Windows系统组策略应用最新技巧
系统组策略几乎是各位网络管理人员管理网络时的必用利器之一,有关该利器的常规应用技巧,相信许多人都已经耳熟能详了。但是笔者一直认为,只要我们足够细心、用心,就一定会从系统组策略中不断挖掘出新的应用技巧来。不信的话,就来看看下面的内容吧,相信它们会帮助大家进入一个新的应用新“境界”!
巧限程序,谨防“自锁”
Windows服务器中有一个名为“只允许运行Windows应用程序”的组策略项目,一旦你将该项目启用,同时限制好指定的程序可以运行外,那么无论你是否在“只允许运行程序列表”中,添加了gpedit.msc命令,只要“只允许运行Windows应用程序”的组策略项目生效,系统的组策略就会自动“自锁”,即使你在超级管理员帐号下使用“gpedit.msc”命令,也不能打开系统的组策略编辑窗口!那么有没有一种办法,既能限制应用程序的运行,又能防止系统组策略出现“自锁”现象呢?答案是肯定的,你可以按照如下步骤来操作:
首先依次单击“开始”/“运行”命令,在弹出的系统运行框中,输入字符串命令“gpedit.msc”,单击“确定”按钮后,打开系统组策略编辑窗口;
依次展开该窗口中的“用户配置”/“管理模板”/“系统”项目,在对应“系统”项目右边的子窗口中,双击“只运行许可的Windows应用程序”选项,在其后弹出的界面中,将“已启用”选项选中。随后,你将在对应的窗口中看到“显示”按钮被自动激活,再单击“显示”按钮,然后继续单击其后窗口中的“添加”按钮,再将需要运行的应用程序名称输入在添加设置框中,最后单击“确定”按钮;
下面,请大家千万不要将组策略编辑窗口立即关闭;然后打开系统运行对话框,并在其中执行“gpedit.msc”命令,此时你将发现系统组策略编辑程序已经无法运行了!不过,幸亏前面没有将组策略编辑窗口关闭,现在你可以继续在组策略编辑窗口中,双击刚才设置的“只允许运行Windows应用程序”项目,然后在弹出的策略设置窗口中,选中“未配置”选项,最后单击一下“确定”按钮,这样就能实现既可以限制运行应用程序的目的,又能阻止系统组策略出现“自锁”现象。
小提示:要是你将指定的应用程序名称添加到“只允许运行Windows应用程序”列表中后,直接把组策略编辑窗口关闭的话,可以通过下面的步骤来进行恢复:
重新将服务器系统启动一下,在启动的过程中不停地按下F8功能键,直到出现系统的启动菜单,然后执行其中的“带命令行提示的安全模式”命令,将服务器系统切换到命令行提示符状态;
接下来在命令提示符下直接执行mmc.exe字符串命令,在弹出的系统控制台界面中,单击“文件”菜单项,并从弹出的下拉菜单中单击“添加/删除管理单元”选项,再单击其后窗口中的“独立”标签,然后在如图1所示的标签页面中,单击“添加”按钮;
下面,再依次单击“组策略”、“添加”、“完成”、“关闭”、“确定”按钮,这样就能成功添加一个新的组策略控制台;以后,你就能重新打开组策略编辑窗口,然后按照上面的设置,实现既可以限制运行应用程序的目的,又能阻止系统组策略出现“自锁”现象。
随心所欲,解除“自锁”
除了通过限制应用程序运行的策略外,还有许多操作都能使组策略在不经意间就会发生“自锁”现象。如果是其他因素造成组策略发生“自锁”现象的话,我们该如何轻松解除呢?其实,所有对组策略的设置,都是基于系统注册表>的,因此对组策略任意分支的设置,都会在注册表的对应分支中有所体现;为此我们只要从修改注册表出发,就能轻松破解组策略的“自锁”现象:
依次单击“开始”/“运行”命令,在弹出的系统运行对话框中,输入字符串命令“regedit”,单击“确定”按钮后,打开系统的注册表编辑窗口;
在该窗口中,依次展开注册表分支HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC\{8FC0B734-A0E1-11D1-A7D3-0000F87571E3},在随后弹出的如图2所示的窗口右侧区域中,你将看到一个“Restrict_Run”键值;
用鼠标双击该键值,打开一个数值设置窗口,在其中输入数字“0”,最后单击“确定”按钮;此后,当你再次打开系统运行对话框,并在其中执行“gpedit.msc”命令时,你会发现自锁的组策略编辑窗口,现在可以被轻松打开了。
策略更改,即时生效
无论是对于Windows 2003域还是Windows 2000域来说,一旦修改了域的默认安全策略后,新的安全策略还不能立即生效,一般情况下需要过5到15分钟左右的时间,Windows系统才会自动更新系统组策略中的设置。那么有没有办法让修改后的安全策略,能够对用户或客户机立即生效呢?答案是肯定的,你可以按照下面的步骤来实现:
对于Windows 2000域来说,如果你想让新修改的计算机策略立即生效的话,可以依次单击“开始”/“运行”命令,打开系统运行对话框,并在其中输入字符串命令“cmd ”,单击“确定”按钮后,将Windows系统切换到Ms-DOS工作模式下;
接着在DOS命令提示符下,输入字符串命令“secedit /refreshpolicy machine_policy /enforce”,单击回车键后,新修改的安全策略将会立即生效;
