您的浏览器Javascript被禁用,需开启后体验完整功能, 请单击此处查询如何开启
网页 资讯 视频 图片 知道 贴吧 采购 地图 文库 |

靠谱的幸运飞艇qq群,活动目录—组策略在企业环境中的部署应用_IT/计算机_专业资料

1245人阅读|117次下载

靠谱的幸运飞艇qq群,活动目录—组策略在企业环境中的部署应用_IT/计算机_专业资料。 活动目录组策略在企业环境中的部署应用 目 录 摘 要......................................................................


活动目录组策略在企业环境中的部署应用 目 录 摘 要............................................................................................................................... II 英文摘要.............................................................................................................................. III 1 绪论.................................................................................................................................. 1 1.1 分析 ............................................................................................................................ 1 1.2 组策略的可行性分析 ................................................................................................ 2 2 组策略概述...................................................................................................................... 4 2.1 组策略的应用顺序与规则 ........................................................................................ 4 2.2 阻止策略的继承 ........................................................................................................ 5 2.3 强迫继承策略 ............................................................................................................ 6 3 策略的对象...................................................................................................................... 8 3.1 更改组策略 ................................................................................................................ 8 3.2 使组策略生效的方法 .............................................................................................. 10 4 策略在公司中的应用实例............................................................................................ 11 4.1 部署应用程序 .......................................................................................................... 11 4.2 软件限制策略 .......................................................................................................... 17 4.2.1 概述................................................................................................................... 17 4.2.2 加规则和安全级别........................................................................................... 18 4.2.3 软件限制策略的优先权................................................................................... 19 4.2.4 规则的权限分配及继承................................................................................... 22 4.2.5 规则的编写....................................................................................................... 25 4.2.6 实例规则........................................................................................................... 27 4.3 用户权利的设置 ...................................................................................................... 