公司天天有人私自装乱七八糟软件,弹窗病毒一堆,最后只能靠ad域控如何禁止用户安装软件从根源锁死权限,之前折腾了好几天才摸透真正能用的办法。
一开始傻乎乎只改了本地电脑权限,以为把管理员密码藏好就万事大吉。结果员工换个绿色解压软件、浏览器插件、网盘附带程序,照样能偷偷装上,域账号看着受限,实际绕过权限特别轻松,后台日志一堆违规安装记录,查都查不过来。
后来才反应过来,单台电脑管控根本没用,域环境里必须全域统一下发策略。先在域控制器里找到软件限制策略,新建对应的规则路径,把常见安装包后缀全部拦截,不管是exe、msi还是压缩包里自带的安装程序,统一不允许运行。刚开始规则设置太死板,连办公必备驱动都被一起拦截,打印机没法连接,财务软件打不开,整个部门办公直接瘫痪。
反复调整白名单才勉强正常,只放行公司认证过的程序路径,其余未知安装文件一律拒绝执行。域内所有终端登录账号,都会自动同步这条策略,不用一台台电脑手动设置,开机登录瞬间就生效。
普通域用户压根看不到策略修改入口,也没办法自己解除限制。就算右键用管理员身份运行,没有域管理员账号密码,照样无法写入系统目录、修改注册表,很多捆绑软件默认需要写入C盘权限,直接就安装失败。
身边同事之前试过只禁用UAC权限,看着管控严格,实际上漏洞特别多。用户拷贝旧版本安装包、用U盘携带绿色版工具,依旧能绕过域限制运行,时间久了电脑卡顿、内网蓝屏、数据泄露问题接连不断。
折腾好久才搞明白,单纯拦截安装文件远远不够。还要在组策略里关闭用户安装权限,禁用Windows Installer服务,禁止普通账号修改系统服务、篡改注册表权限。多层权限叠加之后,不管是正规安装程序,还是绿色免安装解压软件,都没办法随意写入系统磁盘。
域账号分组也要分清,行政、办公、业务账号权限完全分开,管理层保留必要权限,基层员工全部锁定最低使用权限。就算有人想找漏洞破解,域控制器实时同步权限日志,哪台电脑尝试违规安装、什么时候操作的,一眼就能查到。
偶尔还是会出现漏网情况,一些小众绿色工具不用安装就能直接打开,域策略没法百分百拦截这类程序。只能定期更新域规则,清理异常进程,同步更新软件白名单,一点点补齐管控缺口。
下班前最后检查一遍全域策略下发状态,确认所有终端都正常生效,不用再天天盯着员工私自装软件头疼。
第二天一早打开服务器后台,还是零星几台终端权限没有同步到位。