玩转Windows系统组策略高级技巧

系统组策略几乎是各位网络管理人员管理网络时的必用利器之一,有关该利器的常规应用技巧,相信许多人都已经耳熟能详了。

  但是笔者一直认为,只要我们足够细心、用心,就一定会从系统组策略中不断挖掘出新的应用技巧来。不信的话,就来看看下面的内容吧,相信它们会帮助大家进入一个新的应用新“境界”!

  巧限程序,谨防“自锁”

  Windows服务器中有一个名为“只允许运行Windows应用程序”的组策略项目,一旦你将该项目启用,同时限制好指定的程序可以运行外,那么无论你是否在“只允许运行程序列表”中,添加了gpedit.msc命令,只要“只允许运行Windows应用程序”的组策略项目生效,系统的组策略就会自动“自锁”,即使你在超级管理员帐号下使用“gpedit.msc”命令,也不能打开系统的组策略编辑窗口!那么有没有一种办法,既能限制应用程序的运行,又能防止系统组策略出现“自锁”现象呢?答案是肯定的,你可以按照如下步骤来操作:

  首先依次单击“开始”/“运行”命令,在弹出的系统运行框中,输入字符串命令“gpedit.msc”,单击“确定”按钮后,打开系统组策略编辑窗口;

  依次展开该窗口中的“用户配置”/“管理模板”/“系统”项目,在对应“系统”项目右边的子窗口中,双击“只运行许可的Windows应用程序”选项,在其后弹出的界面中,将“已启用”选项选中。随后,你将在对应的窗口中看到“显示”按钮被自动激活,再单击“显示”按钮,然后继续单击其后窗口中的“添加”按钮,再将需要运行的应用程序名称输入在添加设置框中,最后单击“确定”按钮;

  下面,请大家千万不要将组策略编辑窗口立即关闭;然后打开系统运行对话框,并在其中执行“gpedit.msc”命令,此时你将发现系统组策略编辑程序已经无法运行了!不过,幸亏前面没有将组策略编辑窗口关闭,现在你可以继续在组策略编辑窗口中,双击刚才设置的“只允许运行Windows应用程序”项目,然后在弹出的策略设置窗口中,选中“未配置”选项,最后单击一下“确定”按钮,这样就能实现既可以限制运行应用程序的目的,又能阻止系统组策略出现“自锁”现象。

  小提示:要是你将指定的应用程序名称添加到“只允许运行Windows应用程序”列表中后,直接把组策略编辑窗口关闭的话,可以通过下面的步骤来进行恢复:

  重新将服务器系统启动一下,在启动的过程中不停地按下F8功能键,直到出现系统的启动菜单,然后执行其中的“带命令行提示的安全模式”命令,将服务器系统切换到命令行提示符状态;

  接下来在命令提示符下直接执行mmc.exe字符串命令,在弹出的系统控制台界面中,单击“文件”菜单项,并从弹出的下拉菜单中单击“添加/删除管理单元”选项,再单击其后窗口中的“独立”标签,然后在如图1所示的标签页面中,单击“添加”按钮;
  下面,再依次单击“组策略”、“添加”、“完成”、“关闭”、“确定”按钮,这样就能成功添加一个新的组策略控制台;以后,你就能重新打开组策略编辑窗口,然后按照上面的设置,实现既可以限制运行应用程序的目的,又能阻止系统组策略出现“自锁”现象。
  系统组策略几乎是各位网络管理人员管理网络时的必用利器之一,有关该利器的常规应用技巧,相信许多人都已经耳熟能详了。

  但是笔者一直认为,只要我们足够细心、用心,就一定会从系统组策略中不断挖掘出新的应用技巧来。不信的话,就来看看下面的内容吧,相信它们会帮助大家进入一个新的应用新“境界”!

  巧限程序,谨防“自锁”

  Windows服务器中有一个名为“只允许运行Windows应用程序”的组策略项目,一旦你将该项目启用,同时限制好指定的程序可以运行外,那么无论你是否在“只允许运行程序列表”中,添加了gpedit.msc命令,只要“只允许运行Windows应用程序”的组策略项目生效,系统的组策略就会自动“自锁”,即使你在超级管理员帐号下使用“gpedit.msc”命令,也不能打开系统的组策略编辑窗口!那么有没有一种办法,既能限制应用程序的运行,又能防止系统组策略出现“自锁”现象呢?答案是肯定的,你可以按照如下步骤来操作:

  首先依次单击“开始”/“运行”命令,在弹出的系统运行框中,输入字符串命令“gpedit.msc”,单击“确定”按钮后,打开系统组策略编辑窗口;

