Windows组策略之软件限制策略
Windows组策略之软件限制策略
2009-12-01 15:11
对于Windows的组策略,也许大家使用的更多的只是管理模板里的各项功能。对于软件限制策略相信用过的筒子们不是很多:)。软件限制策略如果用的好的话,相信可以和某些HIPS类软件相类比了。如果再结合NTFS权限和注册表权限,完全可以实现系统的全方位的安全配置,同时由于这是系统内置的功能,与系统无缝结合,不会占用额外的CPU及内存资源,更不会有不兼容的现象,由于其位于系统的最底层,其拦截能力也是其它软件所无法比拟的,不足之处则是其设置不够灵活和智能,不会询问用户。下面我们就来全面的了解一下软件限制策略。
本文将以以下几方面为重点来进行讲解:
1. 概述
2. 附加规则和安全级别
3. 软件限制策略的优先权
4. 规则的权限分配及继承
5. 如何编写规则
6. 示例规则
1、概述
使用软件限制策略,通过标识并指定允许哪些应用程序运行,可以保护您的计算机环境免受不可信任的代码的侵扰。通过散列规则、证书规则、路径规则和Int ernet 区域规则,就用程序可以在策略中得到标识。默认情况下,软件可以运行在两个级别上:“不受限制的”与“不允许的”。在本文中我们主要用到的是路径规则和散列规则,而路径规则呢则是这些规则中使用最为灵活的,所以后文中如果没有特别说明,所有规则指的都是路径规则。
2、附加规则和安全级别
?附加规则
在使用软件限制策略时,使用以下规则来对软件进行标识:?证书规则
软件限制策略可以通过其签名证书来标识文件。证书规则不能应用到带有 .exe 或 .dll 扩展名的文件。它们可以应用到脚本和Windows 安装程
序包。可以创建标识软件的证书,然后根据安全级别的设置,决定是否允许软件运行。
?路径规则
路径规则通过程序的文件路径对其进行标识。由于此规则按路径指定,所
以程序发生移动后路径规则将失效。路径规则中可以使用诸如%progra
mfiles% 或%systemroot% 之类环境变量。路径规则也支持通配符,所支持的通配符为* 和?。
?散列规则
散列是唯一标识程序或文件的一系列定长字节。散列按散列算法算出来。
软件限制策略可以用SHA-1(安全散列算法)和MD5 散列算法根据文
件的散列对其进行标识。重命名的文件或移动到其他文件夹的文件将产生同样的散列。
例如,可以创建散列规则并将安全级别设为“不允许的”以防止用户运行某些文件。文件可以被重命名或移到其他位置并且仍然产生相同
的散列。但是,对文件的任何篡改都将更改其散列值并允许其绕过限制。
软件限制策略将只识别那些已用软件限制策略计算过的散列。
Internet 区域规则
区域规则只适用于Windows 安装程序包。区域规则可以标识那些来自I nternet Explorer 指定区域的软件。这些区域是Internet、本地计算机、本地Intranet、受限站点和可信站点。
以上规则所影响的文件类型只有“指派的文件类型”中列出的那些类型。系统存在一个由所有规则共享的指定文件类型的列表。默认情况
下列表中的文件类型包括:ADE ADP BAS BAT CHM CMD COM CPL CRT EXE HLP HTA INF INS ISP LNK MDB MDE MSC MSI MSP MST OC
X PCD PIF REG SCR SHS URL VB WSC ,所以对于正常的非可执行的文件,例如TXT JPG GIF这些是不受影响的,如果你认为还有哪些扩展的文件有威胁,也可以将其扩展加入这里,或者你认为哪些扩展无威胁,也可以将其删除。
安全级别
对于软件限制策略,默认情况下,系统为我们提供了两个安全级别:“不受限的”和“不允许的”
注:
1. “不允许的”级别不包含任何文件保护操作。你可以对一个设定成“不允许
的”文件进行读取、复制、粘贴、修改、删除等操作,组策略不会阻止,前提当然是你的用户级别拥有修改该文件的权限
2. “不受限的”级别不等于完全不受限制,只是不受软件限制策略的附加限
制。事实上,“不受限的”程序在启动时,系统将赋予该程序的父进程的权限,该程序所获得的访问令牌决定于其父进程,所以任何程序的权限将不会超过它的父进程。
