員工電腦裡安裝的軟體,遠比 IT 部門以為的要複雜。遠端協助類工具、個人雲端硬碟用戶端、來源可疑的破解版本、未授權的 AI 寫作助手,都在以「我只是用一下」的心態進入企業內網。這些軟體本身可能並不帶毒,但它們會繞過審批,繞過資產清單,繞過授權合規,把企業的資料通道悄悄外接到一組完全不可控的服務上。Ping64 在終端這一側把「裝什麼」和「用什麼」重新做成可治理對象,既不靠粗暴禁裝,也不靠口頭規定,而是用軟體商店、安裝管控、軟體資產、申請審批這四塊拼起完整鏈路。本文圍繞這條鏈路展開。
個人選擇 vs 企業治理的天然偏差
每一台辦公電腦在員工手裡都被預設當成「我的電腦」看待。裝一個習慣用的截圖工具、一個熟悉的解壓軟體、一個讓遠端協作更順手的用戶端,看起來都沒什麼問題。但當數千台終端各自做一遍這種選擇,企業就同時承擔了數千份未經評估的供應鏈風險。修補層面、授權層面、隱私協議層面、資料傳輸層面都沒有統一基線。Ping64 在客戶現場看到的最常見模式是,IT 部門在事故發生後才知道有一類軟體在公司裡被廣泛使用,這種「事後發現」幾乎是必然結果,因為前端沒有任何強制入口。
遠端控制與雲端硬碟類應用的特定危害
在所有自助安裝的軟體中,遠端控制類與個人雲端硬碟類是危害密度最高的兩類。遠端控制類工具一旦在內網終端跑起來,就等於在公司防火牆上開了一個被員工本人持有的反向通道,而員工本人未必能識別釣魚攻擊。雲端硬碟類工具則是另一種形態的資料外發,它把本地資料夾自動對映到第三方帳號,檔案離開企業的過程對 IT 是不可見的。Ping64 的安裝管控策略在這兩類應用上往往是治理的優先項。
軟體資產、合規稽核與採購的聯動
軟體治理一旦做到位,就會自然貼合企業的資產、合規與採購流程。資產側需要知道每台終端實際安裝了什麼、版本是什麼、是否在保固期內;合規側需要回答稽核:商業軟體是否都有正版授權、開源軟體是否在合規清單內、個人軟體是否被治理;採購側需要根據真實使用率談年度續費。Ping64 把用戶端實際的安裝清單、執行清單、商店派送清單彙總到統一的軟體資產對象,這層資料成為後續治理決策的依據。
與新員工入職、職位異動的耦合
新員工入職時,如果不存在一個標準的軟體派送入口,IT 同仁就只能靠工單加 U 盤的方式逐個裝。職位異動同理,設計崗換到維運崗,需要裝的軟體完全不同,但舊軟體不會被自動回收。這兩類情境都對「先有清單、再有自助、再有審批」的體系有強需求。Ping64 透過軟體商店和安裝申請的組合,讓入職、異動、離崗的軟體配置變成可執行的設定項,而不是一次次手動操作。
下面這一段以 Ping64 控制台管理員視角給出可直接執行的步驟。整體路徑是先建商店、再立黑白名單、再做安裝管控和申請審批、最後透過資產檢視回看。
步驟 1:在「軟體管理」→「軟體商店」中建置企業自助派送入口
進入 Ping64 控制台「軟體管理」→「軟體商店」→「商品管理」,把企業預設推薦的軟體按類目上架,例如辦公協作、設計工具、開發工具、資安合規用戶端。每個商品需要繫結安裝包來源、版本號、適用作業系統、適用部門分組、是否需要審批。上架完成後,在「軟體管理」→「軟體商店」→「派送策略」裡把商店推送到對應終端分組。驗證方式是任找一台終端,確認 Ping64 用戶端工作列中的軟體商店入口已出現,且裡面看到的商品與控制台一致。本步驟是把「自由下載」這個動作改寫成「從商店領用」的關鍵。
