修電腦

今天修到了一台有趣的電腦，同時讓我對系統管理有了一點心得。

服務單位的秘書小姐對我說，她在工作場所的上網電腦中，安裝了上級發下來的新防毒軟體後USB就全失靈了--更精確地說，那套「防毒軟體」顯示所有的USB裝置全被「擋」了，只能使用一隻「上網電腦專用隨身碟」。這是個非常糟糕的情況：鍵盤啦、滑鼠啦、印表機與隨身碟全都不能用了，逼得她只能到處去跟別人借非USB的週邊（現在上哪去找非USB的印表機？）。

我上機一看，「Symantec Endpoint Protection」。這是什麼？（我承認我孤陋寡聞。）上網一看，才發現這是一套資安軟體，旨在防止公司員工在公司電腦上亂接裝置（某些公司用熱溶膠封住USB插座也是為了同樣的目的）。等一下，這怎麼會是「防毒軟體」（雖然它是有防毒功能沒錯）？

秘書小姐說，上級發給她的「上網電腦專用隨身碟」中有「上網電腦專用防毒軟體」（只有一個setup.exe檔，Description僅「Application」一字），她認為「既然是專用的應該比較好」就安裝了，不料卻弄得讓電腦只認得這隻「專用隨身碟」。

這下可有趣了。這套軟體的目的顯然就是讓上網電腦「自廢武功」專用的，卻被包裝成「專用防毒軟體」，一副人畜無害的點兩下自動裝到底。

這豈不是陷阱嗎？這單位的資安部門居然這樣整員工啊？雖然我沒有實務管理的經驗，我也知道管理者是很辛苦的。這台上網電腦顧名思義顯然就是拿來上網的，要讓USB不能用也是人之常情。資安部門大可一開始就裝好這軟體，然後跟員工說：「我知道這樣會讓各位很不方便，但是這是為了安全，請各位配合」。可是他們卻用「騙你安裝」的方式讓你去自廢武功。

好啦，問題搞清楚了，我該怎麼解決呢？把這套軟體移除，或是更改Policy？抱歉，它會提示你輸入密碼，顯然用這種手段的資安部門不會配合你的。他們甚至連系統服務都不讓你停止，還連安全模式都進不去了。說老實話，我根本不抱任何希望，我怎麼可能對得過大公司的軟體啊？

...當然，要是這樣就結束，我也不會寫這篇了。

首先，資安部門犯了個重大錯誤：「這台電腦的使用者帳戶是Administrators」。嘖嘖，資安大忌啊。

話說回來，Symantec也是大公司，SEP都出到11.0了，難道他們會沒考量到使用者是Administrator就鎖得不夠嚴密嗎？...但是，事實是他們真的沒考量周全。我上網找了一會，居然還真給我找到了個超簡單解法：只要在移除軟體要求輸入密碼時用工作管理員終止掉一個msiexec.exe的process就解決了。於是秘書小姐的USB週邊又恢復到往日的欣欣向榮。

這當然只是好運：要不是Symantec和工作單位都犯了大錯，或者我找不到正確的關鍵字，我當然砍不掉SEP這麼重量級的軟體。可是要不是這資安部門的作法太狡猾，我也不想幫這種規避政策的忙啊。