系統組策略幾乎是各位網絡管理人員管理網絡時的必用利器之一,有關該利器的常規應用技巧,相信許多人都已經耳熟能詳了。
但是筆者一直認為,只要我們足夠細心、用心,就一定會從系統組策略中不斷挖掘出新的應用技巧來。不信的話,就來看看下面的內容吧,相信它們會幫助大家進入一個新的應用新“境界”!
巧限程序,謹防“自鎖”
Windows服務器中有一個名為“只允許運行Windows應用程序”的組策略項目,一旦你將該項目啟用,同時限制好指定的程序可以運行外,那麼無論你是否在“只允許運行程序列表”中,添加了gpedit.msc命令,只要“只允許運行Windows應用程序”的組策略項目生效,系統的組策略就會自動“自鎖”,即使你在超級管理員帳號下使用“gpedit.msc”命令,也不能打開系統的組策略編輯窗口!那麼有沒有一種辦法,既能限制應用程序的運行,又能防止系統組策略出現“自鎖”現象呢?答案是肯定的,你可以按照如下步驟來操作:
首先依次單擊“開始”/“運行”命令,在彈出的系統運行框中,輸入字符串命令“gpedit.msc”,單擊“確定”按鈕後,打開系統組策略編輯窗口;
依次展開該窗口中的“用戶配置”/“管理模板”/“系統”項目,在對應“系統”項目右邊的子窗口中,雙擊“只運行許可的Windows應用程序”選項,在其後彈出的界面中,將“已啟用”選項選中。隨後,你將在對應的窗口中看到“顯示”按鈕被自動激活,再單擊“顯示”按鈕,然後繼續單擊其後窗口中的“添加”按鈕,再將需要運行的應用程序名稱輸入在添加設置框中,最後單擊“確定”按鈕;
下面,請大家千萬不要將組策略編輯窗口立即關閉;然後打開系統運行對話框,並在其中執行“gpedit.msc”命令,此時你將發現系統組策略編輯程序已經無法運行了!不過,幸虧前面沒有將組策略編輯窗口關閉,現在你可以繼續在組策略編輯窗口中,雙擊剛才設置的“只允許運行Windows應用程序”項目,然後在彈出的策略設置窗口中,選中“未配置”選項,最後單擊一下“確定”按鈕,這樣就能實現既可以限制運行應用程序的目的,又能阻止系統組策略出現“自鎖”現象。
小提示:要是你將指定的應用程序名稱添加到“只允許運行Windows應用程序”列表中後,直接把組策略編輯窗口關閉的話,可以通過下面的步驟來進行恢復:
重新將服務器系統啟動一下,在啟動的過程中不停地按下F8功能鍵,直到出現系統的啟動菜單,然後執行其中的“帶命令行提示的安全模式”命令,將服務器系統切換到命令行提示符狀態;
接下來在命令提示符下直接執行mmc.exe字符串命令,在彈出的系統控制台界面中,單擊“文件”菜單項,並從彈出的下拉菜單中單擊“添加/刪除管理單元”選項,再單擊其後窗口中的“獨立”標簽,然後在如圖1所示的標簽頁面中,單擊“添加”按鈕;
下面,再依次單擊“組策略”、“添加”、“完成”、“關閉”、“確定”按鈕,這樣就能成功添加一個新的組策略控制台;以後,你就能重新打開組策略編輯窗口,然後按照上面的設置,實現既可以限制運行應用程序的目的,又能阻止系統組策略出現“自鎖”現象。
系統組策略幾乎是各位網絡管理人員管理網絡時的必用利器之一,有關該利器的常規應用技巧,相信許多人都已經耳熟能詳了。
但是筆者一直認為,只要我們足夠細心、用心,就一定會從系統組策略中不斷挖掘出新的應用技巧來。不信的話,就來看看下面的內容吧,相信它們會幫助大家進入一個新的應用新“境界”!