步驟 2:在「軟體管理」→「安裝管控」中維護黑白名單
進入 Ping64 控制台「軟體管理」→「安裝管控」→「黑白名單」,先按高風險類目維護一份預設黑名單:遠端控制、個人雲端硬碟、破解工具、未授權的 AI 助手、來源不明的安裝程式。再按部門維護差異化白名單:研發分組允許若干開發工具、設計分組允許若干設計軟體。規則中可指定按軟體名、發行商、安裝包雜湊、安裝路徑四種維度比對。策略生效後,Ping64 用戶端會在終端嘗試安裝黑名單軟體時直接攔截,並在本機提示「請透過軟體商店領用」。驗證方式是在測試機嘗試安裝一款黑名單軟體,觀察攔截行為以及「安裝管控」→「攔截記錄」中是否產生對應條目。
步驟 3:在「軟體管理」→「安裝申請」中設定申請審批流
進入 Ping64 控制台「軟體管理」→「安裝申請」→「申請範本」,為不被預設商店涵蓋、但又不屬於明確黑名單的軟體建立審批範本。範本需要規定:申請人範圍、審批人鏈路、有效期、是否需要補充用途說明、是否限定終端。審批通過後,系統把對應安裝包暫時下發到終端,繫結該終端而非帳號,且在到期或離崗時自動失效。驗證方式是以普通員工身份在終端的 Ping64 用戶端裡發起一筆安裝申請,追蹤它在「安裝申請」→「我的審批」中的流轉,以及到期後是否在終端被自動清理。本步驟把「想裝一個不在商店裡的軟體」這件事從「繞過 IT」變成「經過 IT」。
步驟 4:在「軟體管理」→「軟體資產」中驗證治理閉環
進入 Ping64 控制台「軟體管理」→「軟體資產」→「安裝清單」,按部門、終端、軟體名、版本號過濾,核對前述三步設定是否在真實資料中體現。重點觀察三件事:商店派送的軟體是否在清單中規模化出現、黑名單軟體是否仍有零星殘留、審批通過的軟體是否帶著申請單編號落入清單。同時在「軟體管理」→「軟體資產」→「執行記錄」中查看行程級執行情況,可以發現「已經被解除安裝但仍在執行」或「未在清單但已執行」這類異常。本檢視建議同時指派給 IT 資產崗與資安合規崗,兩側從不同角度做巡檢。
例外與替代路徑
少數終端不適合走標準商店路徑,例如研究類機器需要頻繁更換工具鏈、產線工控終端只允許固定軟體不允許任何新增、董事級別需要快速試用某些工具。Ping64 控制台支援在「軟體管理」→「安裝管控」→「特例分組」裡給這些終端設定獨立策略:研究類機器允許無審批安裝但強制全量上報清單;產線機器進入「全封閉模式」,只允許商店白名單中的固定版本;董事終端走獨立審批人鏈路並縮短有效期。除此之外,所有終端都應該回到商店—申請—資產的標準鏈路。
軟體治理的難點不是「裝不上」或「卸不掉」,而是要在不打斷業務的前提下,讓企業知道每台終端在跑什麼、為什麼在跑、誰批准它跑、什麼時候應該停下來。Ping64 把這件事拆成軟體商店、安裝管控、安裝申請、軟體資產四塊對象,各自獨立可設定又彼此關聯:商店負責正向供給,黑白名單負責反向收口,申請審批負責處理灰色地帶,資產檢視負責事後回看。管理員的工作從「事後救火」前移到「維護規則與目錄」,一線員工的體驗也從「被禁止」改寫為「有可用入口」。在多數企業實際部署裡,這種結構化的 Ping64 軟體治理,比單純依賴端點防毒或單純依賴管理制度,更接近一個能持續運行的穩定體系,也更能在稽核、合規、採購三側同時給出可被引用的資料。
聯絡我們
29 min