防止用户禁用客户端计算机上的防护

作为
Symantec Endpoint Protection Manager
管理员,您可以设置用户控制级别或锁定策略选项,阻止用户在客户端计算机上禁用防护。例如,防火墙策略使用控制级别,而病毒和间谍软件防护策略则使用锁定。
Symantec 建议您始终阻止用户禁用防护。
什么是用户控制级别?
您可以使用用户控制级别提供特定功能的客户端用户控制。用户控制级别还可以决定客户端用户界面是完全不可见、显示部分功能还是显示完整的用户界面。
用户控制级别
用户控制级别
说明
服务器控制
授予用户最低的客户端控制权。 通过服务器控制,用户可以对已解锁的设置进行更改,但它们会在下一个检测信号时被重写。
客户端控制
授予用户最高的客户端控制权。客户端控制允许用户配置设置。 客户端修改的设置优先于服务器设置。应用新策略时不会覆盖这些设置,除非这些设置在新策略中已锁定。
客户端控制对于在远程位置或家中办公的员工很有用。
用户必须属于 Windows 管理员组,才能更改“
客户端控制
”模式或“
混合控制
”模式中的设置。
混合控制
授予用户对客户端的混合控制权。通过将此选项设置为“
服务器控制
”或“
客户端控制
”,可以决定要让用户配置哪些选项。对于那些处于客户端控制下的项目,用户保留对该设置的控制。对于那些处于服务器控制下的项目,您可以保留对该设置的控制。
对于 Windows 客户端,您可以配置所有选项。对于 Mac 客户端,服务器控制和客户端控制中只有通知区域图标和部分 IPS 选项可用。
当服务器应用隔离策略时,在“
客户端控制
”或“
混合控制
”中运行的客户端会切换到“
服务器控制
”。
更改用户控制级别
部分受管设置具有相依性。例如,用户可能有权限配置防火墙规则,但不能访问客户端用户界面。由于用户不能访问“
配置防火墙规则
”对话框,也就不能创建规则。
  1. 在控制台中,单击“
    客户端
    ”。
  2. 在“
    查看客户端
    ”下方选择组,然后单击“
    策略
    ”选项卡。
  3. 在“
    特定于位置的策略与设置
    ”下,在要修改的位置下,展开“
    特定于位置的设置
    ”。
  4. 在“
    客户端用户界面控制设置
    ”旁边,单击
    “任务”>“编辑设置”
  5. 在“
    客户端用户界面控制设置
    ”对话框中,执行以下操作之一:
    • 单击“
      服务器控制
      ”,再单击“
      自定义
      ”。
      配置任意设置,再单击“
      确定
      ”。
    • 单击“
      客户端控制
      ”。
    • 单击“
      混合控制
      ”,再单击“
      自定义
      ”。
      配置任意设置,再单击“
      确定
      ”。
  6. 单击“
    确定
    ”。
锁定策略设置和为之解锁
您可以锁定和解除锁定某些策略设置。用户无法更改锁定的设置。可锁定的设置旁会显示挂锁图标。您可以锁定和解除病毒和间谍软件防护设置、篡改防护设置、提交设置和入侵防护设置的锁定。
阻止用户禁用特定的防护技术
如果您将客户端设置为“
混合控制
”或“
服务器控制
”但不锁定选项,则用户可以更改设置。这些更改将保持原样,直到
Symantec Endpoint Protection Manager
的下一个检测信号为止。锁定各种策略中的策略选项可确保用户无法对设置进行任何更改,即使处于“
客户端控制
”也是如此。
无论“
特定于位置的设置
”配置如何,不属于管理员组的 Windows 用户无法在
Symantec Endpoint Protection
客户端用户界面中更改设置。即使在您设置这些选项之后,Windows 10 管理员仍可通过通知区域图标禁用该产品。但是,他们无法通过客户端用户界面禁用各项防护技术。
如果您不需要更改所有组的策略,请在要更改的组上禁用策略继承。如果编辑共享策略,则即使禁用策略继承,编辑的策略也适用于共享策略应用到的每个组。
阻止用户禁用防火墙或应用程序和设备控制
  1. 在控制台中,单击“
    客户端
    ”。
  2. 单击要限制的客户端组,然后单击“
    策略
    ”选项卡。
  3. 展开“
    特定于位置的设置
    ”。
  4. 在“
    客户端用户界面控制设置
    ”旁边,单击
    “任务”>“编辑设置”
  5. 单击“
    服务器控制
    ”或“
    混合控制
    ”,然后单击“
    自定义
