Windwos的魔戒之組策略二

作者：佚名 2011-07-22 13:32:09

本文接著介紹組策略的應(yīng)用實(shí)例。

繼上文Windwos的魔戒之組策略一之后，本文接著介紹組策略是如何應(yīng)用的，具體內(nèi)容如下所述。

管理模板及其增強(qiáng)組件

在組策略編輯器中還有一類比較特殊的策略，即管理模板。通過管理模板我們主要可以對(duì)操作系統(tǒng)的一些組件進(jìn)行設(shè)置。下面的內(nèi)容主要會(huì)以計(jì)算機(jī)配置之中的相關(guān)策略進(jìn)行說明。

脫機(jī)文件的保密

很多有筆記本電腦的用戶都有可能在出差或上班途中使用筆記本電腦處理工作上的文件，這里就可以用到Windows XP Professional的脫機(jī)文件功能，當(dāng)你設(shè)置共享文件或共享文件夾可以脫機(jī)使用后，Windows會(huì)緩存（也就是臨時(shí)保存）服務(wù)器上你選擇的文件或文件夾的副本到本地硬盤上。這樣當(dāng)你從網(wǎng)絡(luò)中斷開后，就可以使用這些文件的副本來(lái)工作，但是感覺上就好像那些還是網(wǎng)絡(luò)中的共享文件。而當(dāng)你重新連接到網(wǎng)絡(luò)后，Windows會(huì)把你這里的緩存和服務(wù)器上的共享文件同步，這樣在服務(wù)器和你的本地硬盤上就都保留有最新版本的文件了。雖然脫機(jī)文件功能很好用，不過一定要注意一點(diǎn)，就是本地緩存的脫機(jī)文件是沒有被加密的。如果你處理的是敏感數(shù)據(jù)文件，雖然服務(wù)器能夠通過訪問控制保護(hù)這些文件的安全，不過當(dāng)你緩存到本地后如果沒有經(jīng)過很好的處理，其他人就有可能會(huì)訪問到這些內(nèi)容。解決的辦法也很簡(jiǎn)單，我們可以通過組策略設(shè)置加密脫機(jī)文件緩存。展開組策略編輯器左側(cè)樹形圖到“計(jì)算機(jī)配置/管理模板/網(wǎng)絡(luò)/脫機(jī)文件”，然后啟用其中的“對(duì)脫機(jī)文件緩存進(jìn)行加密”這一策略。

重定向Windows安裝源位置

假設(shè)這種情況，你從光盤上安裝了Windows XP，同時(shí)為了備份的需要，把所有安裝文件都復(fù)制到了硬盤上一個(gè)位置。某天可能因?yàn)橐恍┰颍ㄈ缬?jì)算機(jī)感染病毒），你的重要系統(tǒng)文件被替換，而系統(tǒng)總是提醒你在光驅(qū)中放入Windows XP安裝光盤，以便恢復(fù)文件。每次都這樣固然很麻煩，硬盤上不是保留有安裝文件的備份么，為什么系統(tǒng)不能直接從這個(gè)備份中進(jìn)行恢復(fù)？其實(shí)那是因?yàn)樵谙到y(tǒng)的記錄中，安裝文件的位置還是位于你的光驅(qū)上，只要你把這個(gè)位置記錄修改為保存?zhèn)浞菸募奈恢镁涂梢粤恕Ｕ归_組策略到“計(jì)算機(jī)配置/管理模板/系統(tǒng)”，然后打開“指定Windows安裝文件位置”這條策略，啟用它，并在下面的對(duì)話框中輸入安裝文件的保存路徑。這樣以后如果需要從安裝文件中恢復(fù)系統(tǒng)文件，系統(tǒng)會(huì)首先嘗試你在這里輸入的路徑。

