终端计算机下手，还是最有效的管理方式

　　从第一银行的经验中可以看出，从终端计算机下手，直接根绝软件安装的可能性，还是最有效的管理方式。而多数公司都有的AD架构，在这方面可以发挥很大的功用。

　　网骇科技资安顾问曾信田表示，就他实际处理的经验来说，在内部使用者试图规避公司网络管控机制时，AD控管权限的方式，往往是企业最不用花钱也最能立即见效的手段。他以实际处理过的企业经验为例，该企业在以AD控管安装软件的权限后，使用者利用代理软件等方式试图规避企业管理的状况，就几乎完全消失了。

　　从这些例子中可以看出，如果没有足够预算的企业，要防堵使用者利用代理软件绕过防火墙，AD的群组控管原则可以说是最有效的方法之一。如果还能够再搭配网关器端的设备，控管还可以更完善。

　　Juniper(瞻博)先进技术资深经理林佶骏就指出，对于预算不够多的企业，他会建议信息部门人员先以AD的群组原则控管，再搭配防火墙阻文件部分已知的代理服务器联机地址。如果还有稍多的预算，还可以再搭配IPS，达到更好的效果。因为很多厂商的IPS，都可以辨识出较旧版本的代理软件联机特征，如此一来对于减少使用者透过此类方式绕过防火墙，形成资安风险的状况，也会有一定的帮助。

　　至于类似Program Control此类针对终端计算机安装软件管控更强势的软件，搭配网关器的设备使用，将能提供比AD控管更好的管理接口。从第一银行的经验来看，这一点就可以得到验证。