    ”。
  6. 在“
    客户端用户界面设置
    ”对话框(服务器控制)或窗格(混合控制)上,取消选中“
    允许下列用户启用和禁用防火墙
    ”和“
    允许用户启用和禁用应用程序设备控制
    ”。
  7. 单击“
    确定
    ”,再单击“
    确定
    ”。
阻止用户禁用入侵防护
  1. 在控制台中,单击“
    客户端
    ”。
  2. 单击要限制的客户端组,然后单击“
    策略
    ”选项卡。
  3. 展开“
    特定于位置的策略
    ”。
  4. 在“
    入侵防护策略
    ”旁边,单击
    “任务”>“编辑策略”
  5. 单击“
    入侵防护
    ”,然后单击“
    启用网络入侵防护
    ”和“
    启用浏览器入侵防护
    ”旁边的锁以锁定这些功能。
  6. 单击“
    确定
    ”。
阻止用户禁用病毒和间谍软件防护
  1. 在控制台中,单击“
    客户端
    ”。
  2. 单击要限制的客户端组,然后单击“
    策略
    ”选项卡。
  3. 展开“
    特定于位置的策略
    ”。
  4. 在“
    病毒和间谍软件防护策略
    ”旁边,单击
    “任务”>“编辑策略”
  5. 在“
    Windows 设置
    ”下,锁定以下功能:
    • 单击“
      自动防护
      ”,然后单击“
      启用自动防护
      ”旁边的锁。
    • 单击“
      下载防护
      ”,然后单击“
      启用下载智能分析,以便根据文件信誉检测已下载文件中的潜在风险
      ”旁边的锁。
    • 单击
      SONAR
      ,然后单击“
      启用 SONAR
      ”旁边的锁。
    • 单击“
      提前启动反恶意软件
      ”,然后单击“
      启用 Symantec 提前启动反恶意软件功能
      ”旁边的锁。
    • 单击“
      Microsoft Outlook 自动防护
      ”,然后单击“
      启用 Microsoft Outlook 自动防护
      ”旁边的锁。
    • 对于低于 14.2 RU1 的版本,单击“
      Internet 电子邮件自动防护
      ”,然后单击“
      启用 Internet 电子邮件自动防护
      ”旁边的锁。
    • 对于低于 14.2 RU1 的版本,单击“
      Lotus Notes 自动防护
      ”,然后单击“
      启用 Lotus Notes 自动防护
      ”旁边的锁。
    • 单击“
      全局扫描选项
      ”,然后单击“
      针对以下项启用 Insight
      ”和“
      启用 Bloodhound 启发式病毒检测
      ”旁边的锁。
  6. 单击“
    确定
    ”。
阻止用户禁用内存漏洞利用缓解(14.1 及更高版本)
在版本 14 中,“
内存漏洞利用缓解
”显示在入侵防护策略中,称为“
通用漏洞利用缓解
”。
  1. 在控制台中,单击“
    客户端
    ”。
  2. 单击要限制的客户端组,然后单击“
    策略
    ”选项卡。
  3. 展开“
    特定于位置的设置
    ”。
  4. 在“
    内存漏洞利用缓解
    ”旁边,单击
    “任务”>“编辑策略”
  5. 单击“
    内存漏洞利用缓解
    ”,然后单击“
    启用内存漏洞利用缓解
    ”旁边的锁。
  6. 单击“
    确定
    ”。
Symantec Endpoint Protection Manager
更新客户端策略
做出这些更改后,组中的客户端将根据组的通信设置接收更新的策略。如果组处于推模式,则
Symantec Endpoint Protection Manager
会提示客户端几秒钟以进行签入。如果组处于拉模式,则客户端在下一次调度检测信号上签入。
如果您需要它们比下一个检测信号更快,则可以提示客户端签入并更新其策略。您也可以从
Symantec Endpoint Protection
客户端更新策略。
客户端更新策略之后,右键单击
Symantec Endpoint Protection
通知区域图标时,“
禁用
Symantec Endpoint Protection
”将灰显。