继上文Windwos的魔戒之组策略一之后,本文接着介绍组策略是如何应用的,具体内容如下所述。
管理模板及其增强组件
在组策略编辑器中还有一类比较特殊的策略,即管理模板。通过管理模板我们主要可以对操作系统的一些组件进行设置。下面的内容主要会以计算机配置之中的相关策略进行说明。
脱机文件的保密
很多有笔记本电脑的用户都有可能在出差或上班途中使用笔记本电脑处理工作上的文件,这里就可以用到Windows XP Professional的脱机文件功能,当你设置共享文件或共享文件夹可以脱机使用后,Windows会缓存(也就是临时保存)服务器上你选择的文件或文件夹的副本到本地硬盘上。这样当你从网络中断开后,就可以使用这些文件的副本来工作,但是感觉上就好像那些还是网络中的共享文件。而当你重新连接到网络后,Windows会把你这里的缓存和服务器上的共享文件同步,这样在服务器和你的本地硬盘上就都保留有最新版本的文件了。虽然脱机文件功能很好用,不过一定要注意一点,就是本地缓存的脱机文件是没有被加密的。如果你处理的是敏感数据文件,虽然服务器能够通过访问控制保护这些文件的安全,不过当你缓存到本地后如果没有经过很好的处理,其他人就有可能会访问到这些内容。解决的办法也很简单,我们可以通过组策略设置加密脱机文件缓存。展开组策略编辑器左侧树形图到“计算机配置/管理模板/网络/脱机文件”,然后启用其中的“对脱机文件缓存进行加密”这一策略。
重定向Windows安装源位置
假设这种情况,你从光盘上安装了Windows XP,同时为了备份的需要,把所有安装文件都复制到了硬盘上一个位置。某天可能因为一些原因(如计算机感染病毒),你的重要系统文件被替换,而系统总是提醒你在光驱中放入Windows XP安装光盘,以便恢复文件。每次都这样固然很麻烦,硬盘上不是保留有安装文件的备份么,为什么系统不能直接从这个备份中进行恢复?其实那是因为在系统的记录中,安装文件的位置还是位于你的光驱上,只要你把这个位置记录修改为保存备份文件的位置就可以了。展开组策略到“计算机配置/管理模板/系统”,然后打开“指定Windows安装文件位置”这条策略,启用它,并在下面的对话框中输入安装文件的保存路径。这样以后如果需要从安装文件中恢复系统文件,系统会首先尝试你在这里输入的路径。
加入其他模板
安全模板的功能是很强大的,不过能通过安全模板功能设置的可不仅如此。如果你安装了其它支持的工具,或者从微软下载了额外的模板,那么还可以把这些模板导入到你的组策略编辑器中。方法是这样的:在组策略编辑器左侧树形图的“管理模板”分支上点击鼠标右键,在弹出菜单中选择“添加/删除模板”,接着会打开添加/删除模板对话框,这里显示的是已经载入得模板,点击添加按钮后你还可以加入其它模板文件,这些文件有可能来自微软,有可能是其他软件附带的。而保存模板的默认位置是“%systemroot%\inf”,这里的%systemroot%是一个环境变量,代表Windows文件夹。如果你的模板文件保存在其他位置,那么可以在点击添加按钮后定位并载入。本例中我们载入的模板是“wuau.adm”,这是在安装了SP1之后的Windows XP中加入的SUS客户端。
模板载入后重新打开管理模板下的Windows组件分支,你可以看到,我们新加入的模板已经显示在这个分支下了,利用这种方法,我们可以通过模板对很多本没有显示在这里的模板进行设置,实现更强大的功能。
软件限制策略的应用
单位的网络管理员肯定都遇到过这种困扰,老板不希望员工在工作的时间聊QQ或者玩游戏,而总有员工会私下里安装被禁止的软件。怎样避免这种情况?虽然有监控软件可以用,不过这样显得有些侵犯隐私。同时还有一种很麻烦的情况,现在越来越多的病毒通过电子邮件传播,很多人都是无意中运行了电子邮件的附件而中毒的,有没有什么好的手段可以避免员工运行来历不明的文件?现在好了,如果你的客户端是Windows XP Professional,那么就可以使用其中的软件限制策略。
简单来说,软件限制策略是一种技术,通过这种技术,管理员可以决定哪些程序(虽然这里用了“程序”这个字眼,不过不单指exe文件,我们可以通过该技术限制任何类型扩展名的文件被执行)是可信赖的,而哪些是不可信赖的,对于不可信赖的程序,则系统会拒绝执行。通常,管理员可以让系统使用以下几种方式鉴别软件是否可信赖:文件的路径、文件的哈希(Hash)值、文件的证书、文件被下载的网站在Internet选项中的区域、文件的发行商、特定扩展名等。
小知识:Hash是根据某种Hash算法计算出来的具有固定长度的一系列字节,可唯一识别程序或文件。简单来说,文件的Hash值可以理解为文件的身份证,每个文件都有不同的Hash值,而如果文件的内容发生了改变,哪怕只改变了一个字节,则文件的Hash值也将发生变化。
软件限制策略不仅可以在单机的Windows XP操作系统中设置,可以设置仅影响当前用户或用户组,或者影响所有本地登录到这台计算机上的所有用户;也可以通过域对所有加入该域的客户端计算机进行设置,同样可以设置影响某个特定的用户或用户组,或者所有用户。我们这里会以单机的形式进行说明,并设置影响所有用户。单机和工作组环境下的设置和这个是类似的。
