保护员工机器和使用员工机器的人员有哪些好方法? 我正在寻找完全无缝的东西,用户不会注意到…一些不会妨碍机器的性能,并允许用户读/写我的文档,他/她的桌面,以及一些程序文件中的文件夹。
我目前的设置运行良好,但有一些关于它我不是疯了:
我已经在员工机器上分区了驱动器,并将所有静态文件夹存储在D分区上。 C分区受Windows Steadystate(仅限磁盘保护,没有限制)保护,并在每次重新启动时恢复。
正如我所说,这是有效的,但有一个更简单的方法? 过去我们已经在恶劣的时候丢失了一些关键的人员机器来恶意软件。
这真的很简单:不要给用户“pipe理员”的权利,你是95%的方式来保持干净,快乐的机器。
不要在Windows XP或更早的版本中给他们“高级用户”,因为这与“pipe理员”实际上是一样的(从“高级用户”到“pipe理员”非常非常容易)。
没有“pipe理员”权限将是没有问题的Microsoft Office。 对于任何具有“Designed for Windows XP”或更新的徽标标牌的应用程序(作为有限用户运行是徽标要求的一部分),这不应该是一个问题。 您有责任确保其他应用程序正常运行,但是在您确定应用程序正常运行而不是清理已经耗尽的PC的情况下,需要权衡您的时间。 有些工具也可以帮助你。 Aaron Margosis“LUA Buglight”(见http://nonadmin.editme.com/LUABuglight )就是一个很好的例子。
如果您发现需要应用安全权限更改才能使某些程序正常工作,请查看使用组策略的文件系统安全设置来执行您的肮脏工作(假设您在AD域中)。 然后,至less,您可以了解哪些权限需要设置一次,并使组策略始终在新计算机上重新应用它们。
如果您还没有这样做,请将用户数据从个人电脑中取出并放到服务器计算机上。 看看使用“文件夹redirect”和漫游用户configuration文件来帮助你(假设,再次,你在一个AD域)。 理想情况下,电脑应该是无国籍的,用户可以起床,login到另一台电脑,并获得所有数据文件。 (可用的应用软件是另外一回事,但也有一个关于软件安装策略的故事)。我不会在这里与这些项目进行大的联系,只是为了保持这个答案在主题上。
如果您确实想要阻止不需要的第三方软件,并将“pipe理员”权限与用户分开,则可以考虑使用“软件限制策略”(请参阅http://technet.microsoft.com/zh-cn/library/bb457006 .aspx和http://technet.microsoft.com/en-us/library/cc782792(WS.10).aspx )。 使用软件限制策略时,非pipe理员用户不能在允许的path之外执行代码(或基于数字签名)。 像Google Chrome这样的安装在每个用户位置(以及这种恶意软件)的东西甚至都不会起作用。 这是一个很棒的function,可以说是最不利用的function之一。
您也可以考虑将其“我的文档”和其他文件夹redirect到networking位置,这样您就不必乱用分区scheme,只需简单地稳定整个磁盘即可。
http://technet.microsoft.com/en-us/library/cc977970.aspx
还要考虑使用像Bluecoat代理服务器这样的产品来保护您的互联网stream量免受恶意网站的侵害。 该代理不仅可以在Web网关上使用AV保护进行签名,还可以使用Websense样式类别过滤来阻止网站访问已知恶意软件站点。
保护机器不受员工伤害的最佳方法是严格的权限locking,并确保您不会像糖果一样使用pipe理权限。 如果他们需要使用NEARpipe理员权限,请将其分配给高级用户组。 确保您的防病毒解决scheme是最新的并且正在运行。
确保您的病毒扫描程序已configuration为扫描插入计算机的任何可移动设备。 我有一个供应商给我们一个带有Conficker的SD卡,因为他们的组织显然有不好的防病毒策略。 令人惊讶的是,这是来自我们开展业务的最大的公司,这家公司拥有超过1000亿美元的收入和30万名员工。