问题:
我们有一个网站,其中有Windows 2000和Windows XP机器的混合。 这些帐户目前拥有可以安装授权/未授权软件的具有pipe理权限的用户帐户。 我们想限制这样的活动,
我正在寻找一种方法来实现这个使用任何MS或第三方工具。 所有的build议都欢迎。
编辑:鉴于这些挑战,会有什么build议?
如果你真的需要这样做(…),你会想研究窗口的软件限制策略: http : //technet.microsoft.com/en-us/library/bb457006.aspx
[开始咆哮]
虽然说实话,但看起来好像很多工作是因为IMO似乎是特别容易绕行的,因为用户在最后(正如您指出的那样)有无限制的访问权限 。
[结束咆哮]
无论如何,这里有一些来自该链接的信息:
软件限制政策是微软安全和pipe理战略的一部分,旨在帮助企业提高计算机的可靠性,完整性和可pipe理性。 软件限制策略是Windows XP和Windows Server 2003中许多新的pipe理function之一。
本文深入介绍了软件限制策略如何用于:
- 打击病毒
- 规定可以下载哪些ActiveX控件
- 只运行数字签名的脚本
- 强制只有经认可的软件安装在系统计算机上
- locking一台机器
用户可以安装/卸载预先批准的软件列表。
我认为Windows在“组策略”中有“软件限制策略”。
用户可以不受限制地访问所有其他系统资源(除软件安装外的所有pipe理权限)。
这距离安装任何软件只有10分钟的距离。 (实际上,对于所有可用软件的很大一部分,您不需要安装任何东西 – 只需解压并双击.exe)
试图限制pipe理员是一个非常糟糕的主意。
使用SRP 。 使用hashtags选项只允许您希望他们能够安装和运行的软件。 我也会考虑把他们从pipe理员那里删除,并把这些帐户放入高级用户。 对于不想退出pipe理员组的人员,我会特别小心,允许他们运行什么。