歡迎金融科技工作者積極投稿!
投稿郵箱:
——金融電子化
文 / 華夏銀行青島分行? 王坤
對(duì)于金融行業(yè)辦公PC來(lái)講,私自安裝應(yīng)用軟件和留存辦公資料是終端管理的一個(gè)難點(diǎn),也是一個(gè)痛點(diǎn),本文將詳細(xì)介紹一個(gè)直接有效的管理策略。
禁止用戶私自安裝應(yīng)用軟件
私自安裝應(yīng)用軟件,可能會(huì)導(dǎo)致安裝一些非正版化的軟件或是與工作無(wú)關(guān)的各種軟件。其中軟件正版化作為一種常態(tài)化的工作,也是知識(shí)產(chǎn)權(quán)保護(hù)工作里面的一項(xiàng)重點(diǎn)工作電腦本地組策略編輯器,對(duì)于振興軟件產(chǎn)業(yè)、提高知識(shí)產(chǎn)權(quán)管理水平、政府依法執(zhí)法、履行國(guó)際承諾、推動(dòng)新時(shí)代發(fā)展有著重要的意義。
1.系統(tǒng)的組策略介紹
由于通過(guò)注冊(cè)表進(jìn)行設(shè)置顯得特別繁雜,通過(guò)將系統(tǒng)重要的配置功能設(shè)計(jì)為模塊,即組策略。系統(tǒng)的組策略是管理員為用戶和計(jì)算機(jī)定義并控制程序、網(wǎng)絡(luò)資源及操作系統(tǒng)行為的主要工具。通過(guò)使用組策略可以設(shè)置各種軟件、計(jì)算機(jī)和用戶策略。
打開(kāi)本地組策略編輯器后,會(huì)顯示可以設(shè)置計(jì)算機(jī)策略的功能選項(xiàng)。其中設(shè)置選項(xiàng)是設(shè)置本地系統(tǒng)的管理策略,管理模板選項(xiàng)是組策略管理模板項(xiàng)目提供的策略信息。
(1)常用設(shè)置中的安全設(shè)置。一是密碼策略:密碼策略影響密碼的特征和行為。密碼策略用于域賬戶或本地用戶賬戶,它們確定密碼設(shè)置,如強(qiáng)制和生存期。二是賬戶鎖定策略:賬戶鎖定策略選項(xiàng)在失敗的登錄嘗試次數(shù)后禁用賬戶。使用這些選項(xiàng)可幫助檢測(cè)和阻止破解密碼的嘗試。三是審核策略:審核策略可控制和了解對(duì)象(如文件和文件夾)的訪問(wèn)權(quán)限,以及管理用戶和組賬戶以及用戶登錄和注銷。審核策略可以指定要審核的事件類別,設(shè)置安全日志的大小和行為,并確定要監(jiān)視其訪問(wèn)權(quán)限的對(duì)象以及要監(jiān)視的訪問(wèn)類型。四是用戶權(quán)限分配:用戶權(quán)限通常基于用戶所屬的安全組(如管理員、用戶或超級(jí)用戶)進(jìn)行分配。此類別中的策略設(shè)置通常用于根據(jù)訪問(wèn)和安全組成員身份的方法,授予或拒絕訪問(wèn)計(jì)算機(jī)的權(quán)限。五是安全選項(xiàng):與身份驗(yàn)證相關(guān)的策略包括,設(shè)備、域控制器、域成員、交互式登錄、網(wǎng)絡(luò)服務(wù)器、網(wǎng)絡(luò)訪問(wèn)、網(wǎng)絡(luò)安全、恢復(fù)控制臺(tái)、。六是登錄選項(xiàng):這些策略設(shè)置控制登錄機(jī)會(huì)的使用時(shí)間和方式。
(2)組件中 選項(xiàng)介紹。一是 是操作系統(tǒng)的組件電腦本地組策略編輯器,它可以簡(jiǎn)化應(yīng)用程序的安裝過(guò)程。通過(guò)應(yīng)用安裝過(guò)程期間集中定義的一組安裝規(guī)則, 可以管理應(yīng)用程序的安裝和刪除,還可以使用此項(xiàng)服務(wù)修改、修復(fù)或刪除現(xiàn)有的應(yīng)用程序。 技術(shù)由用于操作系統(tǒng)的 服務(wù)以及包含有關(guān)應(yīng)用程序設(shè)置和安裝信息的程序包(.msi)文件格式組成。