28 4.4 IE 浏览器的设置 ..................................................................................................... 30 4.5 脚本的设置 .............................................................................................................. 32 4.5.1 登录/注销脚本的设置 ..................................................................................... 32 4.5.2 启动/关闭脚本的设置 ..................................................................................... 33 5 结论................................................................................................................................ 34 致 谢.............................................................................................................................. 35 参考文献.............................................................................................................................. 35 - - I 活动目录组策略在企业环境中的部署应用 摘要:随着机网络技术的快速发展,现代化办公已经成为公司的 首选?科椎男以朔赏q群车墓芾碛肟刂品绞皆谒俣取⒖煽啃院桶踩陨弦丫苣 满足公司的要求,集中控制管理成为企业的新宠。同时,集中控制 系统对企业还有重大的意义,它为企业提高工作效率提供了保证。 自它诞生以来,以其优越的特点,受到广大企业的好评。靠谱的幸运飞艇qq群本着学以 致用的原则,本人将完成一些企业实用的策略,满足企业的要求。 这些策略具有完成简单,操作简单,功能强大的特点。本论文就组 策略的实现做了详细介绍,并对原理做了深入细致的讨论。 关键词:集中管理控制;组策略;软件集中部署 - - II 活动目录组策略在企业环境中的部署应用 The Deployment and Application for AD Group Policy in the Enterprise Environment Abstract: Along with the rapid development of computer network technology, the modern office has become the company's first choice, the traditional management and control mode in speed, reliability and safety has been difficult to meet the requirement of the company, centralized control management to become the enterprise to be bestowed favor on newly. Meanwhile, centralized control system of enterprise and of great significance for the enterprise, it offers guarantee to improve work efficiency. Since it births , with its superior characteristic, well received by the enterprise's praise. Adhering to the principle of studying, I will finish some enterprise practical strategies, satisfying the requirements. These strategies have complete, easy to operate, a simple, powerful features. This thesis is the realization of the group strategy is introduced, and the principle of thorough discussion. Keywords: Centralized management control; The group policy; Software concentrated deployment - - III 活动目录组策略在企业环境中的部署应用 1 绪论 随着信息社会化的飞速发展,企业单位面临着新的发展机遇,同时也将要迎 接更大的挑战。一方面要努力改进和完善企业的传统的工作模式,另一方面又要 基于网络环境开发新的管理方式,尽最大可能的实现资源的有效管理和使用。而 在技术人员编制有限的情况下,既要保证操作系统、软件资源的安全与稳定,还 要尽可能的全日制开放,实现网络资源的共享,还要做好工作人员的权限管理、 工作效率的管理和使用安全性的管理,工作量是可想而知的。 在一些全开放的计算机用户平台系统中, 时常发生使用者修改了系统配置或 是删除系统文件等原因而造成的计算机故障。 这些故障往往会使一个有经验的技 术人员折腾好一阵子,有时不得不重装机器。还有,文件的管理,由于没有有效 的安全保护,是任何人能接触,经常导致企业的机密资料的泄露,带来经济上不 可挽回的损失。这就需要专人看管,浪费人力资源。网络办公以后,员工都能上 网,聊 QQ 等等,这些都直接的降低了员工上班时的工作效率。