注意:有时我们可能因为错误的设置而导致某些系统组件无法运行(例如禁止运行所有msc后缀的文件而无法打开组策略编辑器),这种情况下我们只要重新启动系统到安全模式,然后使用Administrator账号登录并删除或修改这一策略即可。因为安全模式下使用Administrator账号登录是不受这些策略影响的。
在本例中,我们假设了这样的应用:员工的计算机仅可运行操作系统自带的所有程序(C盘),以及工作所必须的Word、Excel、PowerPoint和Outlook,其版本号皆为2003,并假设Office程序安装在D盘,员工电脑的操作系统为Windows XP Professional。
运行gpedit.msc打开组策略编辑器,在“计算机配置”和“用户设置”下都各有一个软件限制策略的条目(如图3),到底使用哪个?如果你希望这个策略仅对某个特定用户或用户组生效,则使用“用户配置”下的策略;如果你希望对本地登录到计算机的所有用户生效,则使用“计算机配置”下的策略。这里我们需要对所有用户生效,因此选择使用“计算机配置”下的策略。
在开始配置之前我们还需要考虑一个问题,所允许的软件都有哪些特征,而禁用的软件又有哪些特征,我们要想出一种最佳的策略,能使所有需要的软件正确运行,而所有不必要的软件一个都无法运行。在本例中,我们允许的大部分程序都位于系统盘(C盘)的Program Files以及Windows文件夹下,因此我们在这里可以通过文件所在路径的方法决定哪些程序是被信任的。而对于安装在D盘的Office程序,也可任意通过路径或者文件哈希的方法来决定。
点击打开“计算机配置”下的软件限制策略条目,接着在“操作”菜单下点击“创建新的策略”(目前在安装SP1的XP上,这里默认是没有任何策略的,但是对于安装SP2的系统,这里已经有了建好的默认策略),系统将会创建两个新的条目:“安全级别”和“其它规则”。其中在安全级别条目下有两条规则,“不允许的”和“不受限的”,其中前者的意思是,默认情况下,所有软件都不允许运行,只有特别配置过的少数软件才可以运行;而后者的意思是,默认情况下,所有软件都可以运行,只有特别配置过的少数软件才被禁止运行。因为我们本例中需要运行的软件都已经定下来了,因此我们需要使用“不允许的”作为默认规则。双击这条规则,然后点击“设为默认”按钮,并在同意警告信息后继续。
接着打开“其他规则”条目,可以看到,默认情况下这里已经有四个规则,都是根据注册表路径设置的,而且默认都设置为“不受限的”。强烈提醒你,千万不要修改这四个规则,否则你的系统运行将会遇到很大麻烦,因为这四个路径都涉及到了重要系统程序及文件所在的位置。同时,我们前面说过的,位于系统盘下Program Files文件夹以及Windows文件夹下的文件是允许运行的,而这四条默认的规则已经包含了这个路径,因此我们后面要做的只是为Office程序添加一个规则。在右侧面板的空白处点击鼠标右键,选择“新建哈希规则”,然后可以看到(如图4)的界面。在这里点击“浏览”按钮,然后定位所有允许使用的Office程序的可执行文件winword.exe、excel.exe、powerpnt.exe、outlook.exe,并双击加入。接着在“安全级别”下拉菜单下选择“不受限的”,然后点击确定退出。重复以上步骤,把这四个软件的可执行文件都添加进来,并设置为不受限的。
到这里大家可以考虑一个问题,为什么我们选择为每个程序的可执行文件建立哈希规则?统一为Office应用程序建立一个路径规则不是更简单?其实这样才可以避免可执行文件被替换,或者用户把一些不需要安装的绿色软件复制到这个目录下运行。因为如果建立的是目录规则,那么所有保存在允许目录下的文件都将可以被执行,包括允许程序本身的文件,也包括用户复制进来的任何其他文件。而哈希规则就不同了,一个特定文件的哈希值是固定的,只要文件内容不发生变化,那么它的哈希值就永远不会变。这样也就避免了造假的可能。不过同时也存在一个问题,虽然文件的哈希值可以不变化,但是文件本身可能会需要某些改变。例如你安装了一个Word的补丁程序,那么winword.exe文件的哈希值可能就会变化。因此如果你选择创建这种规则,每当软件更新后你也需要看情况同步更新一下相应的规则。否则正常程序的运行也会被影响。
除此之外,这里还有几条策略可以被我们利用:强制,可以限定软件限制策略应用到哪些文件以及是否应用到Administrator账户;指派的文件类型,用于指定具有哪些扩展名的文件可以被系统认为是可执行文件,我们可以添加或删除某种类型扩展名的文件;收信任的出版商,则可以用来决定哪些用户可以选择收信任的出版商,以及信任之前还需要采取的其他操作。这三个策略可以根据自己的实际情况作出选择。
当软件显示策略设置好之后,一旦被限制的用户试图运行被禁止的程序,那么系统将会立刻发出警告并拒绝执行。
希望本文中对组策略的介绍能够对读者有所帮助,更多有关组策略的知识还有待于读者去学习和掌握。
【编辑推荐】
