我在一家高度分散的基于 IT 的咨询公司工作,该公司在任何给定时间在不同的客户站点拥有大约 150 名现场用户。随着我们的成长,我们需要能够远程禁用用户对公司笔记本电脑的访问。一旦他的帐户在 Active Directory 中被禁用,是否有什么东西会阻止该用户登录他的笔记本电脑。正如向我解释的那样,答案基本上是“直到与 AD 建立通信”。通过 VPN 或他们来到我们的主要分支机构之一。这个对吗?是否有任何第三方应用程序可以促进这一点?我个人无法解决在没有活动网络连接的最低要求的情况下可以做到这一点的情况。
AskOverflow.Dev
当有人辞职或被解雇时,我们的远程、在家工作的员工也遇到了同样的问题。
我们的解决方案基本上假设由于他们可以物理访问笔记本电脑,因此尝试远程禁用他们的帐户是没有意义的(一张简单的引导 CD 可以再次访问硬盘驱动器)。相反,我们只是删除了对我们网络的所有远程访问(VPN、AD 帐户),这样他们就无法再访问受保护的资源。
我们公司内部也遇到过类似的情况。
你基本上有两个选择:
显然,第二个选项确实需要一些准备,而您的问题听起来好像您没有该选项。
您完全关闭了 Windows 中的密码缓存,但这将要求他们能够在登录之前访问网络。
关闭密码缓存..
将所有内容安装在加密分区上,该分区必须以经过身份验证的方式通过网络访问密钥,从而使分区可读。这在事后当然会很复杂。
然后,您可以随时撤销对这个 ey 的身份验证,或者只是阻止该请求。
我猜想远程人员需要尽快被拒绝访问公司和/或客户文件,这表明信任系统中的某些东西已经崩溃。由于这些是 IT 顾问,我希望他们至少知道他们可以完全访问计算机的许多方法中的一些。如果他们不能信任计算机上的信息,我建议他们也不能被信任为优秀的男孩和女孩,而不是简单地破解系统,这使得整个练习变得毫无意义。
计算机访问的黄金法则:可以物理访问计算机的人可能可以访问所述计算机上的内容。在这种情况下,加密驱动器是您唯一的希望。
最简洁的答案是不。” 原因是,如果没有与您身边的某种接口通信来告诉计算机用户状态发生了变化,计算机就不知道要执行该操作。尽管如此,正如 John Gardeniers 指出的那样,如果他们有物理访问权限,他们仍然可以潜在地访问计算机的内容。Microsoft 列表中的安全规则之一是适当的……(意译)“如果我可以物理访问您的计算机,它就不再是您的计算机了。”
如果用户具有管理权限,一种常见的技术就是简单地创建一个本地用户帐户。如果他们没有管理员权限,仍然有一些技术可以将权限提升到管理级别的用户,然后创建后续的用户帐户。然后绕过所有其他停止访问的技术。这说明了安全原则。