靠谱的幸运飞艇qq群面对这些情况, 要采取一些手段才能行,但效果往往不是很明显。 如何有效的实现对计算机的管理?如何减轻网络管理的负担?怎么样在软 件的安装、维护、升级中提高工作效率?怎么样保证资料的在网络中储存的相对 安全性?怎样避免员工在工作中开小差?在工作条件允许的情况下,可以利用 Window Server 2003 自带的“组策略”简单方便地解决这些问题。靠谱的幸运飞艇qq群 1.1 分析 对策略的深入了解是组策略定制者成功的前提条件, 只有真正满足企业需求 的策略才是好的策略。策略需求分析将要回答的问题是:企业要什么样的策略, 策略能做什么等问题。只有锁定目标,才能更有效率,更正确的工作。 (1)功能需求 组策略的实际应用分“计算机配置”与“用户配置”两部分, “计算机配置” 是组策略的主要生成部分, “用户配置” 而域 才是调用策略实现功能的组成部分。 - - 1 活动目录组策略在企业环境中的部署应用 1)“计算机配置”主要功能如下 在编辑器里设置策略 应用于整个域服务器 2)“用户配置”的主要方面 加入域,当用户登陆时,就会根据“用户配置”的内容来设置用户的工 作环境。 (2)可靠性需求 组策略算是一个应用的程序,它主要由手工完成对域控的设置,应用于域, 最后完成策略的分发部署,不需要对每台成员服务器进行配置,不光减少了劳动 作业,而且也尽可能的避免了重复作业引起的一些失误。 1.2 组策略的可行性分析 本章从技术操作和经济优越性三个方面对组策略的可行性做出了分析。 确定 了组策略是否值得实现。靠谱的幸运飞艇qq群可行性分析是对每一个任务的不可或缺的重要组成部 分。对问题的可行性做详细认真的可行性研究,可以避免很多不必要的浪费,确 保用最小的代价在尽可能短的时间内确定问题是否能够解决。 (1)技术操作优越性 “组策略”是管理员为用户和计算机定义并控制程序,网络资源及操作系统 行为的主要工具,它是策略发布机制的更成熟的形式,Windows2000 仍然支持系 统策略,但更推荐使用组策略,它不仅包裹更广泛的注册表项目,还包括登陆/ 注销脚本,自动软件下载,安全配置,文件夹重定向等选项。它与传统的系统策 略之间的一个重要的区别是:组策略的应用不是永久的,它不会像系统策略一样 持续地影响注册表。靠谱的幸运飞艇qq群 总所周知, 注册表是操作系统的灵魂, 通过对它的优化使用, 不仅可以提高系统的整体性能,排除计算机的常见故障,还可以根据实际的情况 对计算机进行个性化设置。但注册表是深奥的。同时它又是非常脆弱的,如果对 注册表进行了有意或无意的损坏,轻则系统出现异常,重则导致整个系统瘫痪。 2 活动目录组策略在企业环境中的部署应用 当然,为了避免和降低一般用户在不熟悉注册表的情况下,修改注册表的风险, 用户可以使用一些优秀的注册表修改工具, 有些工具在不断的使用完善中已经相 当好用。本文旨在探讨用 Windows2003 的“组策略”作为解决问题的工具。简单 地说,无论是系统管理员还是一般用户都可以使用“组策略”达到修改注册表, 管理和设置计算机的目的。举例来说,“组策略”可以帮助用户做到决定用户桌 面环境有哪些组件,如哪些用户可以使用的程序,哪些是要出现在用户桌面上的 图标,“开始”菜单中有哪些选项,哪些用户可以修改桌面,哪些用户不能修改 桌面等等。可通过软件设置部署过程,实现软件集中管理配置,从而避免了修改 注册表的风险,减少管理工作量,提高管理工作的效率。 (2)经济的优越性 在 Windows 服务器的发展中,策略就是其中重要的发展部分,为微软服务器 的发展创造了一个好的环境, 可以说正是这个策略造就了作为服务器的微软的龙 头地位。在服务器的世界中,有很多优秀的操作系统,作为公司的服务器在被使 用,但是 windows 凭借其简单的操 作方法,成熟的技术,和适中的价格成为了 多数企业的首选。 - - 3 活动目录组策略在企业环境中的部署应用 2 组策略概述 组策略可以针对站点,域和组织单位设置组策略。这些组策略存储在 C: \WINNT\SYSVOL\sysvol\adc.com\Policies 目录下。 2.1 组策略的应用顺序与规则 组策略大致可以分为四个层面: 1.本地组策略 2.站点组策略 3.域组策略 4.组织单位的组策略 默认,后应用的策略将覆盖以前的应用的策略。具体说明如下: 通常, 组策略在域中从父 “容器” 向下传递给子 “容器” 对此可以使用 Active , Directory 用户和计算机管理单元进行查看。父“域”中的组策略不会被子“域” 继承,例如从 wingtiptoys.com 到 sales.wingtiptoys.com。可以使用 Active Directory 域和信任关系管理单元管理这种类型的关系,它与组策略无关。 如果为一个高级别的父容器指派特定的组策略设置, 则这个组策略适用于该 父容器下的所有容器,包括每个容器中的用户和计算机对象。但是,如果您明确 为某个子容器指定组策略设置,则子容器的组策略设置将覆盖父容器的设置。 如果父组织单位具有未配置的策略设置,则子组织单位将不会继承。禁用的 策略设置继承后也是禁用的。此外,如果父组织单位已经配置某策略设置(启用 或禁用),而子组织单位并未配置同一策略设置,则子组织单位继承父组织单位 的启用或禁用的策略设置。 如果应用到父组织单位的策略设置与应用到子组织单 位的策略设置兼容,则子组织单位就会继承父组织单位的策略设置,而且还会应 用子组织单位的策略设置。 如果为父组织单位配置的策略设置与为子组织单位配 置的同一策略设置不兼容(因为在某种情况下设置是启用的,而在另一种情况下 - - 4 活动目录组策略在企业环境中的部署应用 设置是禁用的),子组织单位就不继承父组织单位的策略设置。子组织单位中的 设置会得以应用。 2.2 阻止策略的继承 可以在子容器的组策略内,通过“阻止策略继承”复选框来设置不要继承由 父容器传递的组策略设置,也就是直接以子容顺的组策略为其设置。如:图 2-1, 图 2-2 所示: 图 2-1 子容器 图 2-2 阻止策略的继承 5 活动目录组策略在企业环境中的部署应用 2.3 强迫继承策略 可以在父容器的组策略内,通过:“禁止替代”复选框来强迫子容器必须继 承由父容器传送的组策略设置。如:图 2-3,图 2-4,图 2-5 所示: 图 2-3 父容器 图 2-4 父容器组策略 6 活动目录组策略在企业环境中的部署应用 图 2-5 强迫继承策略 - - 7 活动目录组策略在企业环境中的部署应用 3 策略的对象 设置组策略的途径: 根据不同的计算机,可以在以下几个位置设置: “域安全策略”, Active “ Directory 用户和计算机”,“域控制安全策略”,“本地安全策略”。