  依次展开该窗口中的“用户配置”/“管理模板”/“系统”项目,在对应“系统”项目右边的子窗口中,双击“只运行许可的Windows应用程序”选项,在其后弹出的界面中,将“已启用”选项选中。随后,你将在对应的窗口中看到“显示”按钮被自动激活,再单击“显示”按钮,然后继续单击其后窗口中的“添加”按钮,再将需要运行的应用程序名称输入在添加设置框中,最后单击“确定”按钮;

  下面,请大家千万不要将组策略编辑窗口立即关闭;然后打开系统运行对话框,并在其中执行“gpedit.msc”命令,此时你将发现系统组策略编辑程序已经无法运行了!不过,幸亏前面没有将组策略编辑窗口关闭,现在你可以继续在组策略编辑窗口中,双击刚才设置的“只允许运行Windows应用程序”项目,然后在弹出的策略设置窗口中,选中“未配置”选项,最后单击一下“确定”按钮,这样就能实现既可以限制运行应用程序的目的,又能阻止系统组策略出现“自锁”现象。

  小提示:要是你将指定的应用程序名称添加到“只允许运行Windows应用程序”列表中后,直接把组策略编辑窗口关闭的话,可以通过下面的步骤来进行恢复:

  重新将服务器系统启动一下,在启动的过程中不停地按下F8功能键,直到出现系统的启动菜单,然后执行其中的“带命令行提示的安全模式”命令,将服务器系统切换到命令行提示符状态;

  接下来在命令提示符下直接执行mmc.exe字符串命令,在弹出的系统控制台界面中,单击“文件”菜单项,并从弹出的下拉菜单中单击“添加/删除管理单元”选项,再单击其后窗口中的“独立”标签,然后在如图1所示的标签页面中,单击“添加”按钮;
  下面,再依次单击“组策略”、“添加”、“完成”、“关闭”、“确定”按钮,这样就能成功添加一个新的组策略控制台;以后,你就能重新打开组策略编辑窗口,然后按照上面的设置,实现既可以限制运行应用程序的目的,又能阻止系统组策略出现“自锁”现象。

  接着在DOS命令提示符下,输入字符串命令“gpupdate /target:computer”,单击回车键后,新修改的安全策略将会立即生效;

  如果你想让新修改的用户策略立即生效的话,只要在DOS命令提示符下,执行字符串命令“gpupdate /target:user”就可以了。如果你想对计算机策略和用户策略同时进行更新的话,那你可以直接执行字符串命令“gpupdate”就行了。

  不同用户,不同权限

  也许你的服务器中包含有许多用户,但为了保护服务器的安全,你希望这些用户对服务器的访问控制权限各不相同,以便日后服务器遇到意外时,你能根据权限高低的不同,就能快速地找到“从中作乱”的用户。要想对不同的用户,分配不同的访问控制权限,只需要对服务器组策略进行一下设置就可以了,下面就是具体的设置步骤:

  依次单击“开始”/“运行”命令,在弹出的系统运行框中,输入字符串命令“gpedit.msc”,单击“确定”按钮后,打开系统组策略编辑窗口;

  在该窗口中,依次展开其中的“计算机配置”/“Windows设置”/“安全设置”/“本地策略”/“用户权利指派”项目;

  在对应“用户权利指派”项目的右侧窗口区域中,你将看到有多种权利可供指派,如图3所示。例如,要是你只想让aaa用户通过网络连接方式来远程访问服务器中的内容,而不允许其在本地登录服务器写入内容或执行其中的应用程序时,你可以先双击“拒绝本地登录”权限;    

  在其后打开的设置窗口中,单击一下“添加”,然后选中aaa用户所对应的帐号名称,再单击一下“添加”,这样aaa用户日后就只能通过远程网络来访问服务器中的内容了。

  同样地你可以将本地登录控制权限分配给bbb用户,将文件或其他对象的所有权分配给ccc用户等;一旦为不同用户分配好了不同控制权限后,你日后就能根据权限级别的不同,来有针对性地管理和控制用户了。例如,要是你发现服务器在没有接入到网络的时间内,有人随意向服务器中上传非法信息而需要追究时,你可以很轻松地将aaa用户排除在外,毕竟aaa用户没有这样的“作案能力”!

