有个问题一直没有解决,就是终端这块应该赋予员工什么权限,无论加不加入域,前期也尝试过,无论赋予Power USER或User组权限,员工总是有各种各样的问题,比如这个执行不了,那个无法修改之类的,还研究使用系统自带的一些策略做限制,比如控制对应程序名、路径、哈希值的程序执行权限,但是工作量大而且变数较多,不知道咱们与遇没遇到过,是如何处理的。
DLP+终端管控。大部分安全公司都能做。
可以设置多种用户组,每组用户组设置不同的权限。(管理员的工作量大一点而已)
有些策略可以改成“不是阻止用户做什么”,而是监控“用户做了什么”,违反基线的立即报警;