(均在 “管理工具”内)如:图 3-1 所示: 图 3-1 策略设置途径 以下利用“Active Directory 用户和计算机”来设置组策略。 开始—程序—管理工具--Active Directory 用户和计算机—选中“domain controllers”单机右键—属性—组策略(GPO)。 3.1 更改组策略 让 DOMAIN USERS 组内的所有成员都具备“本地登录”的权限。设置步骤: 1. 开 始 — 程 序 — 管 理 工 具 --Active Directory 用 户 和 计 算 机 — 选 中 “domain controllers”单机右键—属性—组策略(GPO)。如:图 3-2 所示: - - 8 活动目录组策略在企业环境中的部署应用 图 3-2 domain controllers 2.请选定“default domain controllers policy”,然后单击“编辑”。 3.出现“组策略”窗口—计算机配置—WINDOWS 设置—安全设置—本地策略 —用户权限分配—双击右侧的“拒绝在本地登录”。如:图 3-3 所示 图 3-3 拒绝在本地登录 4. 出现 “安全策略设置” 对话框—单击 “添加用户或组” —将 DOMAIN USERS 增加到组内。如:图 3-4 所示: 9 活动目录组策略在企业环境中的部署应用 图 3-4 添加拒绝的用户 3.2 使组策略生效的方法 由于该建立的组策略不能马上生效,必须利用以下三种之一来达到目的。 1. 在“命令提示符”下,输入“secedit refreshpolicy machine_policy” 让计算机配置生效, 或是用户配置文件: 则将 machine_policy 改为 user_policy 即可。如:图 3-5 所示: 图 3-5 命令提示 2.将此计算机重启。 3.等待此策略应用到计算机内。 - - 10 活动目录组策略在企业环境中的部署应用 4 策略在公司中的应用实例 在公司不同的部门对软件和一些材料的需求各不相同, 为了更好的管理与区 分我们就需要按需定制,如:哪些用户可使用的软件有哪些,对哪些文档具有哪 些权限,和一些上网行为的规范。 4.1 部署应用程序 通过组策略可以为计算机和用户来部署应用程序。这就是说: A.将应用程序分部给用户:当某个应用程序通过 GPO 被发布给用户后,用户 可以自行增加/删除应用程序。 B.将应用程序指派给用户或计算机: 当某个应用程序通过组策略的 GPO 被反 映派给用户后,则用户在登录时,这个应用程序就会被“广告”给用户,但这个 应用程序并不真正安装,只是提供了一些安装信息,等你应用时才会安装。如果 指派给计算机,计算在启动时,就会自动安装应用程序。 C.自动修复应用程序:一个被发布或指派的应用程序,当应用程序受到破坏 时,当用户登录或计算机重启时,会自动修复的。 D.删除用户应用程序:一个被发布或指派的应用程序,当用户安装完以后, 若不想再让用户使用此程序,只要将应用程序从 GPO 内删除即可。 一、发布应用程序 建立安装 WINDOWS 安装程序包的文件夹 1. 请在任何一台服务器上建立一个文件夹,例如:C:\packages,这个文 件夹是要用来存储应用程序的。 2. 将此文件夹设置为共享,并给一个共享名。因为网络上的用户必须 UNC 路径来访问,所以要设置共享。 3. 将应用程序复制到共享文件夹内。如:图 4-1 所示: - - 11 活动目录组策略在企业环境中的部署应用 图 4-1 共享文件夹 设置默认程序包位置 1.“活动目录用户和计算机”—域名—属性—组策略—选定 GPO— 编辑— 用户配置—软件设置—软件安装。如:图 4-2,图 4-3 所示: 图 4-2 选定的 GPO - - 12 活动目录组策略在企业环境中的部署应用 图 4-3 软件安装 2.“软件安装”—属性。 3. 出现“默认程序包位置”输入框。在此输入:应用程序的存储位置,注 意是 UNC 路径。\\计算机名\共享文件夹--确定。如:图 4-4 所示: 图 4-4 UNC 路径 发布应用程序 - - 13 活动目录组策略在企业环境中的部署应用 4.回到“软件安装”—新建—“程序包”。如:图 4-5 所示 图 4-5 新建程序包 5.请选择用于练习的安装程序—单击“打开”。如:图 4-6 所示: 图 4-6 共享的安装程序 6. 请选择“已发行”—确定。如:图 4-7 所示: - - 14 活动目录组策略在企业环境中的部署应用 图 4-7 部署软件 安装被发布的应用程序 1.利用域用户或组织单位用户来登录 2.开始—设置—控制面板—“添加/删除程序”。 3.添加新程序—从网络添加程序(就会显示出已经发布的应用程序)。 4.选择要安装的应用程序—单击“添加”—就会安装此应用程序。 测试自动修复应用程序功能 1.请找到应用程序的位置。 2.删除此应用程序的安装文件。 3.以应用程序发布用户重新登录。 4.运行删除的应用程序,会发现系统会自动重新再安装应用程序。 二、给用户指派应用程序 给用户指派应用程序与给用户分布应用程序的方法一致 1. 在一台服务器上建立一个共享文件夹。 2. 设置默认程序包位置 3. 给用户指派应用程序,在选择部署方法是:将已经“已发行”改为“已 指派”测试被指派的应用程序。如:图 4-8 所示: - - 15 活动目录组策略在企业环境中的部署应用 图 4-8 软件指派 用户登录后,可以在开始—设置—控制面板—添加/删除应用程序—添加新 程序,会发现被指派的应用程序已经安装,但实际是“广告”,并没有真正的安 装起来。 测试自动修复应用程序功能 这个功能与测试自动修复已发布的应用程序功能相似。 三、给计算机指派应用程序 活动目录用户和计算机—域或组织单位—属性—组策略—选定 GPO—计算 机配置—软件设置—软件安装。其他的地方与给用户指派应用程序相似。如:图 4-9,图 4-10 所示: 图 4-9 Domain Controllers 属性里的策略 - - 16 活动目录组策略在企业环境中的部署应用 图 4-10 策略编辑器 1. 改变应用程序的部署类型。 2. 取消被部署的应用程序。在被部署的应用程序单机鼠标右键—所有任务 —删除。 3. 设置当安装此应用程序时,是否出现完整的安装界面,或者只显示部分 的界面。在被部署应用程序上单击鼠标右键—属性—部署。 4. 将应用程序升级:再被部署的应用程序单击鼠标右键—属性—升级—添 加。 4.2 软件限制策略 软甲限制策略是 Microsoft Windows XP 和 Microsoft Windows Server2003 中的一项新功能。它们提供了一套策略驱动机制,用于指定允许执行哪些程序以 及不允许执行哪些程序。