巧限程序,謹防“自鎖”
Windows服務器中有一個名為“只允許運行Windows應用程序”的組策略項目,一旦你將該項目啟用,同時限制好指定的程序可以運行外,那麼無論你是否在“只允許運行程序列表”中,添加了gpedit.msc命令,只要“只允許運行Windows應用程序”的組策略項目生效,系統的組策略就會自動“自鎖”,即使你在超級管理員帳號下使用“gpedit.msc”命令,也不能打開系統的組策略編輯窗口!那麼有沒有一種辦法,既能限制應用程序的運行,又能防止系統組策略出現“自鎖”現象呢?答案是肯定的,你可以按照如下步驟來操作:
首先依次單擊“開始”/“運行”命令,在彈出的系統運行框中,輸入字符串命令“gpedit.msc”,單擊“確定”按鈕後,打開系統組策略編輯窗口;
依次展開該窗口中的“用戶配置”/“管理模板”/“系統”項目,在對應“系統”項目右邊的子窗口中,雙擊“只運行許可的Windows應用程序”選項,在其後彈出的界面中,將“已啟用”選項選中。隨後,你將在對應的窗口中看到“顯示”按鈕被自動激活,再單擊“顯示”按鈕,然後繼續單擊其後窗口中的“添加”按鈕,再將需要運行的應用程序名稱輸入在添加設置框中,最後單擊“確定”按鈕;
下面,請大家千萬不要將組策略編輯窗口立即關閉;然後打開系統運行對話框,並在其中執行“gpedit.msc”命令,此時你將發現系統組策略編輯程序已經無法運行了!不過,幸虧前面沒有將組策略編輯窗口關閉,現在你可以繼續在組策略編輯窗口中,雙擊剛才設置的“只允許運行Windows應用程序”項目,然後在彈出的策略設置窗口中,選中“未配置”選項,最後單擊一下“確定”按鈕,這樣就能實現既可以限制運行應用程序的目的,又能阻止系統組策略出現“自鎖”現象。
小提示:要是你將指定的應用程序名稱添加到“只允許運行Windows應用程序”列表中後,直接把組策略編輯窗口關閉的話,可以通過下面的步驟來進行恢復:
重新將服務器系統啟動一下,在啟動的過程中不停地按下F8功能鍵,直到出現系統的啟動菜單,然後執行其中的“帶命令行提示的安全模式”命令,將服務器系統切換到命令行提示符狀態;
接下來在命令提示符下直接執行mmc.exe字符串命令,在彈出的系統控制台界面中,單擊“文件”菜單項,並從彈出的下拉菜單中單擊“添加/刪除管理單元”選項,再單擊其後窗口中的“獨立”標簽,然後在如圖1所示的標簽頁面中,單擊“添加”按鈕;
下面,再依次單擊“組策略”、“添加”、“完成”、“關閉”、“確定”按鈕,這樣就能成功添加一個新的組策略控制台;以後,你就能重新打開組策略編輯窗口,然後按照上面的設置,實現既可以限制運行應用程序的目的,又能阻止系統組策略出現“自鎖”現象。
接著在DOS命令提示符下,輸入字符串命令“gpupdate /target:computer”,單擊回車鍵後,新修改的安全策略將會立即生效;
如果你想讓新修改的用戶策略立即生效的話,只要在DOS命令提示符下,執行字符串命令“gpupdate /target:user”就可以了。如果你想對計算機策略和用戶策略同時進行更新的話,那你可以直接執行字符串命令“gpupdate”就行了。
不同用戶,不同權限 也許你的服務器中包含有許多用戶,但為了保護服務器的安全,你希望這些用戶對服務器的訪問控制權限各不相同,以便日後服務器遇到意外時,你能根據權限高低的不同,就能快速地找到“從中作亂”的用戶。要想對不同的用戶,分配不同的訪問控制權限,只需要對服務器組策略進行一下設置就可以了,下面就是具體的設置步驟:
依次單擊“開始”/“運行”命令,在彈出的系統運行框中,輸入字符串命令“gpedit.msc”,單擊“確定”按鈕後,打開系統組策略編輯窗口;
在該窗口中,依次展開其中的“計算機配置”/“Windows設置”/“安全設置”/“本地策略”/“用戶權利指派”項目;
在對應“用戶權利指派”項目的右側窗口區域中,你將看到有多種權利可供指派,如圖3所示。例如,要是你只想讓aaa用戶通過網絡連接方式來遠程訪問服務器中的內容,而不允許其在本地登錄服務器寫入內容或執行其中的應用程序時,你可以先雙擊“拒絕本地登錄”權限;
在其後打開的設置窗口中,單擊一下“添加”,然後選中aaa用戶所對應的帳號名稱,再單擊一下“添加”,這樣aaa用戶日後就只能通過遠程網絡來訪問服務器中的內容了。
同樣地你可以將本地登錄控制權限分配給bbb用戶,將文件或其他對象的所有權分配給ccc用戶等;一旦為不同用戶分配好了不同控制權限後,你日後就能根據權限級別的不同,來有針對性地管理和控制用戶了。例如,要是你發現服務器在沒有接入到網絡的時間內,有人隨意向服務器中上傳非法信息而需要追究時,你可以很輕松地將aaa用戶排除在外,畢竟aaa用戶沒有這樣的“作案能力”!
