时首先要处理的事情,如果这样配置,甚至能够阻止所需的系统 dll/exe,这将阻止 Windows 实际启动,因此请确保彻底测试它。
答案3
有几种方法可以做到这一点,但大多数方法都可以真正锁定系统。
如果您在服务器上实施组策略,请将受限用户添加到将受到限制的组中。在 GP 编辑器中,几乎每个参数都可用于阻止用户执行某些操作。包括使用 USB 驱动器,您可以在某个帐户登录时禁用它们。不用说,您需要一些时间来找到、限制和测试所有功能。这很乏味,但却是实现目标的首选方法。
您可能能够在网上搜索一些脚本来实现这一点,或者搜索专门从事 GP 的人。我曾用它来限制浏览器访问、从 CD 加载应用程序、从开始按钮删除 dos 提示符等。所有绕过安全性的方法。不同硬件和操作系统的 PC 也可能需要不同的 GP 配置。
祝你好运,通常需要一个拥有充足 IT 预算的组织才能充分利用这一强大的功能。
我不愿意这么说,但根据我的经验,一种有效且成本较低的方法是开除某人以示警示。但要想有效,就需要对已安装的软件进行持续审核,而且在很多电脑上,这可能需要一些时间。