我想知道我可以设置哪些策略,以阻止在服务器2003域环境中发生任何安装? 我有2003 RC2和XP专业版客户端。
我想快速简单的方法是让所有的客人,但这也阻止他们可能需要做/访问的其他事情。 我看到了很多想法,但是他们并没有完全阻止一切。 我知道那里可能没有解决所有问题,但希望尽可能接近。
谢谢你们,
删除本地pipe理员权限,删除本地高级用户,使用sysinternals软件花费几个小时来debugging蹩脚的和架构不良的软件,并使用sysinternals软件手动解决访问问题。
为主目录,configuration文件等设置软件共享,并将select的子目录(如我的文档)redirect到networking共享。 然后使用诸如Faronics Deep Freeze之类的软件在每次重新启动后将计算机“重置”回原始状态。
我认为他们也有可以将可执行文件白名单的软件,但是如果你有大量的系统需要注意,那么build立和维护将是一件很痛苦的事情。
获取没有CD驱动器的系统,并使用便携式USB驱动器安装软件。
让人力资源部门支持政策,明确什么是允许的,什么是不是系统的,他们是公司财产,而且他们没有对隐私的期望。
使用过滤软件来监控networking使用,如果需要的话可以阻止下载。
你想得到多严厉的?
您还可以使用系统的映像,并定期将计算机重新映像为干净的状态。 尽pipe如此,仍然需要维护,因为一个月的图像需要一个月的安装补丁,加上用户仍然需要自己的数据在服务器上占用,或者如果他们设法“意外”保存本地东西你是会听到抱怨。
您需要检查自己的政策,并将可用性与PITA的多less进行比较,以便让员工完成工作,以及让员工感受到多么悲惨,如果雇主期望从员工,同时也不会赋予他们任何赋予权力或自由的感觉……那些感觉到脚背和眼睛盯着他们肩膀的员工有着奇妙的创造性,让你的生活变得更加悲惨,他们也不会如果觉得合理的话,至less感觉不好。
答案是阻止他们成为pipe理员。 如果你不愿意这样做,那么他们总是会有办法绕过你所做的任何事情。
你的第一步将是从业务中获得支持,实际上允许你做这样的事情。 即使在巨大的企业安全环境中,我也看到高pipe们不愿意设立专门的白名单。 之后,您应该查看软件限制策略 。
这允许您允许或阻止软件基于:
哈希,证书,path和Internet区域。
软件限制不适用的地方是:
驱动程序或其他内核模式软件。
任何由SYSTEM帐户运行的程序。
Microsoft Office 2000或Office XP文档中的macros。
为公共语言运行库编写的程序。
对于CLRlocking,您应该使用CASPOL。
设置步骤是build立一个testing机器并开始locking策略。 pipe理员权限对此类限制没有影响(除非您select查看链接了解详细信息)。 一旦你locking了基于regualr和CLR的软件,唯一真正的担心就是java。
他们将始终能够“安装”不需要pipe理员访问的软件。 许多软件不需要写入Program Files文件夹或进行任何系统更改。 特别简单的应用程序,只是EXE或“便携式应用程序”。 毕竟,你允许他们运行EXE文件,对吧?
如果他们真的是非pipe理员,并没有编程或修改程序文件或Windows的权利,那么我敢打赌,他们只是运行简单的应用程序。 有一个组策略设置,可以让您将哪些EXE允许列入白名单,但是我会非常小心的使用它,因为它可以使您的所有机器无法运行。