但实际上,还有三个级别在默认情况是隐藏掉的,我们可以通过手动修改注册表来开启其它的三个级别,打开注册表编辑器,展开至:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\
Safer\CodeIdentifiers
新建一个DOWRD,命名为Levels,其值为0x4131000(十六十制的4131000)
创建完毕后重新打开gpedit.msc,我们会看到另外三个级别此时已经开启了。
1. 不受限的
最高权限,但其也并不是完全的不受限,而是“软件访问权由用户的访问
权来决定”,即继承父进程的权限。
2. 基本用户
基本用户仅享有“跳过遍历检查”的特权,并拒绝享有管理员的权限。
3. 受限的
比基本用户限制更多,但也享有“跳过遍历检查”的特权。
4. 不信任的
不允许对系统资源、用户资源进行访问,直接的结果就是程序将无法运行。
5. 不允许的
无条件地阻止程序执行或文件被打开
根据权限大小可以排序为:不受限的> 基本用户> 受限的> 不信任的> 不允许的
3、软件限制策略的优先权
一个特定的程序可以有多个不同的规则适用,为此,可以按下列优先权顺序来使用这些规则。优先权按从高到低的顺序排列如下:
散列规则> 证书规则> 路径规则> Internet 区域规则
如果存在多个路径规则冲突,则最具限制性的规则占有优先权。总的原则就是:规则越匹配越优先。
例如:
C:\Windows\System32\Taskmgr.exe
C:\Windows\System32\*.exe
*.exe
C:\Windows\System32\
C:\Windows\
本例是按优先权从高到低排列的。从这里我们可以看出:
绝对路径> 通配符路径
文件名规则> 目录规则
对于同样是目录规则的,则目录数匹配越多就越优先。
如果同时存在两个相似的规则,则最具限制性的规则优先权最高。例如,如果C:\Windows\ 上有一个路径规则,其安全级别为“不允许的”,而%windir% 上也有一个路径规则,其安全级别为“不受限制的”,则会采用最具限制性的规则,即“不允许的”。
这里,我们再顺便介绍一下环境变量和通配符。
在路径规则里,允许使用诸如“%windir%”“%userprofile%”之类的环境变量。一般情况下,我们的系统是在C盘,但也有些人基于其它一些原因如要安装双系统等,将系统安装在其它比如D盘下面,这时我们平常用到的一些路径比如“C: \windows\”就会无效,为了防止这种情况,我们就可以使用系统变量,像“%win dir%”,系统会自动为我们匹配其目录。我们在创建规则的时候也可以使用这些环境变量,以适用于不同的系统。下面列出的是一些常使用的环境变量,更多的环境变量你可以运行CMD 然后运行SET 命令进行查看。
ALLUSERSPROFILE = C:\Documents and Settings\All Users
APPDATA = C:\Documents and Settings\Administrator\Application Data CommonProgramFiles = C:\Program Files\Common Files
ComSpec = C:\WINDOWS\system32\cmd.exe
HOMEDRIVE = C:
HOMEPATH = \Documents and Settings\Administrator
ProgramFiles = C:\Program Files
SystemDrive = C:
SystemRoot = C:\WINDOWS
TEMP = C:\Documents and Settings\当前用户名\Local Settings\Temp TMP = C:\Windows\Temp
USERPROFILE = C:\Documents and Settings\Administrator
WINDIR = C:\WINDOWS
同样,路径规则也支持使用通配符,对DOS熟悉的筒子应该知道这个东西,就是“?”和“*”。
? :包括1个或0个字符
* :包括任意个字符(包括0个),但不包括斜杠
对于通配符,其实网上很多教程上的做法是有误的。