  保护设置,避免冲突

  在局域网中常常会出现工作站IP地址被随意修改,造成IP冲突现象的发生,从而影响局域网的运行效率。尽管目前有许多方法可以避免IP地址发生冲突,但仔细推敲一下,你不难发现其中的一些方法对于一些菜鸟用户来说,操作起来有点难度;其实借助组策略功能,你可以很轻松地限制局域网工作站的网络配置参数被随意修改,从而有效避免网络中的IP地址发生冲突:

  依次单击“开始”/“运行”命令,在弹出的系统运行框中,输入字符串命令“gpedit.msc”,单击“确定”按钮后,打开系统组策略编辑窗口;

  依次展开该窗口中的“用户配置”/“管理模板”/“网络”/“网络和拨号连接”策略项目,在对应“网络和拨号连接”策略的右侧窗口区域中,双击一下“允许TCP/IP高级设置”项目;

  在弹出的如图4所示的设置窗口中,将“禁用”选项选中,并单击一下“确定”按钮,这样的话,任何一个工作站用户日后打开TCP/IP属性设置窗口时,将会发现无法进入“高级”设置窗口,来修改工作站的IP地址或其他网络参数,如此一来局域网中的IP地址就不大容易发生冲突了。

  强化审核,远离攻击

  在缺省条件下,Windows 2003服务器没有启用任何一种安全审核手段,来保护服务器的安全,显然这会给服务器带来很大的安全隐患。为了避免服务器遭受攻击,你只要对服务器中的组策略“动动手脚”,就能启用好安全审核策略,保护好服务器的安全:

  依次单击“开始”/“运行”命令,在弹出的系统运行框中,输入字符串命令“gpedit.msc”,单击“确定”按钮后,打开系统组策略编辑窗口;

  将鼠标定位于其中的“计算机配置”/“Windows设置”/“安全设置”/“本地策略”/“审核策略”组策略分支上,在“审核策略”分支下面,你将看到有多种审核事件需要你指定,如图5所示;  

  双击其中的“策略更改”项目,在弹出的设置窗口中,如果选中“成功”选项的话,那么服务器日后将会对所有事件的成功操作进行审核,要是选中“失败”选项的话,那么服务器日后将会对所有事件的失败操作进行审核;

  为了能够及早知道服务器存在的安全隐患,我们通常需要对“系统事件”、“登录事件”、“帐户登录事件”、“帐户管理事件”的成功操作与失败操作分别进行审核,如此一来即使一些已经实施攻击、但没有攻击成功的操作记录,也会一一被服务器自动记录下来,以后我们仔细分析记录,就能查找出安全隐患,并及时采取补救措施确保服务器的安全了;对于“对象访问”事件、“目录服务访问”事件、“特权使用”事件等,一般只要审核它们的失败操作,就可以达到捕捉攻击记录的目的了。

  一旦通过组策略分别对相关事件启用审核功能后,服务器日后将会把相关事件的审核记录全部保存到系统的“事件查看器”中,以后你只要及时打开日志内容,并对其中记录进行认真分析,就能查清服务器此时有没有受到攻击了。

(0)

相关推荐

  • Windows系统组策略应用最新技巧

    系统组策略几乎是各位网络管理人员管理网络时的必用利器之一,有关该利器的常规应用技巧,相信许多人都已经耳熟能详了.但是笔者一直认为,只要我们足够细心.用心,就一定会从系统组策略中不断挖掘出新的应用技巧来.不信的话,就来看看下面的内容吧,相信它们会帮助大家进入一个新的应用新"境界"! 巧限程序,谨防"自锁" Windows服务器中有一个名为"只允许运行Windows应用程序"的组策略项目,一旦你将该项目启用,同时限制好指定的程序可以运行外,那么无论你

  • Windows 系统组策略应用全攻略(下)第1/3页

    六.IE设置手到擒来 微软的Internet Explorer让我们可以轻松地在互联网上遨游,但要想用好Internet Explorer,则必须将它配置好.在IE浏览器的"Internet选项"窗口中,提供了比较全面的设置选项(例如:"首页"."临时文件夹"."安全级别"和"分级审查"等项目),但部分高级功能没有提供,而通过组策略即可轻松实现这些功能.下面来看具体实例: 位置:"组策略控制台→用

  • Windows 系统组策略应用全攻略(上)第1/2页

    一.什么是组策略 (一)组策略有什么用? 说到组策略,就不得不提注册表.注册表是Windows系统中保存系统.应用软件配置的数据库,随着Windows功能的越来越丰富,注册表里的配置项目也越来越多.很多配置都是 可以自定义设置的,但这些配置发布在注册表的各个角落,如果是手工配置,可想是多么困难和烦杂.而组策略则将系统重要的配置功能汇集成各种配置模块,供管理人员直接使用,从而达到方便管理计算机的目的. 简单点说,组策略就是修改注册表中的配置.当然,组策略使用自己更完善的管理组织方法,可以对各种对象