加入其他模板

安全模板的功能是很強(qiáng)大的，不過能通過安全模板功能設(shè)置的可不僅如此。如果你安裝了其它支持的工具，或者從微軟下載了額外的模板，那么還可以把這些模板導(dǎo)入到你的組策略編輯器中。方法是這樣的：在組策略編輯器左側(cè)樹形圖的“管理模板”分支上點(diǎn)擊鼠標(biāo)右鍵，在彈出菜單中選擇“添加/刪除模板”，接著會(huì)打開添加/刪除模板對(duì)話框，這里顯示的是已經(jīng)載入得模板，點(diǎn)擊添加按鈕后你還可以加入其它模板文件，這些文件有可能來(lái)自微軟，有可能是其他軟件附帶的。而保存模板的默認(rèn)位置是“%systemroot%\inf”，這里的%systemroot%是一個(gè)環(huán)境變量，代表Windows文件夾。如果你的模板文件保存在其他位置，那么可以在點(diǎn)擊添加按鈕后定位并載入。本例中我們載入的模板是“wuau.adm”，這是在安裝了SP1之后的Windows XP中加入的SUS客戶端。

模板載入后重新打開管理模板下的Windows組件分支，你可以看到，我們新加入的模板已經(jīng)顯示在這個(gè)分支下了，利用這種方法，我們可以通過模板對(duì)很多本沒有顯示在這里的模板進(jìn)行設(shè)置，實(shí)現(xiàn)更強(qiáng)大的功能。

軟件限制策略的應(yīng)用

單位的網(wǎng)絡(luò)管理員肯定都遇到過這種困擾，老板不希望員工在工作的時(shí)間聊QQ或者玩游戲，而總有員工會(huì)私下里安裝被禁止的軟件。怎樣避免這種情況？雖然有監(jiān)控軟件可以用，不過這樣顯得有些侵犯隱私。同時(shí)還有一種很麻煩的情況，現(xiàn)在越來(lái)越多的病毒通過電子郵件傳播，很多人都是無(wú)意中運(yùn)行了電子郵件的附件而中毒的，有沒有什么好的手段可以避免員工運(yùn)行來(lái)歷不明的文件？現(xiàn)在好了，如果你的客戶端是Windows XP Professional，那么就可以使用其中的軟件限制策略。

簡(jiǎn)單來(lái)說，軟件限制策略是一種技術(shù)，通過這種技術(shù)，管理員可以決定哪些程序（雖然這里用了“程序”這個(gè)字眼，不過不單指exe文件，我們可以通過該技術(shù)限制任何類型擴(kuò)展名的文件被執(zhí)行）是可信賴的，而哪些是不可信賴的，對(duì)于不可信賴的程序，則系統(tǒng)會(huì)拒絕執(zhí)行。通常，管理員可以讓系統(tǒng)使用以下幾種方式鑒別軟件是否可信賴：文件的路徑、文件的哈希（Hash）值、文件的證書、文件被下載的網(wǎng)站在Internet選項(xiàng)中的區(qū)域、文件的發(fā)行商、特定擴(kuò)展名等。

小知識(shí)：Hash是根據(jù)某種Hash算法計(jì)算出來(lái)的具有固定長(zhǎng)度的一系列字節(jié)，可唯一識(shí)別程序或文件。簡(jiǎn)單來(lái)說，文件的Hash值可以理解為文件的身份證，每個(gè)文件都有不同的Hash值，而如果文件的內(nèi)容發(fā)生了改變，哪怕只改變了一個(gè)字節(jié)，則文件的Hash值也將發(fā)生變化。

軟件限制策略不僅可以在單機(jī)的Windows XP操作系統(tǒng)中設(shè)置，可以設(shè)置僅影響當(dāng)前用戶或用戶組，或者影響所有本地登錄到這臺(tái)計(jì)算機(jī)上的所有用戶；也可以通過域?qū)λ屑尤朐撚虻目蛻舳擞?jì)算機(jī)進(jìn)行設(shè)置，同樣可以設(shè)置影響某個(gè)特定的用戶或用戶組，或者所有用戶。我們這里會(huì)以單機(jī)的形式進(jìn)行說明，并設(shè)置影響所有用戶。單機(jī)和工作組環(huán)境下的設(shè)置和這個(gè)是類似的。

