如何防止在Windows PC上未经授权安装软件？

Question

我想阻止人们使用WS2008在他们的电脑上安装软件。我读过一些东西，它说我应该在软件限制策略下改变安全级别。但是当我把它从不受限制的设置到基本的时候，我的用户电脑上的一些程序不再工作了。如何使这些程序正常工作？

Answer 1

您可以采取一些技术措施，使用户在Windows上安装软件变得更加困难(我将在最后提到这一点)。然而，这是一个纪律问题，而不是技术性问题，最好通过政策和纪律程序来处理--因为一些聪明的人总会想办法避开你的限制--除非他们认为他们的行为会产生重大后果。

我猜你是一家公司的IT管理员。我会向管理层说明，用户在机器上安装未经授权的软件不仅是一个技术问题，也是一个法律和财务风险--并要求他们采取纪律措施。然后只是偶尔进行审计，如果发现了未经授权的软件，就开始纪律程序--口头警告、书面警告等等。一旦与规避政策相关的痛苦足够多，人们就会自己停止这种行为。

在Windows上，将软件调整为受限用户而不是管理用户是非常困难的-- Windows和7在这方面已经取得了一些进展，因此升级PC会有所帮助。告诉您需要授予什么样的权限的最好方法之一是运行一个像过程监视器这样的工具，它将向您显示程序正试图访问什么并且由于权限问题而失败，并且您可以授予权限。

这可能非常繁琐，因此我还将推荐其他一些管理强度较低的方法，以使安装未经授权的软件更加困难--尽管这些方法会极大地惹恼用户，有时还会妨碍正常操作，这就是为什么使用纪律方法是首选的：

• 禁用对USB驱动器的访问
• 从PC机上删除光驱-所有软件都必须来自网络或USB
• web代理服务器上可执行文件和.ZIP (和其他存档格式)的块下载
• 邮件服务器上的块可执行文件和档案
• 使用软件限制策略 (根据您的问题) 这里的简单教程

Answer 2

@BorkBlatt的回答非常好，涵盖了几个基础。如果你想要一个全面的预防解决方案，就有像深度冻结这样的应用程序。您配置机器的方式是如何配置它，“冻结”它，不管发生了什么变化，机器在重新启动时都会恢复到“冻结”状态。

换句话说，您可以删除Windows子目录，并在重新启动时重新显示该目录。

不过，这也带来了自身的管理开销。您需要使用管理工具来创建维护窗口(假设Windows更新将可靠地为您工作)，尽管Windows 7's在重新启动时安装某些东西的新方法，我们发现这是个坏主意。否则，您需要手动更新系统。如果您坚持在客户端机器上运行它们，那么杀毒是很棘手的，因为更新的签名在重新启动时会被删除，但是另一方面，系统中的任何感染在重新启动时也会被清除。

如果您使用DF，用户可以使用“解冻空间”(本地驱动器上的另一个驱动器号)或网络映射驱动器进行持久存储，并且他们的漫游配置文件将(或应该)保留他们的桌面/应用程序设置。基本上，他们可以安装的应用程序只有本地配置文件或映射驱动器，但是依赖于将文件粘贴到任何Windows目录的更改可以在启动时删除。如果他们坚持安装软件，他们会发现自己每次重新安装它，通常，所以这是不值得的。

哦，对于深度冻结，您将需要禁用Active Directory设置，该设置定期更改工作站ID。否则，您的工作站将“从”域“脱落”。

我还建议审查您的用户真正需要访问的内容。使用最小权限的原则--如果他们不需要比普通用户更多的访问权限，就不要给他们。不要让人们以管理员的身份运行。当程序抱怨无法读取/写入特定的注册表项或目录时，可以使用Sysinternals工具套件向特定子目录授予最低权限。

在我看来，白名单允许的可执行文件比深度冻结要激烈得多，除非你很少，如果有的话，改变你正在运行的程序。有些像LanSweeper这样的程序可以监视您的网络，并给出注册为已安装软件的列表，这样您就可以通过这种方式对软件进行审核。

Answer 3

步调一致

1. 纪律/公司信通技术政策
2. 只允许普通用户访问登录(windows)
3. 禁用usb驱动器/光驱。(大多数银行和大公司都这么做)
4. 禁用http代理和电子邮件服务器中的exe和zip下载。

最重要的是第一。

在我的公司，每一位新员工都将首先接受ICT的上岗培训。他们会在那里学习，什么能学，什么不能学。