H3C Workspace E1013P14（SpaceOS 胖终端 / 教育机房）彻底拦截学生端安装教师端完整方案

核心问题根源

一、第一层：授权策略→软件黑名单（核心，拦截安装包 + 运行进程）

操作步骤

1. 登录 Workspace 管理平台 → 【教室管理】→ 找到对应机房教室 → 编辑VOI 授权策略
2. 进入【软件管控】→【软件黑名单】，新增两条规则：

规则 1：拦截教师端安装程序（阻止双击安装）

• 匹配方式：文件哈希值（推荐，防改名绕过）
• 获取方式：
  1）运维电脑拷贝教师端 Setup 安装包；
  2）平台上传安装包自动提取 SHA256 哈希；
  或匹配进程名称：TeacherSetup.exe、ClassTeacher.exe（按实际安装程序名填写）
• 管控动作：禁止运行 + 弹窗告警，双击安装包直接拦截，无法启动安装向导。

规则 2：拦截教师端主程序（防止已安装后启动）

关键优势

1. 离线胖终端 SpaceOS 本地内核拦截，断网也生效；
2. 拦截全流程日志上传平台，可查看哪个学生尝试运行教师端安装包；
3. 不用关闭 USB、网络，不影响正常教学文件传输。

二、第二层：外设 / 文件传输策略，阻断安装包流入学生端（源头封堵）

1. USB 外设精细化管控（不用全局禁用）

• 开启 USB 读写过滤：仅允许教学文档格式（docx/xlsx/pdf/ 图片），拦截 exe/msi 安装包；
• 禁用 U 盘可执行文件读写，学生拷贝 exe 直接失败，拿不到安装包。

2. 剪贴板 / 网盘 / 浏览器下载管控

1. 关闭跨终端剪贴板文件传输，禁止教师机把安装包复制到学生机；
2. 浏览器策略黑名单，屏蔽网盘、文件分享站点下载安装包；
3. 禁止学生端本地运行解压软件（压缩包存放安装包也无法解压）。

三、第三层：系统权限管控，禁止学生安装任何软件（兜底防护）

方案 A：学生终端默认普通用户权限（推荐）

1. Windows 标准用户无法写入 C 盘 Program Files、修改注册表；
2. 教师端安装程序需要管理员权限，直接安装失败，弹出权限不足；
3. 搭配本地管理员密码（仅运维掌握），学生无法提权。

方案 B：内置 Windows 软件限制策略（镜像预制）

1. 禁止 Windows Installer MSI 安装；
2. 哈希规则封禁教师端全系列 exe；
3. 禁止运行第三方解压、安装工具。

四、第四层：镜像固化 + 开机还原（终极兜底，事后自动清理）

1. 单节课还原：下课重启自动清空所有本地安装软件、拷贝的安装包；
2. 全盘保护：每次开机恢复纯净镜像，学生机所有修改不落地。
   效果：即便学生侥幸绕过策略装好教师端，重启终端立刻清除，下节课恢复干净环境。

五、分层落地最优组合（机房最简配置，教师零操作）

1. 必配（核心）：VOI 策略软件黑名单（哈希拦截教师端安装包 + 主程序）；
2. 源头管控：USB 过滤禁止 exe 传输、限制解压软件；
3. 权限加固：镜像设置学生标准账户，无管理员权限；
4. 兜底清理：开启终端开机自动还原。
   整套配置完成后，无需上课手动关闭 USB / 网络，学生无法拷贝、无法运行、无法安装教师端。

六、常见坑点说明

1. 仅用进程名黑名单：学生修改安装包 exe 名称即可绕过，必须搭配哈希规则；
2. 只拦截运行不限制 USB：学生持续拷贝安装包，存在绕过风险；
3. 未开启开机还原：少数学生深夜提前装好教师端，次日上课生效；
4. 策略修改后未重启终端：VOI 策略需教室下课重进终端才会下发。

七、临时应急快速验证

1. 把教师端安装包拷贝到学生机双击，黑名单直接弹窗拦截；
2. 尝试安装，因无管理员权限直接报错；
3. 重启学生机，本地所有安装包、残留文件自动清除。