杜绝劫持 组策略控制用户随意更新

网络
实施的组策略设置,可以允许我们控制用户的更新过程,并确保用户不能用Windows Update上传更新文件。

任何一个有生命力的软件都免不了经常更新。微软的Windows系统也不例外,事实证明,许多用户为了安全的目的经常需要更新。不可否认,Windows Update也确实是一个实用的功能。特别是在Windows Server 2003中,它允许系统实施集中管理并自动安装更新。也许有人说,现在还有其它的方案可以完成这项功能,但在多数情况下,Windows更新和Windows服务器更新服务(即所谓的WSUS)是一个低成本高效益的解决方案,而且运行平滑,成为管理员的***。

但是,管理员有时并不允许一般用户随意更新其软件。自从发生黑客劫持Windows更新后台服务的安全事件之后,情况尤其如此。虽然管理员们采取的限制方法不限于我们讨论的内容,但今天我们实施的组策略设置,可以允许我们控制用户的更新过程,并确保用户不能用Windows Update上传更新文件。

我们认为,为安全起见,管理员们应该是能够使用WindowsUpdate上传更新文件的唯一人员。我们可以通过管理Windows Update访问设置来防止用户访问Windows Update;这就必然需要我们配置组策略。如果你想给某些用户访问Windows Update的访问权,你可以设置谁可以访问这些设置。

我们可以用几种独立的措施移除对Windows Update 特性的访问,可以用一些措施防止使用Windows Update进行更新,另外一些措施清除对Windows Update项目的链接,再用另外一些措施禁用或配置自动更新。使用本文中所讨论的组策略会禁用用户或计算机的自动更新。为了防止Windows Update更新操作系统,需要如下的步骤:

1. 打开组策略编辑器(方法是单击“开始”/“运行”,输入gpedit.msc,单击“确定”。)

2. 创建一个新的组策略对象,例如,forbidUpdates

3. 选择“计算机配置”

4. 单击“管理模板”

5. 单击“系统”

6. 单击“Internet通信管理”

7. 选择“Internet通信设置”

8. 在组策略编辑器的右侧的窗格中,双击“关闭访问所有的Windows更新特性”, 单击“已启用”单选按钮,单击“确定”。如图1和图2:

点击放大此图片

图1

图2#p#

为了禁用用户通过其它途径访问Windows Update命令,例如禁用在“开始”菜单或“Internet Explorer”中的更新,请完成下面的步骤:

1. 单击“用户配置”

2. 单击“管理模板”

3. 单击“开始菜单和任务栏”

4. 在组策略编辑器的右侧的窗格中,双击“删除到“Windows Update”的访问和链接”。如图3:

点击放大此图片

图3

5. 选择“已启用”单选按钮,单击“确定”,如图4:

图4#p#

为完全地防止用户使用Windows Update,需要完成下面的步骤:

1. 打开“组策略编辑器”

2. 选择“计算机配置”

3. 单击“管理模板”

4. 单击“Windows组件”

5. 单击“Windows Update”,双击“删除使用所有Windows Update功能的访问”,如图5:

点击放大此图片

图5

6. 单击选择“已启用”单选按钮,单击确定。如图6:

图6

(本文试验在Windows server 2003 sp2环境中通过。)

抛砖引玉,上面我们讨论了限制使用Windows Update更新的三种方法,您可以根据自己的网络和系统情况选择一种而采用之,如果您能利用组策略找出限制用户权限的其它方法,也请您告诉笔者。那本文就达到目的了。

【编辑推荐】

  1. 组策略管理难点之应用控制
  2. 用组策略加固网络
责任编辑:许凤丽 来源: IT专家网
相关推荐

2011-07-27 13:59:04

2011-08-01 18:16:43

组策略用户权利指派

2011-07-28 16:27:48

域控制器组策略

2010-12-15 15:30:45

组策略

2019-05-05 08:00:00

Windows密码组策略

2011-07-25 17:20:51

组策略本地组策略

2011-07-18 14:17:07

域控制器组策略OU

2011-07-28 13:56:38

组策略组策略编辑器

2011-08-03 09:28:23

2011-07-22 09:31:11

2011-07-18 15:06:52

域控制器组策略

2011-07-28 14:14:17

组策略组策略命令

2011-08-02 15:07:43

组策略群集用户账户

2011-08-01 14:25:00

2011-07-12 17:10:05

域控制器组策略

2011-07-28 13:25:46

进入组策略

2011-07-21 14:24:25

组策略

2011-08-03 08:30:23

2011-07-22 10:51:51

2011-08-03 10:48:07

点赞
收藏

51CTO技术栈公众号