注意：有時(shí)我們可能因?yàn)殄e(cuò)誤的設(shè)置而導(dǎo)致某些系統(tǒng)組件無(wú)法運(yùn)行（例如禁止運(yùn)行所有msc后綴的文件而無(wú)法打開組策略編輯器），這種情況下我們只要重新啟動(dòng)系統(tǒng)到安全模式，然后使用Administrator賬號(hào)登錄并刪除或修改這一策略即可。因?yàn)榘踩Ｊ较率褂肁dministrator賬號(hào)登錄是不受這些策略影響的。

在本例中，我們假設(shè)了這樣的應(yīng)用：?jiǎn)T工的計(jì)算機(jī)僅可運(yùn)行操作系統(tǒng)自帶的所有程序（C盤），以及工作所必須的Word、Excel、PowerPoint和Outlook，其版本號(hào)皆為2003，并假設(shè)Office程序安裝在D盤，員工電腦的操作系統(tǒng)為Windows XP Professional。

運(yùn)行g(shù)pedit.msc打開組策略編輯器，在“計(jì)算機(jī)配置”和“用戶設(shè)置”下都各有一個(gè)軟件限制策略的條目（如圖3），到底使用哪個(gè)？如果你希望這個(gè)策略僅對(duì)某個(gè)特定用戶或用戶組生效，則使用“用戶配置”下的策略；如果你希望對(duì)本地登錄到計(jì)算機(jī)的所有用戶生效，則使用“計(jì)算機(jī)配置”下的策略。這里我們需要對(duì)所有用戶生效，因此選擇使用“計(jì)算機(jī)配置”下的策略。

在開始配置之前我們還需要考慮一個(gè)問題，所允許的軟件都有哪些特征，而禁用的軟件又有哪些特征，我們要想出一種最佳的策略，能使所有需要的軟件正確運(yùn)行，而所有不必要的軟件一個(gè)都無(wú)法運(yùn)行。在本例中，我們?cè)试S的大部分程序都位于系統(tǒng)盤（C盤）的Program Files以及Windows文件夾下，因此我們?cè)谶@里可以通過文件所在路徑的方法決定哪些程序是被信任的。而對(duì)于安裝在D盤的Office程序，也可任意通過路徑或者文件哈希的方法來(lái)決定。

點(diǎn)擊打開“計(jì)算機(jī)配置”下的軟件限制策略條目，接著在“操作”菜單下點(diǎn)擊“創(chuàng)建新的策略”（目前在安裝SP1的XP上，這里默認(rèn)是沒有任何策略的，但是對(duì)于安裝SP2的系統(tǒng)，這里已經(jīng)有了建好的默認(rèn)策略），系統(tǒng)將會(huì)創(chuàng)建兩個(gè)新的條目：“安全級(jí)別”和“其它規(guī)則”。其中在安全級(jí)別條目下有兩條規(guī)則，“不允許的”和“不受限的”，其中前者的意思是，默認(rèn)情況下，所有軟件都不允許運(yùn)行，只有特別配置過的少數(shù)軟件才可以運(yùn)行；而后者的意思是，默認(rèn)情況下，所有軟件都可以運(yùn)行，只有特別配置過的少數(shù)軟件才被禁止運(yùn)行。因?yàn)槲覀儽纠行枰\(yùn)行的軟件都已經(jīng)定下來(lái)了，因此我們需要使用“不允許的”作為默認(rèn)規(guī)則。雙擊這條規(guī)則，然后點(diǎn)擊“設(shè)為默認(rèn)”按鈕，并在同意警告信息后繼續(xù)。