软件限制策略可以 帮助组织免遭恶意代码的攻击。也就是说限制策略针对病毒,特洛伊木马和其他 类型的恶意代码提供了另一层防护。 4.2.1 概述 使用软件限制策略,通过标识并指定允许哪些应用程序运行,可以保护您的 计算机环境免受不可信任的代码的侵扰。通过散列规则、证书规则、路径规则 - - 17 活动目录组策略在企业环境中的部署应用 和 Internet 区域规则,就用程序可以在策略中得到标识。默认情况下,软件可 以运行在两个级别上:“不受限制的”与“不允许的”。在本文中我们主要用 到的是路径规则和散列规则,而路径规则则是这些规则中使用最为灵活的,所以 后文中如果没有特别说明,所有规则指的都是路径规则。 4.2.2 附加规则和安全级别 1.附加规则 在使用软件限制策略时,使用以下规则来对软件进行标识: 2.证书规则 软件限制策略可以通过其签名证书来标识文件。证书规则不能应用到带有 “.exe” “.dll” 或 扩展名的文件。 它们可以应用到脚本和 Windows 安装程序包。 可以创建标识软件的证书,然后根据安全级别的设置,决定是否允许软件运行。 3.路径规则 路径规则通过程序的文件路径对其进行标识。由于此规则按路径指定,所以 程序发生移动后路径规则将失效。路径规则中可以使用诸如“%programfiles%” 或“%systemroot%”之类环境变量。路径规则也支持通配符,所支持的通配符为 *和?。 4.散列规则 散列是唯一标识程序或文件的一系列定长字节。散列按散列算法算出来。软 件限制策略可以用 SHA-1(安全散列算法)和 MD5 散列算法根据文件的散列对其 进行标识。重命名的文件或移动到其他文件夹的文件将产生同样的散列。例如, 可以创建散列规则并将安全级别设为“不允许的”以防止用户运行某些文件。文 件可以被重命名或移到其他位置并且仍然产生相同的散列。但是,对文件的任何 篡改都将更改其散列值并允许其绕过限制。 软件限制策略将只识别那些已用软件 限制策略计算过的散列。 5.Internet 区域规则 区域规则只适用于 Windows 安装程序包。区域规则可以标识那些来自 - - 18 活动目录组策略在企业环境中的部署应用 Internet Explorer 指定区域的软件。这些区域是 Internet、本地计算机、本地 Intranet、受限站点和可信站点。 以上规则所影响的文件类型只有“指派的文件类型”中列出的那些类型。系 统存在一个由所有规则共享的指定文件类型的列表。 默认情况下列表中的文件类 型包括:ADE ADP BAS BAT CHM CMD COM CPL CRT EXE HLP HTA INF INS ISP LNK MDB MDE MSC MSI MSP MST OCX PCD PIF REG SCR SHS URL VB WSC ,所以对于 正常的非可执行的文件,例如:TXT JPG GIF 这些是不受影响的,如果你认为还 有哪些扩展的文件有威胁,也可以将其扩展加入这里,或者你认为哪些扩展无威 胁,也可以将其删除。如:图 4-11 所示: 图 4-11 指派的文件类型 4.2.3 软件限制策略的优先权 一个特定的程序可以有多个不同的规则适用,为此,可以按下列优先权顺序 来使用这些规则。优先权按从高到低的顺序排列如下: - - 19 活动目录组策略在企业环境中的部署应用 散列规则>证书规则>路径规则>Internet 区域规则 如果存在多个路径规则冲突,则最具限制性的规则占有优先权。总的原则就 是:规则越匹配越优先。 例如: C:\Windows\System32\Taskmgr.exe C:\Windows\System32\*.exe C:\Windows\System32\ C:\Windows\ 本例是按优先权从高到低排列的。从这里我们可以看出: 绝对路径>通配符路径 文件名规则>目录规则 对于同样是目录规则的,则目录数匹配越多就越优先。如果同时存在两个相 似的规则,则最具限制性的规则优先权最高。例如,如果 C:\Windows\上有一个 路径规则,其安全级别为“不允许的”,而“%windir%”上也有一个路径规则, 其安全级别为“不受限制的”,则会采用最具限制性的规则,即“不允许的”。 这里,我们再顺便介绍一下环境变量和通配符。 在路径规则里,允许使用诸如“%windir%”“%userprofile%”之类的环境 变量。一般情况下,我们的系统是在 C 盘,但也有些人基于其它一些原因如要安 装双系统等,将系统安装在其它比如 D 盘下面,这时我们平常用到的一些路径比 如“C:\windows\”就会无效,为了防止这种情况,我们就可以使用系统变量, 像“%windir%”,系统会自动为我们匹配其目录。我们在创建规则的时候也可以 使用这些环境变量, 以适用于不同的系统。 下面列出的是一些常使用的环境变量, 更多的环境变量你可以运行 CMD 然后运行 SET 命令进行查看。 ALLUSERSPROFILE = C:\Documents and Settings\All Users APPDATA = C:\Documents and Settings\Administrator\Application Data CommonProgramFiles = C:\Program Files\Common Files ComSpec = C:\WINDOWS\system32\cmd.exe - - 20 活动目录组策略在企业环境中的部署应用 HOMEDRIVE = C: HOMEPATH = \Documents and Settings\Administrator ProgramFiles = C:\Program Files SystemDrive = C: SystemRoot = C:\WINDOWS TEMP = C:\Documents and Settings\当前用户名\Local Settings\Temp TMP = C:\Windows\Temp USERPROFILE = C:\Documents and Settings\Administrator WINDIR = C:\WINDOWS 同样,路径规则也支持使用通配符,对 DOS 熟悉的筒子应该知道这个东西, 就是“?”和“*”。 ? :包括 1 个或 0 个字符。 * :包括任意个字符(包括 0 个),但不包括斜杠。 对于通配符,其实网上很多教程上的做法是有误的。 例如有一条:%USERPROFILE%\Local Settings\**\*.