背景
某桌面客户,提出需求如下:
1)只允许访问某税务官网;
2)只允许QQ和微信程序运行;
实现思路
1、防火墙上限制网络访问(需要ip地址对应,而这往往较难,实际中很多网站都是多个虚拟IP地址,加之CDN技术,ip地址策略配置将变得更加复杂),但是vmware目前没有针对OS内应用的策略支持,可以考虑vApp,从应用层限制;
2、组策略限制只允许特定程序运行;
3、组策略限制其他所有程序运行;
4、网络限制方面:防火墙上禁止外部DNS,域环境禁用DNS转发,禁用DNS递归查询,创建要访问网站的域区域;
实施步骤
1、登录域控服务器,打开域策略管理器,在【组策略对象】右键新建新的域策略对象策略定义文件,起名:用户级软件允许访问
2、编辑“用户级软件允许访问”策略,进入【组策略管理编辑器】:
找到【安全设置】—【软件限制策略】,右键新建软件限制策略后,会显示安全级别和其他规则