Windwos的魔戒之組策略二
繼上文Windwos的魔戒之組策略一之后,本文接著介紹組策略是如何應用的,具體內容如下所述。
管理模板及其增強組件
在組策略編輯器中還有一類比較特殊的策略,即管理模板。通過管理模板我們主要可以對操作系統的一些組件進行設置。下面的內容主要會以計算機配置之中的相關策略進行說明。
脫機文件的保密
很多有筆記本電腦的用戶都有可能在出差或上班途中使用筆記本電腦處理工作上的文件,這里就可以用到Windows XP Professional的脫機文件功能,當你設置共享文件或共享文件夾可以脫機使用后,Windows會緩存(也就是臨時保存)服務器上你選擇的文件或文件夾的副本到本地硬盤上。這樣當你從網絡中斷開后,就可以使用這些文件的副本來工作,但是感覺上就好像那些還是網絡中的共享文件。而當你重新連接到網絡后,Windows會把你這里的緩存和服務器上的共享文件同步,這樣在服務器和你的本地硬盤上就都保留有最新版本的文件了。雖然脫機文件功能很好用,不過一定要注意一點,就是本地緩存的脫機文件是沒有被加密的。如果你處理的是敏感數據文件,雖然服務器能夠通過訪問控制保護這些文件的安全,不過當你緩存到本地后如果沒有經過很好的處理,其他人就有可能會訪問到這些內容。解決的辦法也很簡單,我們可以通過組策略設置加密脫機文件緩存。展開組策略編輯器左側樹形圖到“計算機配置/管理模板/網絡/脫機文件”,然后啟用其中的“對脫機文件緩存進行加密”這一策略。
重定向Windows安裝源位置
假設這種情況,你從光盤上安裝了Windows XP,同時為了備份的需要,把所有安裝文件都復制到了硬盤上一個位置。某天可能因為一些原因(如計算機感染病毒),你的重要系統文件被替換,而系統總是提醒你在光驅中放入Windows XP安裝光盤,以便恢復文件。每次都這樣固然很麻煩,硬盤上不是保留有安裝文件的備份么,為什么系統不能直接從這個備份中進行恢復?其實那是因為在系統的記錄中,安裝文件的位置還是位于你的光驅上,只要你把這個位置記錄修改為保存備份文件的位置就可以了。展開組策略到“計算機配置/管理模板/系統”,然后打開“指定Windows安裝文件位置”這條策略,啟用它,并在下面的對話框中輸入安裝文件的保存路徑。這樣以后如果需要從安裝文件中恢復系統文件,系統會首先嘗試你在這里輸入的路徑。
加入其他模板
安全模板的功能是很強大的,不過能通過安全模板功能設置的可不僅如此。如果你安裝了其它支持的工具,或者從微軟下載了額外的模板,那么還可以把這些模板導入到你的組策略編輯器中。方法是這樣的:在組策略編輯器左側樹形圖的“管理模板”分支上點擊鼠標右鍵,在彈出菜單中選擇“添加/刪除模板”,接著會打開添加/刪除模板對話框,這里顯示的是已經載入得模板,點擊添加按鈕后你還可以加入其它模板文件,這些文件有可能來自微軟,有可能是其他軟件附帶的。而保存模板的默認位置是“%systemroot%\inf”,這里的%systemroot%是一個環境變量,代表Windows文件夾。如果你的模板文件保存在其他位置,那么可以在點擊添加按鈕后定位并載入。本例中我們載入的模板是“wuau.adm”,這是在安裝了SP1之后的Windows XP中加入的SUS客戶端。
模板載入后重新打開管理模板下的Windows組件分支,你可以看到,我們新加入的模板已經顯示在這個分支下了,利用這種方法,我們可以通過模板對很多本沒有顯示在這里的模板進行設置,實現更強大的功能。
軟件限制策略的應用
單位的網絡管理員肯定都遇到過這種困擾,老板不希望員工在工作的時間聊QQ或者玩游戲,而總有員工會私下里安裝被禁止的軟件。怎樣避免這種情況?雖然有監控軟件可以用,不過這樣顯得有些侵犯隱私。同時還有一種很麻煩的情況,現在越來越多的病毒通過電子郵件傳播,很多人都是無意中運行了電子郵件的附件而中毒的,有沒有什么好的手段可以避免員工運行來歷不明的文件?現在好了,如果你的客戶端是Windows XP Professional,那么就可以使用其中的軟件限制策略。
簡單來說,軟件限制策略是一種技術,通過這種技術,管理員可以決定哪些程序(雖然這里用了“程序”這個字眼,不過不單指exe文件,我們可以通過該技術限制任何類型擴展名的文件被執行)是可信賴的,而哪些是不可信賴的,對于不可信賴的程序,則系統會拒絕執行。通常,管理員可以讓系統使用以下幾種方式鑒別軟件是否可信賴:文件的路徑、文件的哈希(Hash)值、文件的證書、文件被下載的網站在Internet選項中的區域、文件的發行商、特定擴展名等。
小知識:Hash是根據某種Hash算法計算出來的具有固定長度的一系列字節,可唯一識別程序或文件。簡單來說,文件的Hash值可以理解為文件的身份證,每個文件都有不同的Hash值,而如果文件的內容發生了改變,哪怕只改變了一個字節,則文件的Hash值也將發生變化。
軟件限制策略不僅可以在單機的Windows XP操作系統中設置,可以設置僅影響當前用戶或用戶組,或者影響所有本地登錄到這臺計算機上的所有用戶;也可以通過域對所有加入該域的客戶端計算機進行設置,同樣可以設置影響某個特定的用戶或用戶組,或者所有用戶。我們這里會以單機的形式進行說明,并設置影響所有用戶。單機和工作組環境下的設置和這個是類似的。