* 不允许的 这条规则本意是阻止所有被指派的文件从 Local Settings 目录(包括其子 目录)启动,但是经过验证发现,“**”和“*”是完全等效的,并且“*”不包 括 “\” 那么这条规则的实际意思就是 。 “阻止所有被指派的文件从 Local Settings 的一级目录运行”,不包括 Local Settings 目录本身,也不包括二级及其下的 所有子目录。我们来看看 Local Settings 目录下的一级目录有哪些呢?默认情 况下是:Temp、Temporary Internet Files、Application Data、History,那 么这条规则里就包括有 禁止 TEMP 目录下的所有被指派的文件运行 的意思,其 根本结果就是会造成很多软件无法安装。因为有些软件在安装时会先行解压到 TEMP 目录。 影响最大的一条:?:\autorun.inf “不允许的” 相信对 软件限制策略 有研究的都见过这条规则吧, 这条规则的本意是阻止 所有盘根目录下的 autorun.inf 文件运行,以阻止 U 盘病毒的运行。它也确实达 - - 21 活动目录组策略在企业环境中的部署应用 到了它的目的,autorun.inf 文件双击的时候被阻止了。但病毒被阻止了吗?答 案是否定的,病毒还是会被正常运行。 为什么呢?我们来了解一下系统是怎么处理 autorun.inf 文件的。首先, svchost.exe 读取 autorun.inf,然后 explorer.exe 读取 autorun.inf,再然 后 explorer.exe 将 autorun.inf 里的相关内容写入注册表中 MountPoints2 这个键值。只要 explorer.exe 成功写入注册表,那么这个 autorun.inf 文件的 使命就完成了,U 盘里的病毒就等着你去双击 U 盘了。那么我们的软件限制策略 中,将 autorun.inf 设为“不允许的”这一做法在这个过程中起到什么作用? 很遗憾地告诉你:没有任何作用。 真要说它起到的作用, 仅仅是阻止你打开 autorun.inf 这个文件而已。 所以, 对于 autorun.inf 的所有策略,都是无效的。真要想防止 U 盘病毒的运行,策略 的设置只有一种方法: ?:\*.* 不允许 意思就是阻止所有盘下面的被指派文件运行。当然, 如果你只想阻止 U 盘下的文件运行的话,那就将规则里的“?”改为具体的盘符 即可。当然还有其它很多办法来防止 U 盘病毒的。 4.2.4 规则的权限分配及继承 这里讲解的一个前提是:假设你的用户类型是管理员。 在没有软件限制策略的情况下,如果程序 a 启动程序 b,那么 a 是 b 的父进 程,b 继承 a 的权限。 现在把 a 设为基本用户,b 不做限制(把 b 设为不受限或者不对 b 设置规则 效果是一样的)然后由 a 启动 b,那么 b 的权限继承于 a,也是基本用户,即: a(基本用户)->b(不受限的)=b(基本用户) 若把 b 设为基本用户,a 不做限制,那么 a 启动 b 后,b 仍然为基本用户权 限,即: a(不受限的)->b(基本用户)=b(基本用户) 可以看到,一个程序所能获得的最终权限取决于:父进程权限和规则限定的 - - 22 活动目录组策略在企业环境中的部署应用 权限的最低等级,也就是我们所说的最低权限原则。 举一个例子:若我们把 IE 设成基本用户等级启动,那么由 IE 执行的任何程 序的权限都将不高于基本用户级别,只能更低。所以就可以达到防范木马的效果 ——即使 IE 下载病毒并执行了,病毒由于权限的限制,无法对系统进行有害的 更改,如果重启一下,那么病毒就只剩下尸体了。 甚至,我们还可以通过 NTFS 权限的设置,让 IE 无法下载和运行病毒,不给 病毒任何的机会。 这里, 我们来看一下 NTFS 的权限 (这里的权限是 NTFS 权限, 与规则无关) 。 NTFS 的所有权限如下: 遍历文件夹/运行文件(遍历文件夹可以不管,主要是“运行文件”,若无 此权限则不能启动文件,相当于 AD 的运行应用程序) 允许或拒绝用户在整个文件夹中移动以到达其他文件或文件夹的请求, 即使 用户没有遍历文件夹的权限(仅适用于文件夹)。 列出文件夹/读取数据 允许或拒绝用户查看指定文件夹内文件名和子文件夹名的请求。 它仅影响该 文件夹的内容,而不影响您对其设置权限的文件夹是否会列出(仅适用于文件 夹)。 读取属性 允许或拒绝查看文件中数据的能力(仅适用于文件)。 读取扩展属性 允许或拒绝用户查看文件或文件夹属性(例如只读和隐藏)的请求。属性 由 NTFS 定义。 创建文件/写入数据 “创建文件”允许或拒绝在文件夹中创建文件(仅适用于文件夹)。“写入 数据”允许或拒绝对文件进行修改并覆盖现有内容的能力(仅适用于文件)。 创建文件夹/追加数据 “创建文件夹”允许或拒绝用户在指定文件夹中创建文件夹的请求(仅适用 - - 23 活动目录组策略在企业环境中的部署应用 于文件夹)。“追加数据”允许或拒绝对文件末尾进行更改而不更改、删除或 覆盖现有数据的能力(仅适用于文件)。 写入属性 允许或拒绝用户对文件末尾进行更改,而不更改、删除或覆盖现有数据的请 求(仅适用于文件),即写操作。 写入扩展属性 允许或拒绝用户更改文件或文件夹属性(例如只读和隐藏)的请求。属性由 NTFS 定义。 删除子文件夹和文件 允许或拒绝删除子文件夹和文件的能力,即使子文件夹或文件上没有分配 “删除”权限(适用于文件夹)。 删除 (与上面的区别是,这里除了子目录及其文件,还包括了目录本身) 允许或拒绝用户删除子文件夹和文件的请求, 即使子文件夹或文件上没有分 配“删除”权限(适用于文件夹)。 读取权限 (NTFS 权限的查看) 允许或拒绝用户读取文件或文件夹权限(例如“完全控制”、 “读取”和“写 入”)的请求。 更改权限 (NTFS 权限的修改) 允许或拒绝用户更改文件或文件夹权限(例如“完全控制”、 “读取”和“写 入”)的请求。 取得所有权 允许或拒绝取得文件或文件夹的所有权。 文件或文件夹的所有者始终可以更 改其权限, 而不论用于保护该文件或文件夹的现有权限如何。 在系统默认的 NTFS 权限下,基本用户对于 windows\program files 目录只有 “遍历文件夹/运行文 件”、“列出文件夹/读取属性”、“读取扩展属性”、“读取权限”这四项权 限,对于 documents and settings 目录,仅对其所有的目录有完全控制的权限, 其它目录只读?我们的规则里面所说到的基本用户、受限用户,基本上等同于 - - 24 活动目录组策略在企业环境中的部署应用 NTFS 权限里的 USERS 组,但受限用户受到的限制更多,不管 NTFS 权限如何,其 始终受到限制。 