二是 也是可擴(kuò)展的軟件管理系統(tǒng)。 管理軟件組件的安裝、添加和刪除、監(jiān)視文件復(fù)原,及通過(guò)回滾方式維護(hù)基本的故障恢復(fù)。 支持多種來(lái)源安裝和運(yùn)行軟件,且開(kāi)發(fā)人員可自定義 以安裝自定義應(yīng)用程序。
三是 是的主干,也是基于組策略的更改和配置管理技術(shù)的核心組件。通過(guò)使用 技術(shù)、組策略以及更改和配置管理,管理員可批準(zhǔn)特定應(yīng)用程序,指定在這些應(yīng)用程序上的所有配置操作(安裝、刪除、修復(fù))都在本地系統(tǒng)賬戶下運(yùn)行;管理員控制并管理文件系統(tǒng)和注冊(cè)表。而 執(zhí)行用戶啟動(dòng)的軟件安裝,只有管理員批準(zhǔn)的應(yīng)用程序才能以更高特權(quán)運(yùn)行。
四是管理員使用 、 和組策略向企業(yè)內(nèi)部的用戶組或計(jì)算機(jī)組指派和發(fā)布應(yīng)用程序。 是一種安全的、分布式的、分區(qū)的、復(fù)制的目錄服務(wù),用來(lái)提供管理服務(wù)。這些服務(wù)包括企業(yè)內(nèi)部資源定位以及將組策略用于 所管理對(duì)象的標(biāo)準(zhǔn)制定。
五是 有如下功能。安裝失敗后恢復(fù)原始計(jì)算機(jī)狀態(tài): 跟蹤在應(yīng)用程序安裝過(guò)程中對(duì)系統(tǒng)所做的所有更改。如果安裝失敗, 能重新恢復(fù)系統(tǒng),或者使系統(tǒng)返回到初始狀態(tài)。
幫助阻止應(yīng)用程序間沖突: 加強(qiáng)了安裝規(guī)則,這有助于阻止現(xiàn)有應(yīng)用程序在共享資源時(shí)產(chǎn)生沖突。當(dāng)安裝操作更新現(xiàn)有應(yīng)用程序共享的動(dòng)態(tài)鏈接庫(kù)(.dll)時(shí),或某個(gè)操作刪除其他應(yīng)用程序共享的動(dòng)態(tài)鏈接庫(kù)時(shí),會(huì)導(dǎo)致這樣的沖突。
安全地刪除現(xiàn)有程序: 可以安全地卸載以前安裝的任何程序。除被其他已安裝軟件共享使用的內(nèi)容之外,它將刪除所有關(guān)聯(lián)的注冊(cè)表項(xiàng)和應(yīng)用程序文件。并且,成功地安裝應(yīng)用程序之后,可在任何時(shí)候卸載。
診斷和修復(fù)損壞的應(yīng)用程序:應(yīng)用程序可以查詢 ,以確定安裝的應(yīng)用程序是否具有丟失或損壞的文件。如果檢測(cè)到任何丟失或損壞的文件, 通過(guò)重新復(fù)制丟失或損壞的文件修復(fù)該應(yīng)用程序。
支持按照需要安裝應(yīng)用程序的功能:可配置為最初只安裝應(yīng)用程序的最小子集。之后,當(dāng)用戶第一次訪問(wèn)需要其他組件的功能時(shí),將自動(dòng)安裝其他組件,這稱作“公布”。例如, 可以安裝功能最少的 Word。當(dāng)用戶第一次訪問(wèn)郵件合并功能時(shí)(在原始安裝中未包括此功能), 將自動(dòng)安裝郵件合并組件;同樣, 還可以清除應(yīng)用程序中不使用的組件。
