我想阻止人们使用WS2008在PC上安装软件。 我读过一些东西,说我应该在软件限制政策下改变安全级别。 但是,当我把它从不受限制地设置为基本的时候,用户PC上的一些程序就不能工作了。 如何使这些程序的例外工作?
有些技术措施可以使用户在Windows PC上安装软件变得更加困难(我将在后面提到)。 然而,这是一个纪律问题,而不是技术问题,可能通过政策和纪律处理得到更好的处理 – 因为一些聪明的人总是会find一种方法来摆脱你的限制,除非他们认为自己的行为会产生重大的后果。
我猜你是公司的ITpipe理员。 我会向pipe理层提出这样一个商业案例:在机器上安装未经授权的软件的用户不仅仅是一个技术问题,而是一个法律和财务风险 – 并且让他们采取惩罚措施。 然后只是偶尔进行审计,如果发现未经授权的软件,就开始进行纪律处分 – 口头警告,书面警告等。一旦有足够的痛苦与避开政策,人们就会自行停止行为。
在Windows XP上,调整软件作为受限用户而非pipe理软件是非常困难的–Windows Vista和7在这方面已经取得了一些进展,因此升级PC将会有所帮助。 告诉您需要授予什么权限的最佳方法之一是运行“ 进程监视器”这样的工具,它将向您显示程序尝试访问哪些内容以及由于版权问题而失败,并且您可以授予权限。
这可能是非常乏味的,所以我也会推荐一些其他更less的pipe理密集的方式来使得安装未经授权的软件更加困难 – 虽然这些方法会显着地使用户恼火,并且偶尔会妨碍正常的操作,这也是为什么采用纪律处分方法的原因:
@ BorkBlatt的答案相当不错,涵盖了几个基地。 如果你想要一个全面的预防解决scheme,有像Deep Freeze这样的应用程序。 您可以configuration机器的configuration方式,“冻结”机器,无论发生什么变化,机器在重新启动时都会恢复到“冻结”状态。
换句话说,您可以删除Windows子目录,并在重新启动时重新显示该目录。
不过,这带来了自己的pipe理开销。 您需要使用pipe理工具来创build一个维护窗口(假设Windows更新将可靠地为您工作),尽pipe使用Windows 7在重新启动时安装某些东西的新方法,我们发现这是一个坏主意。 否则,您需要手动更新系统。 如果您坚持在客户机上运行防病毒软件,防病毒技术会非常棘手,因为重新启动时会刷新更新的签名,但是另一方面,在重新启动时,系统中的任何感染都会被清除。
如果您使用DF,您的用户可以使用“解冻空间”(本地驱动器上的另一个驱动器号)或networking映射的驱动器作为永久存储,并且他们的漫游configuration文件将(或应该)保留其桌面/应用程序设置。 基本上他们可以安装的唯一的应用程序将是他们的本地configuration文件或映射的驱动器,但依赖于将文件粘贴到任何Windows目录中的更改可以在启动时擦除。 如果他们坚持安装软件,他们会发现自己每次都会重新安装软件,所以这是不值得的。
哦,并且使用Deep Freeze时,您需要禁用定期更改工作站ID的Active Directory设置。 否则你的工作站“脱落”的领域。
我也build议您查看您的用户真正需要访问的内容。 使用最less权限的原则 – 如果他们不需要超过普通用户的访问权限,就不要给他们。 不要让人们以pipe理员身份运行。 当程序抱怨无法读取/写入特定的registry项或目录时,使用Sysinternals工具套件为特定子目录授予最小权限。
白名单允许的可执行文件比Deep Freeze更深,在我看来,除非你很less改变你正在运行的程序。 有像LanSweeper这样的程序会监视你的networking,并给你列出哪些软件被注册为已安装,所以你可以通过这种方式审计软件。
应该进来一步
最重要的是不。 1
在我的公司,每一个新员工都将首先接受ICT的归纳。 他们会在那里学习,什么可以&不能。