4.2.5 规则的编写 关于规则编写,我们要遵循以下几个原则: 要方便,不能对自己有过多的限制,这样,即使出现问题也好排队要安全, 要考虑到你的系统中毒的来源有哪些,针对其做好防护。基于文件名的病毒规则 尽量少用,因为容易出现误阴,而且病毒的文件名随便可以改,我们做的又不是 特征库。下面介绍规则的具体编写方式:开始->运行->gpedit.msc 在左边的窗 口中依次展开:计算机配置-> Windows 设置->安全设置 ->软件限制策略如果你 之前没有进行过设置,那么在“软件限制策略”上点右键,选择创建新的策略然 后在“其它规则”上右键点击,选择“新路径规则”既可以进行规则的创建了。 如:图 4-12,图 4-13 所示: 图 4-12 规则的建立(1) - - 25 活动目录组策略在企业环境中的部署应用 图 4-13 规则的建立(2) 规则的设置很简单,就五个安全级别,根据你自己的需要设置即可。难点主 要是规则的正确性和有效性,这个得靠多多实践来提升了。 注意不要更改以下 4 条系统默认规则同时还要考虑它们的影响: 1. %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersio n\SystemRoot% 路径 不受限的。 2.%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion \SystemRoot%*.exe 路径 不受限的。 3.%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion \SystemRoot%System32\*.exe 路径 不受限的。 4.%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\P rogramFilesDir%路径不受限的。 相当于规则: ·%SystemRoot% 不受限的 ·%SystemRoot%\*.exe 不受限的 整个 Windows 目录不受限 Windows 下的 exe 文件不受限 System32 下的 exe 文件不 ·%SystemRoot%\System32\*.exe 不受限的 受限 - - 26 活动目录组策略在企业环境中的部署应用 ·%ProgramFiles% 不受限的 整个 ProgramFiles 目录不受限 这里要注意的一点是规则在新添加或者进行修改以后根据不同的机器, 会在 一至两分钟内生效,不会立即生效,如果长时间不生效,我们可以通过注销,重 新登陆来生效,也可以使用命令 gpupdate /force 来强制刷新。 4.2.6 实例规则 根目录规则 如果我们要限制某个目录下的程序运行,一般是创建诸如: C:\Program Files\*.* 不允许 这样的规则,看起来是没有问题的,但在特殊情况下则可能引起误伤,因为 通配符即可以匹配到文件,也可以匹配到文件夹。如果此目录下存在如 SiteMapBuilder.NET 这样的目录(C:\ProgramFiles\SiteMapBuilder.NET\Site Map Builder.NET),同样可以和规则匹配,从而造成误伤,解决方法是对规则 进行修改: C:\Program Files C:\Program Files\*\ 不允许的 不受限的 这样就排除了子目录,从而不会造成误伤。 上网安全的规则 我们很多时候中毒,都是在浏览网页时中的毒,在我们浏览网页时,病毒会 通过浏览器漏洞自动下载到网页缓存文件夹中, 然后再将自身复制到系统敏感位 置,比如 windows system32 program files 等等目录下,然后运行。所以单纯 的对浏览器缓存文件夹进行限制是不够的。比较实用的防范方法就是禁止 IE 浏 览器在系统敏感位置创建文件,基于此,我们可以创建如下规则: %ProgramFiles%\Internet Explorer\iexplore.exe 基本用户 不允许的 不允许的 不允许的 %UserProfile%\Local Settings\Temporary Internet Files\** %UserProfile%\Local Settings\Temporary Internet Files\* %UserProfile%\Local Settings\Temporary Internet Files\ - - 27 活动目录组策略在企业环境中的部署应用 %UserProfile%\Local Settings\Temporary Internet Files 不允许的 如果你使用的是其它浏览器,同样将其设置为“基本用户”即可。 4.3 用户权利的设置 权限是非常重要的,因为每个用户在实际工作中或多或少都遇到过权限问 题。在实际工作环境中不同的用户对不同的文件具有不同的权限,所以要根据实 际来设置。 1.设置步骤:活动目录用户和计算机上鼠标右键—属性—组策略—选定 GPO—编辑—计算机配置—WIN 设置—安全设置—本地策略—用户权限指派;有 以下权利: A.在本地登录:允许用户在本台计算机按 CTRL+ALT+DEL 键登录。 B.域中增加工作:允许用户将 WINNT/WIN2000 计算机加入域。 C.关闭系统:允许用户关闭此计算机。 D.以网络访问此计算机。 E.从远端计算机来关闭此台计算机。 F.备份文件和目录。 G.还原文件和目录。 H.管理审核和安全日志。 I.更改系统时间。 G.装载和卸载设备驱动程序。 K.取得文件或其他对象的所有权等。 如: 4-14 所示: 图 (这里所说的权利不同于权限, 它们是完全不同的概念。 ) - - 28 活动目录组策略在企业环境中的部署应用 图 4-14 用户权限 当我们要给相应用户添加权限时: 对应的权利—右键属性—定义这些策略设置—添加用户或组。如:图 4-15 所示: 图 4-15 给用户添加权利 - - 29 活动目录组策略在企业环境中的部署应用 4.4 IE 浏览器的设置 微软的 Internet Explorer 让我们可以轻松的在互联网上遨游,但要想用好 Internet Explorer,则必须将他配置好。在 IE 浏览器的“Internet 选项”窗 口中,提供了比较全面的设置选项,但部分高级的功能没有提供,而通过组策略 即可轻松实现。(位置:“组策略控制台—用户配置—管理模板—Windows 组件 —Internet Explorer) 下面来看具体事例: 1.限制 IE 浏览器的保存功能(Windows 2000/XP/2003) 在使用 IE 浏览网页过程中,但遇到好的图片、文章等资源时可以使用“另 存为”功能将它保存到本地硬盘中,当多人共用一台计算机时,为了保持硬盘的 整洁, 需要对浏览器的保存功能进行限制。 