支持無(wú)人參與的應(yīng)用程序安裝:安裝程序包可配置成安裝過(guò)程中無(wú)需與用戶進(jìn)行交互的。在安裝過(guò)程中, 可以向計(jì)算機(jī)查詢桌面屬性,包括確定應(yīng)用程序是否以前都被 安裝過(guò)。
2.安裝辦公需要的應(yīng)用軟件
一是在管理員用戶下,通過(guò)右鍵—計(jì)算機(jī)—管理—本地用戶和組—用戶,創(chuàng)建一個(gè)新用戶,例如User。
二是在管理員用戶下,安裝所需的程序,安裝目錄需選擇為:C:\Users\User\\Local。對(duì)于無(wú)法選擇安裝路徑的程序,則按默認(rèn)選項(xiàng)進(jìn)行安裝,安裝完成后,找到程序安裝的文件夾,將其拷貝到User用戶的—文件夾中,將應(yīng)用程序啟動(dòng)文件拷貝到User用戶的開(kāi)始菜單文件夾中,個(gè)別程序還需將程序安裝的文件夾拷貝到User用戶的—Local文件夾中。
3.設(shè)置組策略
一是在管理員用戶下,運(yùn)行.msc,在計(jì)算機(jī)配置—管理模板—組件- 中:禁用 —已啟用—僅用于非托管應(yīng)用程序;禁止用戶安裝—已啟用。
二是在管理員用戶下,設(shè)置-在電腦重啟后,登錄頁(yè)面不顯示用戶名,需用戶手工輸入。運(yùn)行.msc,設(shè)置—安全設(shè)置—本地策略—安全選項(xiàng)—交互式登錄:不顯示最后的用戶名,選擇已啟用。
三是設(shè)置某些需要管理員權(quán)限才能運(yùn)行程序。在安全選項(xiàng)—用戶賬戶控制:以管理員批準(zhǔn)模式運(yùn)行所有管理員,選擇已禁用。
禁止用戶留存文件
使用PC機(jī)就難免會(huì)把拷貝或下載資料留存在磁盤(pán)上,而在這些資料使用結(jié)束后刪除這些文件,則是很少人有的習(xí)慣性操作,PC機(jī)上時(shí)常會(huì)遺留各種資料,不僅會(huì)存在信息泄漏的風(fēng)險(xiǎn),還存在引入病毒侵入的風(fēng)險(xiǎn)。
1.設(shè)置磁盤(pán)權(quán)限
為便于管理,將PC機(jī)磁盤(pán)只劃分為C盤(pán)和D盤(pán)。設(shè)置新建的User用戶完全禁止訪問(wèn)C盤(pán)。即在C盤(pán)上右鍵屬性—安全—編輯,添加—User并檢查名稱,將User添加后,設(shè)置拒絕User全部權(quán)限,User用戶將不能訪問(wèn)C盤(pán)(如圖)。
圖? 設(shè)置User用戶權(quán)限
2.設(shè)置自動(dòng)運(yùn)行腳本
將自動(dòng)運(yùn)行腳本文件放置C盤(pán)的User啟動(dòng)文件夾中,并將該腳本設(shè)置為User用戶不允許寫(xiě)入權(quán)限(允許其他權(quán)限),該腳本用于清理桌面、D盤(pán)的所有文件,且D盤(pán)文件只保留一天。
實(shí)施后的成果
針對(duì)這些管理問(wèn)題,本文通過(guò)設(shè)置組策略、編制自動(dòng)運(yùn)行腳本等技術(shù)手段達(dá)到如下的效果:
普通用戶無(wú)法安裝程序,只能由系統(tǒng)管理員進(jìn)行安裝,可以解決應(yīng)用軟件私自安裝的問(wèn)題及隨意安裝程序?qū)е聬阂獠《镜膫魅搿?/p>
每當(dāng)User用戶登錄后,腳本文件將自動(dòng)清除桌面及D盤(pán)存放超過(guò)一天的所有文件和目錄。除D盤(pán),其他磁盤(pán)及目錄均是禁止訪問(wèn)的,確保主機(jī)無(wú)辦公資料存留。