有哪些好方法可以保护员工机器免受使用它们的员工的伤害?我正在寻找完全无缝的东西,用户不会注意到......不会妨碍机器性能并允许用户读/写访问我的文档、他/她的桌面和几个程序文件中的文件夹。
我目前的设置运行良好,但有一些我并不疯狂:
我已经在员工机器上对驱动器进行了分区,并将所有静态文件夹存储在 D 分区上。C 分区受 Windows Steadystate 保护(仅限磁盘保护,尚无限制),并在每次重新启动时恢复。
正如我所说,这行得通,但有没有更简单的方法?过去,我们在最糟糕的时候因恶意软件而丢失了一些关键的员工机器。
这真的很简单:不要给用户“管理员”权限,你就可以保持 95% 的清洁、快乐的机器。
在 Windows XP 或更早版本下也不要给他们“高级用户”,因为这实际上与“管理员”相同(从“高级用户”进入“管理员”非常非常容易)。
对于 Microsoft Office,没有“管理员”权限不会有问题。对于任何带有“专为 Windows XP 设计”或更新的徽标标语牌的应用程序来说,这应该不是问题(因为作为受限用户运行是徽标要求的一部分)。您有责任确保其他应用程序正常运行,但在确保应用程序正常运行与稍后清理被报废的 PC 之间进行权衡是值得的。也有一些工具可以帮助你。一个很棒的是 Aaron Margosis “LUA Buglight”(参见http://nonadmin.editme.com/LUABuglight)。
如果您发现需要应用安全权限更改才能使某些程序运行,请查看使用组策略的文件系统安全设置来完成您的脏活(假设您在 AD 域上)。然后,至少,您可以了解哪些权限需要设置一次,并让组策略始终如一地在新计算机上为您重新应用它们。
如果您还没有这样做,请将用户数据从 PC 上移到服务器计算机上。查看使用“文件夹重定向”和漫游用户配置文件来帮助您解决此问题(再次假设您在 AD 域上)。理想情况下,PC 应该足够无状态,以便用户可以起床、登录到另一台 PC 并拥有所有可用的数据文件。(可用的应用程序软件是另一回事,但也有一个关于软件安装策略的“故事”。)我不会在这里对这些项目进行大型链接盛会,只是为了让这个答案有点切题.
如果您真的想阻止不需要的第三方软件,同时让用户远离“管理员”权限,您可以考虑使用“软件限制策略”(请参阅 http://technet.microsoft.com/en-us/library/bb457006 .aspx和http://technet.microsoft.com/en-us/library/cc782792(WS.10).aspx )。有了软件限制策略,非管理员用户就不能在允许的路径(或基于数字签名)之外执行代码。像谷歌浏览器这样安装在每个用户位置的东西(以及类似的恶意软件)甚至都无法运行。这是一个很棒的功能,并且可以说是最未被充分利用的功能之一。
您还可以考虑将他们的“我的文档”和其他文件夹重定向到网络位置,这样您就不必弄乱您的分区方案,并且可以简单地稳定整个磁盘。
http://technet.microsoft.com/en-us/library/cc977970.aspx
还可以考虑使用 Bluecoat 代理服务器等产品来保护您的 Internet 流量免受恶意站点的攻击。该代理不仅可以在 Web 网关上使用 AV 保护进行签名,还可以使用 websense 样式类别过滤来阻止站点,以阻止对已知恶意软件站点的访问。
保护机器免受员工侵害的最佳方法是严格的权限锁定,并确保您不会像糖果一样行使管理权。如果他们需要使用 NEAR 管理员权限做某事,请将他们分配给超级用户组。确保您的防病毒解决方案是最新的并且也在运行。
确保您的病毒扫描程序配置为扫描任何插入计算机的可移动设备。我有一个供应商给了我们一张上面有 Conficker 的 SD 卡,因为他们显然在他们的组织中的防病毒策略很差。令人惊讶的是,这来自与我们有业务往来的最大公司,一家收入超过 1000 亿美元、拥有 300,000 名员工的公司。