注意:有時我們可能因為錯誤的設置而導致某些系統組件無法運行(例如禁止運行所有msc后綴的文件而無法打開組策略編輯器),這種情況下我們只要重新啟動系統到安全模式,然后使用Administrator賬號登錄并刪除或修改這一策略即可。因為安全模式下使用Administrator賬號登錄是不受這些策略影響的。
在本例中,我們假設了這樣的應用:員工的計算機僅可運行操作系統自帶的所有程序(C盤),以及工作所必須的Word、Excel、PowerPoint和Outlook,其版本號皆為2003,并假設Office程序安裝在D盤,員工電腦的操作系統為Windows XP Professional。
運行gpedit.msc打開組策略編輯器,在“計算機配置”和“用戶設置”下都各有一個軟件限制策略的條目(如圖3),到底使用哪個?如果你希望這個策略僅對某個特定用戶或用戶組生效,則使用“用戶配置”下的策略;如果你希望對本地登錄到計算機的所有用戶生效,則使用“計算機配置”下的策略。這里我們需要對所有用戶生效,因此選擇使用“計算機配置”下的策略。
在開始配置之前我們還需要考慮一個問題,所允許的軟件都有哪些特征,而禁用的軟件又有哪些特征,我們要想出一種最佳的策略,能使所有需要的軟件正確運行,而所有不必要的軟件一個都無法運行。在本例中,我們允許的大部分程序都位于系統盤(C盤)的Program Files以及Windows文件夾下,因此我們在這里可以通過文件所在路徑的方法決定哪些程序是被信任的。而對于安裝在D盤的Office程序,也可任意通過路徑或者文件哈希的方法來決定。
點擊打開“計算機配置”下的軟件限制策略條目,接著在“操作”菜單下點擊“創建新的策略”(目前在安裝SP1的XP上,這里默認是沒有任何策略的,但是對于安裝SP2的系統,這里已經有了建好的默認策略),系統將會創建兩個新的條目:“安全級別”和“其它規則”。其中在安全級別條目下有兩條規則,“不允許的”和“不受限的”,其中前者的意思是,默認情況下,所有軟件都不允許運行,只有特別配置過的少數軟件才可以運行;而后者的意思是,默認情況下,所有軟件都可以運行,只有特別配置過的少數軟件才被禁止運行。因為我們本例中需要運行的軟件都已經定下來了,因此我們需要使用“不允許的”作為默認規則。雙擊這條規則,然后點擊“設為默認”按鈕,并在同意警告信息后繼續。
接著打開“其他規則”條目,可以看到,默認情況下這里已經有四個規則,都是根據注冊表路徑設置的,而且默認都設置為“不受限的”。強烈提醒你,千萬不要修改這四個規則,否則你的系統運行將會遇到很大麻煩,因為這四個路徑都涉及到了重要系統程序及文件所在的位置。同時,我們前面說過的,位于系統盤下Program Files文件夾以及Windows文件夾下的文件是允許運行的,而這四條默認的規則已經包含了這個路徑,因此我們后面要做的只是為Office程序添加一個規則。在右側面板的空白處點擊鼠標右鍵,選擇“新建哈希規則”,然后可以看到(如圖4)的界面。在這里點擊“瀏覽”按鈕,然后定位所有允許使用的Office程序的可執行文件winword.exe、excel.exe、powerpnt.exe、outlook.exe,并雙擊加入。接著在“安全級別”下拉菜單下選擇“不受限的”,然后點擊確定退出。重復以上步驟,把這四個軟件的可執行文件都添加進來,并設置為不受限的。
到這里大家可以考慮一個問題,為什么我們選擇為每個程序的可執行文件建立哈希規則?統一為Office應用程序建立一個路徑規則不是更簡單?其實這樣才可以避免可執行文件被替換,或者用戶把一些不需要安裝的綠色軟件復制到這個目錄下運行。因為如果建立的是目錄規則,那么所有保存在允許目錄下的文件都將可以被執行,包括允許程序本身的文件,也包括用戶復制進來的任何其他文件。而哈希規則就不同了,一個特定文件的哈希值是固定的,只要文件內容不發生變化,那么它的哈希值就永遠不會變。這樣也就避免了造假的可能。不過同時也存在一個問題,雖然文件的哈希值可以不變化,但是文件本身可能會需要某些改變。例如你安裝了一個Word的補丁程序,那么winword.exe文件的哈希值可能就會變化。因此如果你選擇創建這種規則,每當軟件更新后你也需要看情況同步更新一下相應的規則。否則正常程序的運行也會被影響。
除此之外,這里還有幾條策略可以被我們利用:強制,可以限定軟件限制策略應用到哪些文件以及是否應用到Administrator賬戶;指派的文件類型,用于指定具有哪些擴展名的文件可以被系統認為是可執行文件,我們可以添加或刪除某種類型擴展名的文件;收信任的出版商,則可以用來決定哪些用戶可以選擇收信任的出版商,以及信任之前還需要采取的其他操作。這三個策略可以根據自己的實際情況作出選擇。
當軟件顯示策略設置好之后,一旦被限制的用戶試圖運行被禁止的程序,那么系統將會立刻發出警告并拒絕執行。
希望本文中對組策略的介紹能夠對讀者有所幫助,更多有關組策略的知識還有待于讀者去學習和掌握。
【編輯推薦】
