單位的網絡管理員肯定都遇到過這種困擾
老板不希望員工在工作的時間聊QQ或者玩游戲
而總有員工會私下裡安裝被禁止的軟件
怎樣避免這種情況?雖然有監控軟件可以用
不過這樣顯得有些侵犯隱私
同時還有一種很麻煩的情況
現在越來越多的病毒通過電子郵件傳播
很多人都是無意中運行了電子郵件的附件而中毒的
有沒有什麼好的手段 可以避免員工運行來歷不明的文件?現在好了
如果你的客戶端是Windows XP Professional
那麼就可以使用其中的軟件限制策略
簡單來說
軟件限制策略是一種技術
通過這種技術
管理員可以決定哪些程序(雖然這裡用了
程序
這個字眼
不過不單指exe文件
我們可以通過該技術限制任何類型擴展名的文件被執行)是可信賴的
而哪些是不可信賴的
對於不可信賴的程序
則系統會拒絕執行
通常
管理員可以讓系統使用以下幾種方式鑒別軟件是否可信賴
文件的路徑
文件的哈希(Hash)值
文件的證書
文件被下載的網站在Internet選項中的區域
文件的發行商
特定擴展名的所有文件
以及其他強制屬性
軟件限制策略不僅可以在單機的Windows XP操作系統中設置
可以設置僅影響當前用戶或用戶組
或者影響所有本地登錄到這台計算機上的所有用戶
也可以通過域對所有加入該域的客戶端計算機進行設置
同樣可以設置影響某個特定的用戶或用戶組
或者所有用戶
我們這裡會以單機的形式進行說明
並設置影響 所有用戶
單機和工作組環境下的設置和這個是類似的
另一方面
有時我們可能因為錯誤的設置而導致某些系統組件無法運行(例如禁止運行所有msc後綴的文件而無法打開組策略編輯器)
這種情況下我們只要重新啟動系統到安全模式
然後使用Administrator賬號登錄並刪除或修改這一策略即可
因為安全模式下使用Administrator賬號登錄是不受這些策略影響的
在本例中
我們假設了這樣的應用
員工的計算機僅可運行操作系統自帶的所有程序(C盤)
以及工作所必須的Word
Excel
PowerPoint和Outlook
其版本號皆為
並假設Office程序安裝在D盤
員工電腦的操作系統為Windows XP Professional
運行Gpedit
msc打開組策略編輯器
仔細看就可以發現
在
計算機配置
和
用戶設置
下都各有一個軟件限制策略的條目
到底使用哪個?如果你希望這個策略僅對某個特定用戶或用戶組生效
則使用
用戶配置
下的策略
如果你希望對本地登錄到計算機的所有用戶生效
則使用
計算機配置
下的策略
這裡我們需要對所有用戶生效
因此選擇使用
計算機配置
下的策略
在開始配置之前我們還需要考慮一個問題
我們所允許的軟件都有哪些特征
而禁用的軟件又有哪些特征
我們要想出一種最佳的策略
能使所有需要的軟件正確運行
而所有不必要的軟件一個都無法運行
在本例中
我們允許的大部分程序都位於系統盤(C盤)的Program Files以及Windows文件夾下
因此我們在這裡可以通過文件所在路徑的方法決定哪些程序是被信任的
而對於安裝在D盤的Office程序
也可任意通過路徑或者文件哈希的方法來決定
點擊打開
計算機配置
下的軟件限制策略條目
接著在
操作
菜單下點擊
創建新的策略
(目前在安裝SP
的XP上
這裡默認是沒有任何策略的
但是對於安裝SP
的系統
這裡已經有了建好的默認策略)
系統將會創建兩個新的條目
安全級別
和
其它規則
其中在安全級別條目下有兩條規則
不允許的
和
不受限的
其中前者的意思是
默認情況下
所有軟件都不允許運行
只有特別配置過的少數軟件才可以運行
而後者的意思是
默認情況下
所有軟件都可以運行
只有特別配置過的少數軟件才被禁止運行
因為我們本例中需要運行的軟件都已經定下來了
因此我們需要使用
不允許的
作為默認規則
雙擊這條規則
然後點擊
設為默認
按鈕
並在同意警告信息後繼續
接著打開
其他規則
條目
可以看到
默認情況下這裡已經有四個規則
都是根據注冊表路徑設置的
而且默認都設置為
不受限的
強烈提醒你
千萬不要修改這四個規則
否則你的系統運行將會遇到很大麻煩
因為這四個路徑都涉及到了重要系統程序及文件所在的 位置
同時
我們前面說過的
位於系統盤下Program Files文件夾以及Windows文件夾下的文件是允許運行的
而這四條默認的規則已經包含了這個路徑
因此我們後面要做的只是為Office程序添加一個規則
在右側面板的空白處點擊鼠標右鍵
選擇
新建哈希規則
然後可以看到下圖的界面
在這裡點擊
浏覽
按鈕
然後定位所有允許使用的Office程序的可執行文件(還記得分別是什麼嗎?winword
exe
excel
exe
powerpnt
exe
outlook
exe)
並雙擊加入
接著在
安全級別
下拉菜單下選擇
不受限的
然後點擊確定退出
重復以上步驟
把這四個軟件的可執行文件都添加進來
並設置為不受限的
到這裡大家可以考慮一個問題
為什麼我們選擇為每個程序的可執行文件建立哈希規則?統一為Office應用程序建立一個路徑規則不是更簡單?其實這樣才可以避免可執行文件被替換
或者用戶把一些不需要安裝的綠色軟件復制到這個目錄下運行
因為如果建立的是目錄規則
那麼所有保存在允許目錄下的文件都將可以被執行
包括允許程序本身的文件
也包括用戶復制進 來的任何其他文件
而哈希規則就不同了
一個特定文件的哈希值是固定的
只要文件內容不發生變化
那麼它的哈希值就永遠不會變
這樣也就避免了造假的可能
不過同時也存在一個問題
雖然文件的哈希值可以不變化
但是文件本身可能會需要某些改變
例如你安裝 了一個Word的補丁程序
那麼winword
exe文件的哈希值可能就會變化
因此如果你選擇創建這種規則
每當軟件更新後你也需要看情況同步更新一下相應的規則
否則正常程序的運行也會被影響
除此之外
這裡還有幾條策略可以被我們利用
強制
可以限定軟件限制策略應用到哪些文件以及是否應用到Administrator賬戶
指派的文件類型
用於指定具有哪些擴展名的文件可以被系統認為是可執行文件
我們可以添加或刪除某種類型擴展名的文件
收信任的出版商
則可以用來決定哪些用戶可以選擇收信任的出版商
以及信任之前還需要采取的其他操作
這三個策略可以根據自己的實 際情況作出選擇
當軟件顯示策略設置好之後
一旦被限制的用戶試圖運行被禁止的程序
那麼系統將會立刻發出警告並拒絕執行
From:http://tw.wingwit.com/Article/Common/201311/4871.html