如果你想让新修改的用户策略立即生效的话,只要在DOS命令提示符下,执行字符串命令“secedit /refreshpolicy user_policy /enforce”就可以了。
对于Windows 2003域来说,如果你想让新修改的计算机策略立即生效的话,可以依次单击“开始”/“运行”命令,打开系统运行对话框,并在其中输入字符串命令“cmd ”,单击“确定”按钮后,将Windows系统切换到Ms-DOS工作模式下;
接着在DOS命令提示符下,输入字符串命令“gpupdate /target:computer”,单击回车键后,新修改的安全策略将会立即生效;
如果你想让新修改的用户策略立即生效的话,只要在DOS命令提示符下,执行字符串命令“gpupdate /target:user”就可以了。如果你想对计算机策略和用户策略同时进行更新的话,那你可以直接执行字符串命令“gpupdate”就行了。
不同用户,不同权限
也许你的服务器中包含有许多用户,但为了保护服务器的安全,你希望这些用户对服务器的访问控制权限各不相同,以便日后服务器遇到意外时,你能根据权限高低的不同,就能快速地找到“从中作乱”的用户。要想对不同的用户,分配不同的访问控制权限,只需要对服务器组策略进行一下设置就可以了,下面就是具体的设置步骤:
依次单击“开始”/“运行”命令,在弹出的系统运行框中,输入字符串命令“gpedit.msc”,单击“确定”按钮后,打开系统组策略编辑窗口;
在该窗口中,依次展开其中的“计算机配置”/“Windows设置”/“安全设置”/“本地策略”/“用户权利指派”项目;
在对应“用户权利指派”项目的右侧窗口区域中,你将看到有多种权利可供指派,如图3所示。例如,要是你只想让aaa用户通过网络连接方式来远程访问服务器中的内容,而不允许其在本地登录服务器写入内容或执行其中的应用程序时,你可以先双击“拒绝本地登录”权限;
在其后打开的设置窗口中,单击一下“添加”,然后选中aaa用户所对应的帐号名称,再单击一下“添加”,这样aaa用户日后就只能通过远程网络来访问服务器中的内容了。
同样地你可以将本地登录控制权限分配给bbb用户,将文件或其他对象的所有权分配给ccc用户等;一旦为不同用户分配好了不同控制权限后,你日后就能根据权限级别的不同,来有针对性地管理和控制用户了。例如,要是你发现服务器在没有接入到网络的时间内,有人随意向服务器中上传非法信息而需要追究时,你可以很轻松地将aaa用户排除在外,毕竟aaa用户没有这样的“作案能力”!
保护设置,避免冲突
在局域网中常常会出现工作站IP地址被随意修改,造成IP冲突现象的发生,从而影响局域网的运行效率。尽管目前有许多方法可以避免IP地址发生冲突,但仔细推敲一下,你不难发现其中的一些方法对于一些菜鸟用户来担僮髌鹄从械隳讯?其实借助组策略功能,你可以很轻松地限制局域网工作站的网络配置参数被随意修改,从而有效避免网络中的IP地址发生冲突:
依次单击“开始”/“运行”命令,在弹出的系统运行框中,输入字符串命令“gpedit.msc”,单击“确定”按钮后,打开系统组策略编辑窗口;
依次展开该窗口中的“用户配置”/“管理模板”/“网络”/“网络和拨号连接”策略项目,在对应“网络和拨号连接”策略的右侧窗口区域中,双击一下“允许TCP/IP高级设置”项目;
在弹出的如图4所示的设置窗口中,将“禁用”选项选中,并单击一下“确定”按钮,这样的话,任何一个工作站用户日后打开TCP/IP属性设置窗口时,将会发现无法进入“高级”设置窗口,来修改工作站的IP地址或其他网络参数,如此一来局域网中的IP地址就不大容易发生冲突了。
强化审核,远离攻击
在缺省条件下,Windows 2003服务器没有启用任何一种安全审核手段,来保护服务器的安全,显然这会给服务器带来很大的安全隐患。为了避免服务器遭受攻击,你只要对服务器中的组策略“动动手脚”,就能启用好安全审核策略,保护好服务器的安全:
依次单击“开始”/“运行”命令,在弹出的系统运行框中,输入字符串命令“gpedit.msc”,单击“确定”按钮后,打开系统组策略编辑窗口;
将鼠标定位于其中的“计算机配置”/“Windows设置”/“安全设置”/“本地策略”/“审核策略”组策略分支上,在“审核策略”分支下面,你将看到有多种审核事件需要你指定,如图5所示;
双击其中的“策略更改”项目,在弹出的设置窗口中,如果选中“成功”选项的话,那么服务器日后将会对所有事件的成功操作进行审核,要是选中“失败”选项的话,那么服务器日后将会对所有事件的失败操作进行审核;
为了能够及早知道服务器存在的安全隐患,我们通常需要对“系统事件”、“登录事件”、“帐户登录事件”、“帐户管理事件”的成功操作与失败操作分别进行审核,如此一来即使一些已经实施攻击、但没有攻击成功的操作记录,也会一一被服务器自动记录下来,以后我们仔细分析记录,就能查找出安全隐患,并及时采取补救措施确保服务器的安全了;对于“对象访问”事件、“目录服务访问”事件、“特权使用”事件等,一般只要审核它们的失败操作,就可以达到捕捉攻击记录的目的了。
一旦通过组策略分别对相关事件启用审核功能后,服务器日后将会把相关事件的审核记录全部保存到系统的“事件查看器”中,以后你只要及时打开日志内容,并对其中记录进行认真分析,就能查清服务器此时有没有受到攻击了。