熱點推薦:
您现在的位置: 電腦知識網 >> 電腦常識 >> 正文

菜鳥入門:軟件限制策略的簡單應用

2013-11-11 13:57:29  來源: 電腦常識 

  單位的網絡管理員肯定都遇到過這種困擾老板不希望員工在工作的時間聊QQ或者玩游戲而總有員工會私下裡安裝被禁止的軟件怎樣避免這種情況?雖然有監控軟件可以用不過這樣顯得有些侵犯隱私同時還有一種很麻煩的情況現在越來越多的病毒通過電子郵件傳播很多人都是無意中運行了電子郵件的附件而中毒的有沒有什麼好的手段 可以避免員工運行來歷不明的文件?現在好了如果你的客戶端是Windows XP Professional那麼就可以使用其中的軟件限制策略
  
  簡單來說軟件限制策略是一種技術通過這種技術管理員可以決定哪些程序(雖然這裡用了程序這個字眼不過不單指exe文件我們可以通過該技術限制任何類型擴展名的文件被執行)是可信賴的而哪些是不可信賴的對於不可信賴的程序則系統會拒絕執行通常管理員可以讓系統使用以下幾種方式鑒別軟件是否可信賴文件的路徑文件的哈希(Hash)值文件的證書文件被下載的網站在Internet選項中的區域文件的發行商特定擴展名的所有文件以及其他強制屬性
  
  軟件限制策略不僅可以在單機的Windows XP操作系統中設置可以設置僅影響當前用戶或用戶組或者影響所有本地登錄到這台計算機上的所有用戶也可以通過域對所有加入該域的客戶端計算機進行設置同樣可以設置影響某個特定的用戶或用戶組或者所有用戶我們這裡會以單機的形式進行說明並設置影響 所有用戶單機和工作組環境下的設置和這個是類似的另一方面有時我們可能因為錯誤的設置而導致某些系統組件無法運行(例如禁止運行所有msc後綴的文件而無法打開組策略編輯器)這種情況下我們只要重新啟動系統到安全模式然後使用Administrator賬號登錄並刪除或修改這一策略即可因為安全模式下使用Administrator賬號登錄是不受這些策略影響的
  
  在本例中我們假設了這樣的應用員工的計算機僅可運行操作系統自帶的所有程序(C盤)以及工作所必須的WordExcelPowerPoint和Outlook其版本號皆為並假設Office程序安裝在D盤員工電腦的操作系統為Windows XP Professional
  
  運行Gpeditmsc打開組策略編輯器仔細看就可以發現計算機配置用戶設置下都各有一個軟件限制策略的條目到底使用哪個?如果你希望這個策略僅對某個特定用戶或用戶組生效則使用用戶配置下的策略如果你希望對本地登錄到計算機的所有用戶生效則使用 計算機配置下的策略這裡我們需要對所有用戶生效因此選擇使用計算機配置下的策略
  
  在開始配置之前我們還需要考慮一個問題我們所允許的軟件都有哪些特征而禁用的軟件又有哪些特征我們要想出一種最佳的策略能使所有需要的軟件正確運行而所有不必要的軟件一個都無法運行在本例中我們允許的大部分程序都位於系統盤(C盤)的Program Files以及Windows文件夾下因此我們在這裡可以通過文件所在路徑的方法決定哪些程序是被信任的而對於安裝在D盤的Office程序也可任意通過路徑或者文件哈希的方法來決定
  
  點擊打開計算機配置下的軟件限制策略條目接著在操作菜單下點擊創建新的策略(目前在安裝SP的XP上這裡默認是沒有任何策略的但是對於安裝SP的系統這裡已經有了建好的默認策略)系統將會創建兩個新的條目安全級別其它規則其中在安全級別條目下有兩條規則不允許的不受限的其中前者的意思是默認情況下所有軟件都不允許運行只有特別配置過的少數軟件才可以運行 而後者的意思是默認情況下所有軟件都可以運行只有特別配置過的少數軟件才被禁止運行因為我們本例中需要運行的軟件都已經定下來了因此我們需要使用不允許的作為默認規則雙擊這條規則然後點擊設為默認按鈕並在同意警告信息後繼續
  
  接著打開其他規則條目可以看到默認情況下這裡已經有四個規則都是根據注冊表路徑設置的而且默認都設置為不受限的強烈提醒你千萬不要修改這四個規則否則你的系統運行將會遇到很大麻煩因為這四個路徑都涉及到了重要系統程序及文件所在的 位置同時我們前面說過的位於系統盤下Program Files文件夾以及Windows文件夾下的文件是允許運行的而這四條默認的規則已經包含了這個路徑因此我們後面要做的只是為Office程序添加一個規則在右側面板的空白處點擊鼠標右鍵選擇新建哈希規則然後可以看到下圖的界面在這裡點擊浏覽按鈕然後定位所有允許使用的Office程序的可執行文件(還記得分別是什麼嗎?winwordexeexcelexepowerpntexeoutlookexe)並雙擊加入接著在安全級別下拉菜單下選擇不受限的然後點擊確定退出重復以上步驟把這四個軟件的可執行文件都添加進來並設置為不受限的
  
  到這裡大家可以考慮一個問題為什麼我們選擇為每個程序的可執行文件建立哈希規則?統一為Office應用程序建立一個路徑規則不是更簡單?其實這樣才可以避免可執行文件被替換或者用戶把一些不需要安裝的綠色軟件復制到這個目錄下運行因為如果建立的是目錄規則那麼所有保存在允許目錄下的文件都將可以被執行包括允許程序本身的文件也包括用戶復制進 來的任何其他文件而哈希規則就不同了一個特定文件的哈希值是固定的只要文件內容不發生變化那麼它的哈希值就永遠不會變這樣也就避免了造假的可能不過同時也存在一個問題雖然文件的哈希值可以不變化但是文件本身可能會需要某些改變例如你安裝 了一個Word的補丁程序那麼winwordexe文件的哈希值可能就會變化因此如果你選擇創建這種規則每當軟件更新後你也需要看情況同步更新一下相應的規則否則正常程序的運行也會被影響
  
  除此之外這裡還有幾條策略可以被我們利用強制可以限定軟件限制策略應用到哪些文件以及是否應用到Administrator賬戶指派的文件類型用於指定具有哪些擴展名的文件可以被系統認為是可執行文件我們可以添加或刪除某種類型擴展名的文件收信任的出版商則可以用來決定哪些用戶可以選擇收信任的出版商以及信任之前還需要采取的其他操作這三個策略可以根據自己的實 際情況作出選擇
  
  當軟件顯示策略設置好之後一旦被限制的用戶試圖運行被禁止的程序那麼系統將會立刻發出警告並拒絕執行
From:http://tw.wingwit.com/Article/Common/201311/4871.html
    推薦文章
    Copyright © 2005-2013 電腦知識網 Computer Knowledge   All rights reserved.