  • Windows 系统组策略应用全攻略(中)

    四."桌面"设置 Windows的桌面就像我们的办公桌一样,需要经常进行整理和清洁,而组策略就如同我们的贴身秘书,让桌面管理工作变得易如反掌.下面就让我们来看看几个实用的配置实例: 位置:"组策略控制台→用户配置→管理模板→桌面" 1.隐藏桌面的系统图标(Windows 2000/XP/2003) 虽然通过修改注册表的方式可以实现隐藏桌面上的系统图标的功能,但这样比较麻烦,也有一定的风险.而采用组策略配置的方法,可以方便快捷地达到此目的. 比如要隐藏桌面上的&quo

  • 玩转Windows系统组策略高级技巧

    系统组策略几乎是各位网络管理人员管理网络时的必用利器之一,有关该利器的常规应用技巧,相信许多人都已经耳熟能详了. 但是笔者一直认为,只要我们足够细心.用心,就一定会从系统组策略中不断挖掘出新的应用技巧来.不信的话,就来看看下面的内容吧,相信它们会帮助大家进入一个新的应用新"境界"! 巧限程序,谨防"自锁" Windows服务器中有一个名为"只允许运行Windows应用程序"的组策略项目,一旦你将该项目启用,同时限制好指定的程序可以运行外,那么无论

  • DOS环境下玩转Windows注册表

    注册表编辑器不仅可以在Windows下运行使用,还可以在MS-DOS实模式下运行.有时注册表受到损坏而无法启动Windows时,我们就只有在DOS模式下修复或修改注册表了.注册表的实际物理文件为System.dat和User.dat,也就说注册表中的数据保存在这两个文件中. 导出注册表 此命令可以实现对注册表文件进行备份. 命令格式:Regedit /L:system /R:user /E filename.reg Regpath 参数含义: /L:system指定System.dat文件所在的

  • 探讨Windows XP 神奇的组策略

    系统组策略几乎是各位网络管理人员管理网络时的必用利器之一,有关该利器的常规应用技巧,相信许多人都已经耳熟能详了. 但是笔者一直认为,只要我们足够细心.用心,就一定会从系统组策略中不断挖掘出新的应用技巧来.不信的话,就来看看下面的内容吧,相信它们会帮助大家进入一个新的应用新"境界"! 巧限程序,谨防"自锁" Windows服务器中有一个名为"只允许运行Windows应用程序"的组策略项目,一旦你将该项目启用,同时限制好指定的程序可以运行外,那么无论

  • Windows下使用go语言写程序安装配置实例

    linux下,google的go语言安装起来很方便,用起来也很爽,几行代码就可以实现很强大的功能. 现在的问题是我想在windows下玩-- 其实windows下也不麻烦,具体见下文. 一.安装go语言: 1.安装MinGW(https://bitbucket.org/jpoirier/go_mingw/downloads) 2.下载源码 进入C:\MinGW,双击mintty开启终端窗口: 执行"hg clone -u release https://go.googlecode.com/hg/

  • 邮箱及IE安全技巧全精通

    "假痴不癫"意为凡有作为的人,一般都腹有良谋,筹划于暗中,不露声色而后发制人.在E-mail的安全防范中,我们同样可以使用"假痴不癫"之计谋,从系统.杀毒.防黑等多方面为E-mail打造出一条安全防线-- E-mail的安全隐患浅析 E-mail作为目前网络中人际交往中使用最广泛的通信工具,它的安全问题在数年前就引起了各方面的关注.简单地说,E-mail在安全方面的问题主要有以下直接或间接的几方面: ●密码被窃取 木马.暴力猜解.软件漏洞.嗅探等诸多方式均有可能让邮

  • Win Server 2003秘笈放送

    1.我的时代 玩转Win 2003 秘笈.宝典之类的DD通常只在武侠小说里露面,故事里的主角往往无意间练得绝世武功从此扬名立万.如今,想熟练使用软.硬件产品,多看大家整理出的使用技巧绝对是一条有效的捷径.在这之中,尤其又以Windows操作系统的技巧类文章出现次数最为频繁. 去年5月22日,微软发布最新的Windows Server 2003(以下简称Windows 2003)操作系统.不少玩家朋友已经体验到了它无穷魅力,作为Windows XP的服务器版本,Windows 2003以其.NET

随机推荐