接著打開“其他規(guī)則”條目，可以看到，默認(rèn)情況下這里已經(jīng)有四個(gè)規(guī)則，都是根據(jù)注冊(cè)表路徑設(shè)置的，而且默認(rèn)都設(shè)置為“不受限的”。強(qiáng)烈提醒你，千萬(wàn)不要修改這四個(gè)規(guī)則，否則你的系統(tǒng)運(yùn)行將會(huì)遇到很大麻煩，因?yàn)檫@四個(gè)路徑都涉及到了重要系統(tǒng)程序及文件所在的位置。同時(shí)，我們前面說過的，位于系統(tǒng)盤下Program Files文件夾以及Windows文件夾下的文件是允許運(yùn)行的，而這四條默認(rèn)的規(guī)則已經(jīng)包含了這個(gè)路徑，因此我們后面要做的只是為Office程序添加一個(gè)規(guī)則。在右側(cè)面板的空白處點(diǎn)擊鼠標(biāo)右鍵，選擇“新建哈希規(guī)則”，然后可以看到（如圖4）的界面。在這里點(diǎn)擊“瀏覽”按鈕，然后定位所有允許使用的Office程序的可執(zhí)行文件winword.exe、excel.exe、powerpnt.exe、outlook.exe，并雙擊加入。接著在“安全級(jí)別”下拉菜單下選擇“不受限的”，然后點(diǎn)擊確定退出。重復(fù)以上步驟，把這四個(gè)軟件的可執(zhí)行文件都添加進(jìn)來(lái)，并設(shè)置為不受限的。

到這里大家可以考慮一個(gè)問題，為什么我們選擇為每個(gè)程序的可執(zhí)行文件建立哈希規(guī)則？統(tǒng)一為Office應(yīng)用程序建立一個(gè)路徑規(guī)則不是更簡(jiǎn)單？其實(shí)這樣才可以避免可執(zhí)行文件被替換，或者用戶把一些不需要安裝的綠色軟件復(fù)制到這個(gè)目錄下運(yùn)行。因?yàn)槿绻⒌氖悄夸浺?guī)則，那么所有保存在允許目錄下的文件都將可以被執(zhí)行，包括允許程序本身的文件，也包括用戶復(fù)制進(jìn)來(lái)的任何其他文件。而哈希規(guī)則就不同了，一個(gè)特定文件的哈希值是固定的，只要文件內(nèi)容不發(fā)生變化，那么它的哈希值就永遠(yuǎn)不會(huì)變。這樣也就避免了造假的可能。不過同時(shí)也存在一個(gè)問題，雖然文件的哈希值可以不變化，但是文件本身可能會(huì)需要某些改變。例如你安裝了一個(gè)Word的補(bǔ)丁程序，那么winword.exe文件的哈希值可能就會(huì)變化。因此如果你選擇創(chuàng)建這種規(guī)則，每當(dāng)軟件更新后你也需要看情況同步更新一下相應(yīng)的規(guī)則。否則正常程序的運(yùn)行也會(huì)被影響。

除此之外，這里還有幾條策略可以被我們利用：強(qiáng)制，可以限定軟件限制策略應(yīng)用到哪些文件以及是否應(yīng)用到Administrator賬戶；指派的文件類型，用于指定具有哪些擴(kuò)展名的文件可以被系統(tǒng)認(rèn)為是可執(zhí)行文件，我們可以添加或刪除某種類型擴(kuò)展名的文件；收信任的出版商，則可以用來(lái)決定哪些用戶可以選擇收信任的出版商，以及信任之前還需要采取的其他操作。這三個(gè)策略可以根據(jù)自己的實(shí)際情況作出選擇。

當(dāng)軟件顯示策略設(shè)置好之后，一旦被限制的用戶試圖運(yùn)行被禁止的程序，那么系統(tǒng)將會(huì)立刻發(fā)出警告并拒絕執(zhí)行。

希望本文中對(duì)組策略的介紹能夠?qū)ψx者有所幫助，更多有關(guān)組策略的知識(shí)還有待于讀者去學(xué)習(xí)和掌握。

【編輯推薦】