(Symantec Endpoint Protection)SEP禁止USB设备和特定应用程序

SEP(Symantec Endpoint Protection)禁止USB设备和特定应用程序

2007-12-15 19:56

Symantec Endpoint Protection(SEP，以下称SEP)通过服务器端的管理器，可以集中管理每个SEP客户端，在SEP服务器管理器上设置“应用程序与设备控制”策略，可以禁用客户端PC的USB存储设备及客户端上的某一个应用程序，这一功能对于单位来说，是非常有用，单位内某些部门有一些敏感性的数据文件，是不能拷贝的，所以某些计算机是不允许随随便便插入移动存储器，当前USB接口的移动存储器非常多，，如果从BIOS里硬件禁止，USB接口的鼠标、打印机又不能用。使用SEP就会很好地解决这个问题。

单位中的员工可能会从网上下些程序，这个程序，很可以有病毒或有木马，网络管理人员不能逐个检查每个员工的电脑。SEP服务器可以很方便地扫描SEP客户机，获取安装的（像被称为绿色软件，无须安装即可使用）可执行程序，并且禁止这些程序运行。

一、建立禁止USB设备策略：

登录到SEP管理器，点击“策略”选择项卡，点选“应用程序与设备控制”选项：

在右栏内，右键单击，弹出快捷式菜单：

单击"添加..."菜单，弹出添加“应用程序与设备控制策略”，在“概述”里输入策略名称：

单击“设备控制”：

单击“添加...”按钮，弹出添加硬件设备对话框：

单击，选择"USB"，点击“确定”按钮，在“设备名”下，可以看到USB:

二、建立禁止某个应用程序的策略，比如禁止QQ和QQ下载工具（超级旋风）：

接着上面，单击“应用程序控制”，并选中“禁止应用程序运行”,右键单击，然后单击快捷菜单的的“编辑...”，或者直接单击，下方的“编辑..”按钮：

弹出“编辑应用程序控制规则集”，单击“禁止这些应用程序”，然后单击“添加...”按钮：

在弹出的“添加进行定义”对话框中，输入要禁止运行的程序名,然后单击“确定”：

添加了后：

三、分配建立好的策略：

单击“确定”按钮，关闭刚才打开的一些对话，之后会弹出一个对话框：

单击“确定”，弹出“分配应用程序与设备控制策略”对话框：

选中，要分配的组，在组名前打对勾。

在“客户端”选择项卡的“策略”项内可以看到上面建好并分配到组的禁止策略：

四、在客户机上试试效果：

选行QQ，时出现如下状况：

在“我的电脑”或“资源管理器”找不到移动存储。SEP管理器，可以搜索客户机的可执行程序：

看看，客户端上的可执行程序一览无遗。怎么样？是系统或安全管理员的好帮手吧。