微剋多資訊

 找回密碼
 註冊

Sign in with google

Google帳號登入

搜索

該用戶從未簽到

升級   76.43%

跳轉到指定樓層
主題
發表於 2019-1-12 10:54 | 只看該作者 回帖獎勵 |倒序瀏覽 |閱讀模式
本帖最後由 ntconjohn 於 2019-1-12 10:57 編輯
各位先進好:
      在禁止安裝特定軟體做法小弟參照網路作法,如 https://kknews.cc/tech/anm3lyn.html

目前想禁止安裝dropbox,迅雷,BITCOMET, EDONKEY, 愛奇異撥放器,搜狗輸入法.等軟體
      參照上述網址作法, 先以搜狗輸入法, 匯出該軟體憑證,



再套用到"新增憑證規則"卻無法 阻止user安裝這軟體(一開始有成功阻擋,但後來不明原因又可執行)







用同樣方式, 下載 dropbox和 迅雷執行檔, 匯出軟體憑證, 新增憑證規則
發現 dropbox和 迅雷也可執行安裝,

不知哪裡出問題(感覺是軟體憑證)


提問


1.以迅雷為例,他經常會更新版本, 想必檔案名稱也會更改, 降數位簽章可能也會變動, 上面這方法用的

規則就必須一直修改,在企業無防火牆無AD無第三方軟體情況下 ,禁止使用者安裝特定軟體做法
是否只有這種方式? 有沒較簡易方式?




2.或是將下載路徑或網頁阻擋, 如 dropbox 下載頁面 https://www.dropbox.com/zh_TW/downloading
                                                   迅雷 下載頁面  https://www.xunlei.com/
將這些LINK 加到  c:windowssystem32driveretchost 直接導到 127.0.0.1 , 不知大家看法如何?謝謝!!












本帖子中包含更多資源

您需要 登入 才可以下載或查看,沒有帳號?註冊

x
樓主熱門主題

簽到天數: 10

該用戶今日未簽到

升級   0%

2F
發表於 2019-1-13 15:48 | 只看該作者
不要用雜湊原則,改用路徑原則來限制呢?另外不考慮建立新的使用者帳號,權限給poweruser或是一般user權限就好(不要給本機管理員的權限)?這樣好像比較能完整限制

補充內容 (2019-1-14 10:03):
,類似這樣的,裡面就用了不少路徑原則

點評

雜湊原則,路徑原則這個沒聽過也沒用過,另使用者必須是administrators,因為有其他應用程式還是要不定時更新!!  發表於 2019-1-13 19:57

使用道具

該用戶從未簽到

升級   50.5%

3F
發表於 2019-1-13 21:48 | 只看該作者
runasspc
不要給管理員權限比較簡單
用這個只給特定軟體有權限,就可以跑更新了

我們公司有些一定要管理員權限才能更新的我都這樣設,雖然麻煩了點,總比亂安裝東西好

點評

感謝您分享,但由於公司禁用第三方軟體,可能要放棄這方法了!!  發表於 2019-1-14 00:33

使用道具

該用戶從未簽到

升級   76.43%

4F
 樓主| 發表於 2019-1-14 23:03 | 只看該作者
vm46_19_1_09@G 發表於 2019-1-13 15:48
不要用雜湊原則,改用路徑原則來限制呢?另外不考慮建立新的使用者帳號,權限給poweruser或是一般user權限 ...

大大您好:
      謝謝,但這個圖看不太懂, 小弟需要功能是, 如果USER去網路下載一個程式,如 Dropbox.exe, 當他要安裝Dropbox.exe時, 系統就將它封鎖, 照您描述這種法要如何達到呢? 麻煩指導下,3QQ!!


使用道具

簽到天數: 10

該用戶今日未簽到

升級   0%

5F
發表於 2019-1-15 00:28 | 只看該作者
ntconjohn 發表於 2019-1-14 23:03
大大您好:
      謝謝,但這個圖看不太懂, 小弟需要功能是, 如果USER去網路下載一個程式,如 Dropbox.exe,  ...

你可以看他在安裝時,中間會產生哪些檔案(如:c:winodws\temp\XXX.exe之類的),或是最後是安裝在c:\program files\XXX 等等路徑,把那些路徑的那些執行檔給設定禁止,這樣即便安裝了,也沒辦法被執行(被 軟體限制原則 給擋掉)



點評

因為有資安軟體稽核,只要user裝禁用軟體就會被開單,目前是希望防堵安裝,而不是防止安裝後之執行!  發表於 2019-1-15 01:03

使用道具

該用戶從未簽到

升級   50.5%

6F
發表於 2019-1-15 08:10 | 只看該作者
本帖最後由 ad6543210 於 2019-1-15 08:12 編輯

主要還是這問題:因為有給管理員權限,其實設定什麼都沒用(Google 一下就會知道自己被啥擋了,要解除很簡單)
不如隨便買一台有防火牆的路由器


軟體限制裡面的強制可以改一下看看
第一條改成全部
第二條因為大家都是管理員,所以選第一個





本帖子中包含更多資源

您需要 登入 才可以下載或查看,沒有帳號?註冊

x

使用道具

該用戶從未簽到

升級   76.43%

7F
 樓主| 發表於 2019-1-15 11:26 | 只看該作者
ad6543210 發表於 2019-1-15 08:10
主要還是這問題:因為有給管理員權限,其實設定什麼都沒用(Google 一下就會知道自己被啥擋了,要解除很簡單 ...

感謝a大,因為是公部門的下級單位, 上層出口有FW,但某下級組織內有人喜歡亂下載東西,FW單位不擋,但又有資安稽核,下級單位主官無奈找小的幫忙,目前朝向將常用軟體之下載網址(domain)放在etc\host  全部指向127.0.0.1,工程浩大...

使用道具

您需要登入後才可以回帖 登入 | 註冊

本版積分規則

小黑屋|Archiver|微剋多資訊(MicroDuo)

GMT+8, 2024-11-23 17:34

Discuz! X

© 2009-2023 Microduo

快速回覆 返回頂部 返回列表