- - PR -
PCを業務以外のことに使わせない方法
投稿者 | 投稿内容 | ||||
---|---|---|---|---|---|
|
投稿日時: 2006-10-05 16:00
エンドユーザさんからしたら、『紙』とか『テープ』とかは 「はがせばいいぢゃん♪」 となるようです。(^_^; #以前UPSの余った口をガムテープで封印していたら #それをはがして掃除機のコンセントをさされていました。。。orz | ||||
|
投稿日時: 2006-10-05 16:18
いっそシンクライアントにしてしまうと言う手もありますね。
| ||||
|
投稿日時: 2006-10-05 16:27
グループポリシーでドライブ非表示ってのがありますね。全ドライブ非表示にしてCDの自動再生も停止しておけばそれなりに縛れるかと。
メモ帳なんかの「ファイル名を指定して保存」からドライブにアクセスしにいく抜け道があったりするので完璧ではありませんが・・ あ、「ディスクの管理」でドライブレターを外しとけばいいのか。FDとCDはこれで止められますね。 | ||||
|
投稿日時: 2006-10-05 21:18
皆様アドバイスありがとうございます。
皆様のお話の中でグループポリシーについてちょこちょこでますが、 グループポリシーの項目をみても、 自分が希望する機能を実現するのに使えそうなものが見当たりません。 どういったものを使えばよいのでしょうか? | ||||
|
投稿日時: 2006-10-05 23:16
この場合の対策の中心は 「管理者」としてログインさせない。 というところにあります。 グループポリシは、その上で設定するものに過ぎないので グループポリシはおまけに近いと私は思います。 、、それはさすがに言いすぎ? ユーザにしたとしても、プログラムは動かせちゃうんですけどね。 別にインストールしなくても、exe起動は出来ちゃうし。 「パソコン」を使わせるなら、インストールできないというのは 原理的には無理があるし、、、 シンクライアントは、サーバが必要だから サーバの金はないし、というところで(苦笑) 一番安いのは、「業務」の幅を人間的にコントロールするところで 落ち着くと思いますがね。 | ||||
|
投稿日時: 2006-10-06 02:24
いや、ポリシーで実行できるファイル(ハッシュやパスで判別)の制限はホワイトリスト方式で出来ると思います。 ソフトウェア制限のポリシーでデフォルトで許可せず「追加の規則」に許可リストをハッシュやらパスで追加ですね。大変そうですけど。 というか今眺めてみたら、デフォルトで許可しないだけでよさそう?駄目だとヤバ気なパスは制限しないような追加規則が初めから入ってる。Program Filesも入っているけどUsersはここをいじれないし。 | ||||
|
投稿日時: 2006-10-08 00:18
皆様アドバイスありがとうございました。
システム的に防御をかけるのは思ったより大変なんですね。 もう少し調べてみようと思います。 ありがとうございました。 | ||||
|
投稿日時: 2006-10-08 12:35
デバイスを制限できるソフトを使えばある程度は容易に実現できます
金をかけるか手間をかけるかですね |