浅谈企业办公终端的软件管控方法 | 总第205周

‍‍

0x1 本周话题

话题：大家是怎么管理终端软件的？软件白名单管控有哪些注意点？比如大家是内外网都做，还是只做内网？感觉外网环境太复杂，禁用非白名单软件运行，很影响用户体验？

A1：软件标准化，按照免费，开源，付费等分类，制定标准。另外一些银行内外网都做，终端连管理员权限都没有，是power user权限。

A2：跟内外网没关系，直接在终端上定期扫描软件注册的卸载目录与安装目录，发现就直接在内网准入替掉权限。装了就不让上内网或者外网，只做了黑名单，白名单会一直被业务追着添加名单。

A3：我们自己开了合规软件商店，有需要的软件安装包逐个审核后上架，非商店的软件一律会被桌管拦截，无法运行和安装。也就开始一个月比较手忙脚乱，审核过程去掉一些确实和工作不相干的，其实也没想象工作量那么巨大。

一些绿色版软件，商店也可以处理这个情况，打印机驱动多可以采取特权模式安装或者改web打印也行。

Q：白名单软件怎么定出来的，比如一下子对所有终端安装软件拉出来，自己也没法确定哪些是白的，哪些是需要的？

A4：通过建立软件商店是最靠谱的软件准入管理。桌面管理本身会收集生成软件资产库，管理员花时间进行批量操作维护，工作量其实不大。软件资产库收集的信息有软件的版本，签名各类信息，是可以有效进行分类和鉴别。

A5：等同于权限最小原则，原则上全部都是黑名单，清单发给各部门领导，审阅后提交汇总清单，运维组一一核实，并确定哪些属于白名单可加到软件商店，其他统统驳回，如有特别需要，需各部门领导签字，运维组对该提议重新复核，检验安全资格再予添加。桌管白名单管控不会拦截系统自身的进程。

另外软件黑白名单的控制看公司部门怎么划分职能的，除去基准清单以外的软件白名单控制可以归属到运维，也可以归属到安全。

A6：我们这是标准的准入机制，软件白名单不单是安全问题，还有软件正版化的考量。要准入的软件必须经过审核和测试，通过后纳入一个准入清单，后续可以通过桌管分发，员工自动选择安装，部分涉及授权点数的需要提单登记，由专门的同事协助安装，用户没管理员权限。

Q：绿色版软件怎么管控？

A7：目前解决不好的是绿色版的软件，不过我们会在网关上拦截一道，过滤掉大部分，内部严管。后续考虑推针对绿色软件的进程白名单。

A8：我们有个软件的catelog，理论上只能安装这些软件。但是有些人有权限就可能安装非标软件，比如自行安装杀毒软件后导致和公司杀毒软件冲突。所以我们封掉很多软件安装的网站，但是微软官方的软件库，没办法封，还是存在一些问题。

A9：绿色软件主要封有版权的，不可能穷尽的。最好是回收管理员权限，能减少很多麻烦。

A10：基础工作就是堆人，没啥花头，管得好，服务质量和效率跟得上，就问题不大。

A11：采用黑白灰三种：定期发布黑白名单，管控白名单，预警黑名单；灰名单要安全和直线经理审批，还要做沙箱测试。做自动化报表，定期分析。从头开始很重要，开始走了一段时间再来管，很困难，只能先从管理制度上下功夫。

A12：我们是两个，一个是标准的装机清单，科技统一维护，一个就是员工自己提的非标准入清单，此外不允许其他的了。管理好能省不少麻烦。

A13：我们从08年开始，从老板到所有员工都是user权限，之后就少了很多问题。

Q：大家桌面权限的管控，是通过加域实现的吗？安装软件如何处理呢？域的安全问题如何解决的？如果不用域，还有什么好的解决方案推荐的吗？

A14：第一步加域，第二步安装桌面管理及helpdesk。桌面管理的软件商店里的可以自己安装，特殊的写申请，领导审批后，helpdesk安装。

A15：收掉管理员应用安装权限后，少很多问题，但是存在临时在非职场环境下安装软件等问题和绿色软件确实管不了。会上黑名单禁止或卸载删除绿色或已安装的非法应用。上网行为辅助封杀外联软件等。

Q：加域之后很容易域控失陷被整体拿下的问题如何解决的？

A16：首先，我认为不容易，更谈不上很容易，我曾经找安全厂家搞对赌，都不敢接活。其次，犹如行军打仗，首领也能被定点处理掉，难道不要首领。

A17：是不是可以考虑异构的技术方案。域控和桌管有很多共性的。域控有很多敏感操作需要限制使用并做监控，桌管策略灵活很多。另外集权系统的管理要统一规划好。

A18：看需要实现的管理要求，最好不同方案能相互制约。比如说我们桌面终端使用AD域统一管理，但桌面收回管理员权限，软件安装通过软件仓库，或者helpdesk的手动安装。AD域账号使用做限制，也不给helpdesk，helpdesk使用的本地管理员账号，但这个账号需要定期修改，一机一密。用一些辅助信息做密码片段，比如说资产编号；可以通过脚本自动化设置密码。

Q：helpdesk一机一密如何维护？

A19：域内的话使用laps技术可以实现一机一密。laps是微软官方技术，有很多文档。

A20：如果能持续落地下去，确实可以解决密码dump风险，看桌面运维的意愿，有可能支持的时候要记很多密码，桌面运维可能就不干了。

A21：都有一机一密的需求了，必然每台pc密码不一致，这么多密码只能使用的时候查询一下，不然哪里记得住啊，可以使用完再轮换一下密码，安全。

A22：看了一下，这个密码是自动生成的？helpdesk每次登录用户电脑，还要查一下密码是多少？那是不是可以搞个堡垒机，把所有pc的管理员密码都纳管了，利用堡垒机把所有电脑密码都改成随机的，管理员通过堡垒机登录pc桌面，管理员可以不用每次登录pc的时候再找密码。

A23：堡垒机可能根据IP来维护资源的？pc环境下dhcp IP会变化，而且每个pc相同账户不同密码在堡垒机存储可能也会有问题，域内方便根据主机名走，可以忽视IP，当然了方案很多，laps只是一种，看选择。

原文始发于微信公众号（君哥的体历）：浅谈企业办公终端的软件管控方法 | 总第205周