我是一家公司的管理员,最近我创建了一个 Active Directory,其中 Windows Server 2012 R2 和 Windows 7 计算机作为客户端。我为所有用户设置了禁用 USB 存储的组策略 (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR)。我这样做是因为老板让我这么做。办公室的一个人让我解锁他电脑的 USB,以便他可以传输文件,但我告诉他我不能违抗老板。他告诉我他知道一种启用 USB 端口的方法,但他不能告诉我那是什么。此外,客户端无法访问我的电脑,因为我使用了另一个 GPO,它不允许客户端访问他们的驱动器。我对此感到非常愤怒和焦虑(如果那个人可以启用 USB 存储)。客户端还有其他方法可以访问他的 USB 存储并传输文件吗?最近,我们将他们的旧文件传输到了他们的新电脑中。我不知道是否有人设法传输了 .exe 或类似的东西。任何建议都会有帮助。谢谢
答案1
不用担心,总会有“高级用户”认为他们可以绕过 IT 实施。尤其是在高级职员的要求下。
因此,请尽职尽责,而你对此感到担忧的事实将对你有利。好吧,除了他违反公司政策(如果有的话,通常会受到纪律处分)之外,你还可以做一些事情来确保你的职位。以下组合之一:
- 除非必要,否则不要允许他担任本地管理员。
- 不允许访问 Regmon 应用程序-监视注册表更改
- 不要允许在 Windows 计算机上使用 Regedit32 或 Regedit。这只能由域管理员等使用
- 使用 sophos 之类的程序来禁用某些 exe
- 尝试以某种方式限制它们 - 在 BIOS 设置中禁用机器的 USB
- 使用 sophos 或同等产品仅允许某些类型的硬件连接
这应该可以在一定程度上解决物理方面的问题,但别忘了你还面临着 Dropbox 和类似产品的威胁。所以最好也从政策制定者那里了解一些事情。
- 限制的目的是什么?
- 如果有人违反这一点,会有什么后果(谁该受责备或犯错)
以下链接可供您尝试测试他可能使用的潜在漏洞: https://blogs.technet.microsoft.com/markrussinovich/2005/04/30/circumventing-group-policy-settings/
希望有所帮助。