分析：五种方法防止企业数据外泄

核心提示： 方法4：以微软的AD群组原则管理多数的企业现在都有建立微软的AD架构，其实要防范使用者穿透防火墙，分析：五种方法防止企业数据外泄(5)，AD的群组原则控管就已经可以达到很大的功效，当然，阻止类似代理软件此种穿透防火墙软件的好方法，若能辅以防火墙或网关器的相关设定，要以AD达到控管的效果，第

方法4：以微软的AD群组原则管理

多数的企业现在都有建立微软的AD架构，其实要防范使用者穿透防火墙，AD的群组原则控管就已经可以达到很大的功效。当然，要以AD达到控管的效果，第一步必须将终端计算机的管理权限收回，然后再进而设定相对应的管理政策。

首先，AD能够停用软件安装的功能，透过群组原则中停用Windows Installer的选项，选择一直停用，即可以将终端计算机安装软件的权限关闭。这样一来，使用者将无法在终端计算机上安装任何软件，也就无法透过代理软件试图穿透防火墙，自然只能遵循企业的政策连网。

但是这样的做法对于使用者来说会造成很大的不便，并不是所有的企业都能适用。林佶骏表示，对于企业来说，要防止此类代理软件，最好的做法就是从终端计算机下手，透过AD的群组原则设定，让终端计算机无法安装应用程序，是最釜底抽薪的做法。“但是对于多数的企业来说，这样的做法会遭受到的阻力过大。”林佶骏说。

不过AD的群组管理原则中也有针对特定软件停用的机制，透过其它原则中的新增杂凑规则，加入应用程序的名称，就可以达到针对特定软件封锁安装的能力。但是这样的做法事实上并没有办法防止稍有技术能力的使用者，当使用者针对应用程序加壳又或者透过各种方法改变应用程序的名称时，还是可以在计算机上安装。

此外，由于类似自由门、Tor等此类代理软件的更新速度很快，当使用者使用新版的软件时，此种方式也无法达到遏阻的效果。

虽然AD的群组原则控管，在企业实际应用上可能无法真的彻底实行，但是这一层设定，也不乏是企业在现有架构下配套，阻止类似代理软件此种穿透防火墙软件的好方法。若能辅以防火墙或网关器的相关设定，对于特定的软件还是有一定防堵作用。