2010-10-02 02:56:57
Kenny
如何防止Client停用SEP
Hi,(最簡單的方式是停用時加密碼)
一般大一點的 USB 外接盒接上去, 在我的電腦中, 有些依然會認為是"本機磁碟", 而不是"卸除式裝置".
這時候請注意:
- 認成本機磁碟的 USB, 他是 USBSTOR\*
- 一般的卸除式裝置, 就是一般 USB
問題來了, 如果要控制不能寫入 USB 的 autorun.inf, 這時候該怎麼辦?
您如果在政策中, "同時選擇" 僅比對下列類型中的檔案 (勾選卸除式磁碟機), 以及 僅比對下列裝置 ID 類型的檔案 (裡面 USBSTOR\*).
在這種狀況下, 只有一般的 USB (就是卸除式裝置)會受到影響, 但是認成本機磁碟的裝置則會被掠過.
要兩個都阻擋的話, 很簡單, 只要勾選 "僅比對下列裝置 ID 類型的檔案" (裡面是 USBSTOR\*).
有興趣的人測測看, 然後再讓我知道您的結果是否也跟我依樣!
一般大一點的 USB 外接盒接上去, 在我的電腦中, 有些依然會認為是"本機磁碟", 而不是"卸除式裝置".
這時候請注意:
- 認成本機磁碟的 USB, 他是 USBSTOR\*
- 一般的卸除式裝置, 就是一般 USB
問題來了, 如果要控制不能寫入 USB 的 autorun.inf, 這時候該怎麼辦?
您如果在政策中, "同時選擇" 僅比對下列類型中的檔案 (勾選卸除式磁碟機), 以及 僅比對下列裝置 ID 類型的檔案 (裡面 USBSTOR\*).
在這種狀況下, 只有一般的 USB (就是卸除式裝置)會受到影響, 但是認成本機磁碟的裝置則會被掠過.
要兩個都阻擋的話, 很簡單, 只要勾選 "僅比對下列裝置 ID 類型的檔案" (裡面是 USBSTOR\*).
有興趣的人測測看, 然後再讓我知道您的結果是否也跟我依樣!
有延伸的問題,要請教您
就是如果有 禁用 USB 與 USBSTOR 的政策後,使用者擁有單機最高權限時,把防毒軟體服務關閉,此時如何解決?
有辦法常駐到 就算使用者有單機最高權限也不能關閉服務嗎?
就是如果有 禁用 USB 與 USBSTOR 的政策後,使用者擁有單機最高權限時,把防毒軟體服務關閉,此時如何解決?
有辦法常駐到 就算使用者有單機最高權限也不能關閉服務嗎?
Answer:
HELLO 各位大大 , 新手小弟來這裡請益:
小弟才剛裝好一台2003 Stand Serever(沒裝其它服務) , 就馬上裝 SEP11 MR4 , 也做了一個 Setup.exe 的檔。
1. 如果Client端, 本來就有用光蹀片安裝SEP MR4 自我管理,現在用安裝 Setup.exe 這個檔,或用派送的方式 ,都無法變更Client的狀況和內容,請問這要怎麼解決。
2. 另外,2003 Server 本身,或另一台派送成功的電腦,怎麼讓PC無法勾選右下角的 "停用Symantec Endpoint Protection"。
用戶端-->一般設定-->安全性設定, 裡面已經打勾也設了密碼, 從Server上看政策後的3碼,也有變新的,但..Client 就是可以取消"停用SEP"。
小弟才剛裝好一台2003 Stand Serever(沒裝其它服務) , 就馬上裝 SEP11 MR4 , 也做了一個 Setup.exe 的檔。
1. 如果Client端, 本來就有用光蹀片安裝SEP MR4 自我管理,現在用安裝 Setup.exe 這個檔,或用派送的方式 ,都無法變更Client的狀況和內容,請問這要怎麼解決。
2. 另外,2003 Server 本身,或另一台派送成功的電腦,怎麼讓PC無法勾選右下角的 "停用Symantec Endpoint Protection"。
用戶端-->一般設定-->安全性設定, 裡面已經打勾也設了密碼, 從Server上看政策後的3碼,也有變新的,但..Client 就是可以取消"停用SEP"。
用戶端-->位置限定的政策與設定-->位置限定的設定-->用戶端使用者介面控制設定: 伺服器控制-->伺服器控制-->自訂-->把允許使用者啟用與停用"網路威脅防護"的勾拿掉就可以了
1. Client是透過SyLink.xml還管控,可透過軟體塞給Client,請確認與Server間是否被防火牆阻擋。
2. 此功能非全面停用SEP,是指你沒強制不給使用者修改某項功能部分的關閉,如上列大大所提的是其中之一。
提問的大大,你還在佈署中,沒經銷商協助嗎? 或上課?
2. 此功能非全面停用SEP,是指你沒強制不給使用者修改某項功能部分的關閉,如上列大大所提的是其中之一。
提問的大大,你還在佈署中,沒經銷商協助嗎? 或上課?
TO Nikgiga 大大
我照您說的去設定了, 但...好像沒有生效呢..?
TO Lee04017
用 SylinkDrop.exe 這支程式, 不用從新安裝,就可以把本來"自我控管"的PC,改成受控管了TKS。請問.. sylink.xml 這個檔要怎麼"正確"的去找到呢.? 我是在SERVER上,找到一大堆的sylink.xml 呢...?
另外, 您解釋的第二點, 小弟不材, 有看沒有懂呢..? 真不好意思!
我照您說的去設定了, 但...好像沒有生效呢..?
TO Lee04017
用 SylinkDrop.exe 這支程式, 不用從新安裝,就可以把本來"自我控管"的PC,改成受控管了TKS。請問.. sylink.xml 這個檔要怎麼"正確"的去找到呢.? 我是在SERVER上,找到一大堆的sylink.xml 呢...?
另外, 您解釋的第二點, 小弟不材, 有看沒有懂呢..? 真不好意思!
SyLink.xml 檔案,可以從 SEPM 上,選擇用戶端,然後在群組上面按下滑鼠右鍵,最下面應該有一個 匯出通訊設定 的選項,由他匯出,這樣可以確定您匯出的 XML 是該群組的。
接著您就可以用這個 XML 拿去更換 Client 端的 SyLink.xml 了。
另外,我的 SEP 按右鍵的停用啟用是灰色的啦。。。哈哈哈哈哈哈
阿不過我忘記我怎麼搞的了!!!最近腦袋記得不是很清楚,所以要爬文看看!!
接著您就可以用這個 XML 拿去更換 Client 端的 SyLink.xml 了。
另外,我的 SEP 按右鍵的停用啟用是灰色的啦。。。哈哈哈哈哈哈
阿不過我忘記我怎麼搞的了!!!最近腦袋記得不是很清楚,所以要爬文看看!!
防毒與防間諜部分:如附件五個選項都要鎖上!
- 附加檔案
-
- 01-02.png (16.89 KiB) 被瀏覽 1065 次
-
-
2.如附件:
3.如附件: - 附加檔案
-
- 03.png (23.09 KiB) 被瀏覽 1065 次
-
-
TO lee04017 大大 , 按照您的指示, 的確可以防止Client 取消 "停用SEP" (變成淺灰色了)
我把之前的設定都恢復預設值,只要修改"防毒與防間諜部分:如附件五個選項都要鎖上" 就可以達成了。
TO NicholasHsiao 大大, 謝謝您教的,已經成功匯出 sylink.xml了 , 以後不用去搜尋一堆的檔在來判斷。