保護設置,避免沖突 在局域網中常常會出現工作站IP地址被隨意修改,造成IP沖突現象的發生,從而影響局域網的運行效率。盡管目前有許多方法可以避免IP地址發生沖突,但仔細推敲一下,你不難發現其中的一些方法對於一些菜鳥用戶來說,操作起來有點難度;其實借助組策略功能,你可以很輕松地限制局域網工作站的網絡配置參數被隨意修改,從而有效避免網絡中的IP地址發生沖突:
依次單擊“開始”/“運行”命令,在彈出的系統運行框中,輸入字符串命令“gpedit.msc”,單擊“確定”按鈕後,打開系統組策略編輯窗口;
依次展開該窗口中的“用戶配置”/“管理模板”/“網絡”/“網絡和撥號連接”策略項目,在對應“網絡和撥號連接”策略的右側窗口區域中,雙擊一下“允許TCP/IP高級設置”項目;
在彈出的如圖4所示的設置窗口中,將“禁用”選項選中,並單擊一下“確定”按鈕,這樣的話,任何一個工作站用戶日後打開TCP/IP屬性設置窗口時,將會發現無法進入“高級”設置窗口,來修改工作站的IP地址或其他網絡參數,如此一來局域網中的IP地址就不大容易發生沖突了。
強化審核,遠離攻擊 在缺省條件下,Windows 2003服務器沒有啟用任何一種安全審核手段,來保護服務器的安全,顯然這會給服務器帶來很大的安全隱患。為了避免服務器遭受攻擊,你只要對服務器中的組策略“動動手腳”,就能啟用好安全審核策略,保護好服務器的安全:
依次單擊“開始”/“運行”命令,在彈出的系統運行框中,輸入字符串命令“gpedit.msc”,單擊“確定”按鈕後,打開系統組策略編輯窗口;
將鼠標定位於其中的“計算機配置”/“Windows設置”/“安全設置”/“本地策略”/“審核策略”組策略分支上,在“審核策略”分支下面,你將看到有多種審核事件需要你指定,如圖5所示;
雙擊其中的“策略更改”項目,在彈出的設置窗口中,如果選中“成功”選項的話,那麼服務器日後將會對所有事件的成功操作進行審核,要是選中“失敗”選項的話,那麼服務器日後將會對所有事件的失敗操作進行審核;
為了能夠及早知道服務器存在的安全隱患,我們通常需要對“系統事件”、“登錄事件”、“帳戶登錄事件”、“帳戶管理事件”的成功操作與失敗操作分別進行審核,如此一來即使一些已經實施攻擊、但沒有攻擊成功的操作記錄,也會一一被服務器自動記錄下來,以後我們仔細分析記錄,就能查找出安全隱患,並及時采取補救措施確保服務器的安全了;對於“對象訪問”事件、“目錄服務訪問”事件、“特權使用”事件等,一般只要審核它們的失敗操作,就可以達到捕捉攻擊記錄的目的了。
一旦通過組策略分別對相關事件啟用審核功能後,服務器日後將會把相關事件的審核記錄全部保存到系統的“事件查看器”中,以後你只要及時打開日志內容,並對其中記錄進行認真分析,就能查清服務器此時有沒有受到攻擊了。
