需求就是用这个LEM阻止用户的U盘,其实在微软的架构方案下,很容易实现,就是用一个GPO就能搞定,但是咱就是要用这个Solarwind Log and Event实现。
总部搭建了一个这样的系统,基本就处于测试状态,给了三个PDF文件,加起来有一千多页,然后就说这个系统就能实现这样的功能,就是你自己试试吧。
其实,当我拿到这个系统的登录地址和一千多页的文档时,内心是崩溃的,但是做为技术人员的出身,就不信那个邪。我花了十多分钟读文档,然后就开始干活了。
如果有谁也用这个系统,可以做一个参照,我只说最核心的一个部分,使用这个系统停止USB存储设备,换句话说不让用户用U盘
第一步,先在用户的客户端电脑安装代理软件,如果你们公司启用这个系统,肯定通过某种方式把这个代理软件推送到用户电脑上了。
第二步,参照官网的方法向客户端节点添加策略。看下面的文档就可以了。
https://support.solarwinds.com/Success_Center/Log_Event_Manager_(LEM)/LEM_Documentation/LEM_Administrator_Guide/Configure_the_USB_Defender_local_policy_connector_in_LEM
在这里的问题就会出来,就是这个怎么做一般人就会卡在这里。说白了就是做一个模板文件,这些步骤和实际的操作不一样,正确的理解这些步骤才是一个关键。写文档的人和程序开发的人就这个功能就没有达成一致的意见,就出现了按照文档的操作跟实际的结果就不一样。
Create a text file with one entry per line.
This file serves as the local policy. Each entry can be a user name or a USB device ID, from the Extraneous Info field of an attached alert.
好吧,我给大家一个实际的模板,模板文件你存成txt的就可以。
里面就写成这样就可以了。
USB\VID_090C&PID_1000\0175000000014967
然后客户端接上任何USB存储设备都不会显示出来了。
呵呵,这个东西我一般用www.bing.com来搜索, 应该没有一个模板可以做参考,我做了第一个呀。其实真得很简单。
这个系统写的非常强大,但只适用于给技术人员年看,缺点就是帮助 文档和实际的开发人员没有沟通好,照着文档干不成活。
原文地址:https://blog.51cto.com/shadingyu/2376517