那么如何才能实现呢?可以这样操作: 打 开 “ 组 策 略 控 制 台 — 用 户 配 置 — 管 理 模 板 —Windows 组 件 —Internet Explorer—浏览器菜单”,然后将右侧窗格中的“‘文件’菜单:禁用‘另存为’ 菜单项”和“禁用上下文菜单”等策略项目全部启用即可。如果不希望别人 IE 浏览器的设置随意更改,可以将“‘工具’菜单:禁用‘Internet 选项... ’” 策略启用。另外根据个人的需要,在该窗格中还可以禁用其他项目。如:图 4-16 所示: 图 4-16 浏览器编辑器目录 30 活动目录组策略在企业环境中的部署应用 2.禁止修改 IE 浏览器的主页 若果不希望他人对自己设定的 IE 浏览器主页进行随意更改的话,可以打开 “组策略控制台—用户配置—管理模板—Windows 组件—Internet Explorer— 工具栏”,然后选择“禁用更改主页设置”组策略并启用即可。另外这个窗格中, 还提供了“更改历史记录设置”、“更改颜色设置”和“更改 Internet 临时文 件设置”等项目的禁用功能。启用此策略后,在 IE 浏览器的“Internet 选项” 对话框中,其“常规”选项卡的“主页”区域的设置将变灰。如:图 4-17 所示: 提示:如果设置了位于“组策略控制台—用户配置—管理模板—Windows 组件 —Internet Explorer—Internet Explorer 控制面板”中的“禁用常规页”策 略,则无须设置该策略,因为“禁用常规页”策略将删除界面上的“常规”选项 卡。 图 4-17 被禁用的状态 - - 31 活动目录组策略在企业环境中的部署应用 4.5 脚本的设置 4.5.1 登录/注销脚本的设置 用记事本编写登录和注销脚本: 登录脚本:名称:logon.vbs 文件内容:wscripts echo “welcome to windows 2000,this is a logon script test”。 注销脚本:名称:logoff.vbs 文件内容:wscripts echo “Goodbye, this is a logoff scripts test”。 设置步骤: 1.“活动目录用户和计算机”鼠标右键—属性—组策略—选定 GPO—编辑— 用户配置—WIN 设置—脚本(登录注销)--登录。 2.出现显示脚本文件对话框。 3.请先将编辑好的 logon.vbs 复制到以下目录内:%systemroot%\SYSVOL\ sysvol\域名\policies\{GUID}\USER\SCRIPTS\logon GUID,不同的 GPO 有不同的 GUID 号,每个 GUID 是唯一的。 4.在步骤 2 出的对话框中—单击“添加”将 logon.vbs 添加进入—确定。 5.再用相似的方法来添加注销的脚本:logoff.vbs。 6.如果说 GPO 是针对域设置的,则对域内的每个用户都起作用。即登录时都 会出现脚本。如:图 4-18 所示: 图 4-18 登录脚本的添加 32 活动目录组策略在企业环境中的部署应用 4.5.2 启动/关闭脚本的设置 编辑好启动与关闭脚本: 启动脚本:文件名称:startup.vbs 文件内容:wscript echo “welcome to windows 2000,this is a startup script test”。 关闭脚本:文件名称:shutdown.vbs 文件内容:wscript echo “Goodbye, this is a shutdown scripts test”。 设置启动/关闭脚本的步骤: 1.“活动目录用户和计算机”鼠标右键—属性—组策略—选定 GPO—编辑— 计算机配置—WIN 设置—脚本(启动关闭)--启动。 2.出现选择“启动脚本文件”对话框。 3.请先将编辑好的 startup.vbs 复制到以下目录内: %system root%\SYSVOL\ sysvol\域名\policies\{GUID}\MACHINE\SCRIPTS\startup。 4.在步骤 2 出的对话框中—单击“添加”,浏览选择 startup.vbs 文件。 5.再用相似的方法来添加关闭的脚本:shutdown.vbs。 6. 如果说 GPO 是针对域设置的,则对域内的每个用户都起作用。若是仅对 某个组织单位设置,则对那个被设置的组织单位起作用。如:图 4-19 所示: 图 4-19 启动脚本的设置 - - 33 活动目录组策略在企业环境中的部署应用 5 结论 对于 Windows 组策略的应用,通过组策略来控制程序、网络资源以及操作系 统行为以及设置各种软甲的目的, 另外通过修改组策略还可以防止和限制别人对 于计算机得恶意修改,起到保护操作系统的作用。 Windows 组策略的功能非常强大,还有很多需要我们去发掘。它也将在企业 的应用中展现强大的一面。 - - 34 活动目录组策略在企业环境中的部署应用 致 谢 参考文献 [1]. 张利峰,关玉琴.DOS/BIOS/注册表、组策略技术手册 [M].中国铁道出版社,2009 年. [2]. 刘晓辉.Windows 2000/XP/2003 组策略实战指南[M].人民邮电出版社,2006 年. [3]. 高升.Windows Server 2003 系统管理[M].清华大学出版社,2010 年. [4]. IT 同路人.Windows Server 2008—系统管理,活动目录,服务器架设[M].人民邮电出 版社,2009 年. [5]. 朱青亮.组策略应用技巧[M].家庭电脑世界杂志社,2004 年. [6]. 戴有炜.server 2003 用户管理指南、配置指南、网络专业指南[M].清华短大学出版社 出版,2004 年. [7] [美]Jeffrey Richter Jason D Clark. Microsoft Windows 2000 服务器端应用程序设计 [M]. 北 京大学出版社,2000 年. 35 活动目录组策略在企业环境中的部署应用 [8] 刘晓辉.WINDOWSSERVER2003 服务器搭建\配置与管理 [M].水利水电出版社,2008 年. [9] 姚华婷.网络服务器配置与管理——WINDOWSSERVER2003 篇[M].人们邮电出版社, 2010 年. [10] 王峰.WINDOWSSERVER2003 服务器配置实用案例教程[M].中国电力出版社,2007 年. - - 36

文档贡献者

樱的歌

贡献于2012-02-20

喜欢此文档的还喜欢