终端上账户权限管理:应该给员工赋予什么权限?

有个问题一直没有解决,就是终端这块应该赋予员工什么权限,无论加不加入域,前期也尝试过,无论赋予Power USER或User组权限,员工总是有各种各样的问题,比如这个执行不了,那个无法修改之类的,还研究使用系统自带的一些策略做限制,比如控制对应程序名、路径、哈希值的程序执行权限,但是...显示全部

有个问题一直没有解决,就是终端这块应该赋予员工什么权限,无论加不加入域,前期也尝试过,无论赋予Power USER或User组权限,员工总是有各种各样的问题,比如这个执行不了,那个无法修改之类的,还研究使用系统自带的一些策略做限制,比如控制对应程序名、路径、哈希值的程序执行权限,但是工作量大而且变数较多,不知道咱们与遇没遇到过,是如何处理的。

收起
参与13

返回hamburisyoung的回答

hamburisyounghamburisyoung  系统架构师 , 某银行

DLP+终端管控。大部分安全公司都能做。
可以设置多种用户组,每组用户组设置不同的权限。(管理员的工作量大一点而已)
有些策略可以改成“不是阻止用户做什么”,而是监控“用户做了什么”,违反基线的立即报警;

银行 · 2017-08-16
浏览2837
  • 1、DLP+终端管控:需要在客户端安装代理,以黑白名单形式做可执行软件的限制,这个功能很麻烦,需要前期学习一段时间,而且准确度不一定; 2、设置多组在服务器上可用,终端用户上这么做不太方便; 3、监控客户端行为:这个是用什么做?
    2017-08-16
  • 1.员工用的电脑也是公司资产啊,安装安全管控软件是应该的啊;安全和便捷很多时候就是对立的,只要领导们支持就可以做。安全又便捷——404,不存在的。 3.策略不一定要配置成阻断行为,可以监控行为,定期报表,回避”事中“,关注”事后“。终端管控本身应该就支持这种功能。
    2017-08-16
  • 可执行软件为什么要做限制呢?有DLP数据也不会泄漏。可执行软件又不可能破坏内网,如果会的话,那是内网安全的问题了。不是终端的问题。可执行软件肯定也是企业正版的,或者“企业软件集市”的,不可能允许员工随便U盘考入软件吧?
    2017-08-16
  • 主要是只允许员工使用公司允许的软件,禁止安装和运行和工作无关的程序
    2017-08-16
  • 那就搞一个“软件集市“不行吗?都用已经准备好的,不能从外网下载;
    2017-08-16
  • 很难彻底解决,因为终端用户都有管理员权限,可以随意下载和安装程序
    2017-08-16

回答者

hamburisyoung
系统架构师某银行
擅长领域: 安全SOC平台信息安全

hamburisyoung 最近回答过的问题

回答状态

  • 发布时间:2017-08-16
  • 关注会员:2 人
  • 回答浏览:2837
  • X社区推广