例如有一条:%USERPROFILE%\Local Settings\**\*.* 不允许的
这条规则本意是阻止所有被指派的文件从Local Settings 目录(包括其子目录)启动,但是经过验证发现,“**”和“*”是完全等效的,并且“*”不包括“\”。那么这条规则的实际意思就是“阻止所有被指派的文件从Local Settings 的一级目
录运行”,不包括Local Settings 目录本身,也不包括二级及其下的所有子目录。我们来看看Local Settings 目录下的一级目录有哪些呢?默认情况下是:Tem p、Temporary Internet Files、Application Data、History,那么这条规则里就包括有禁止TEMP目录下的所有被指派的文件运行的意思,其根本结果就是会造成很多软件无法安装。因为有些软件在安装时会先行解压到TEMP目录。
影响最大(简直可以列入本年度十大最错误的做法中了)的一条:?:\autorun.inf “不允许的”
相信对软件限制策略有研究的筒子都见过这条规则吧,这条规则的本意是阻止所有盘根目录下的autorun.inf 文件运行,以阻止U盘病毒的运行。它也确实达到了它的目的,autorun.inf 文件双击的时候被阻止了。但病毒被阻止了吗?答案是否定的,病毒还是会被正常运行。
为什么呢?我们来了解一下系统是怎么处理autorun.inf 文件的。
首先,svchost.exe 读取autorun.inf,然后explorer.exe 读取autorun.inf,再然后explorer.exe 将autorun.inf 里的相关内容写入注册表中MountPoints2 这个键值。只要explorer.exe 成功写入注册表,那么这个autorun.inf 文件的使命就完成了,U盘里的病毒就等着你去双击U盘了。
那么我们的软件限制策略中,将autorun.inf 设为”不允许的”这一做法在这个过程中起到什么作用?
很遗憾地告诉你:没有任何作用。
真要说它起到的作用,仅仅是阻止你打开autorun.inf 这个文件而已。所以,对于autorun.inf 的所有策略,都是无效的。
真要想防止U盘病毒的运行,策略的设置只有一种方法:
?:\*.* 不允许意思就是阻止所有盘下面的被指派文件运行。当然,如果你只想阻止U盘下的文件运行的话,那就将规则里的“?”改为具体的盘符即可。当然还有其它很多办法来防止U盘病毒的,这个我会在文后附上其它解决方法的,欢迎筒子们进行验证。让我们去伪存真,找到最好的解决办法吧:)
4、规则的权限分配及继承
这里的讲解的一个前提是:假设你的用户类型是管理员。
在没有软件限制策略的情况下,如果程序a启动程序b,那么a是b的父进程,b继承a的权限
现在把a设为基本用户,b不做限制(把b设为不受限或者不对b设置规则效果是一样的)然后由a启动b,那么b的权限继承于a,也是基本用户,即:
a(基本用户)-> b(不受限的)= b(基本用户)
若把b设为基本用户,a不做限制,那么a启动b后,b仍然为基本用户权限,即
a(不受限的)-> b(基本用户)= b(基本用户)
可以看到,一个程序所能获得的最终权限取决于:父进程权限和规则限定的权限的最低等级,也就是我们所说的最低权限原则
举一个例子:
若我们把IE设成基本用户等级启动,那么由IE执行的任何程序的权限都将不高于基本用户级别,只能更低。所以就可以达到防范网马的效果——即使IE下载病毒并执行了,病毒由于权限的限制,无法对系统进行有害的更改,如果重启一下,那么病毒就只剩下尸体了。
甚至,我们还可以通过NTFS权限的设置,让IE无法下载和运行病毒,不给病毒任何的机会。
这里,我们来看一下NTFS的权限(这里的权限是NTFS权限,与规则无关)。NTFS的所有权限如下:
遍历文件夹/运行文件(遍历文件夹可以不管,主要是“运行文件”,若无此权限则不能启动文件,相当于AD的运行应用程序)
允许或拒绝用户在整个文件夹中移动以到达其他文件或文件夹的请求,即使用户没有遍历文件夹的权限(仅适用于文件夹)。
列出文件夹/读取数据
允许或拒绝用户查看指定文件夹内文件名和子文件夹名的请求。它仅影响该文件夹的内容,而不影响您对其设置权限的文件夹是否会列出
(仅适用于文件夹)。
读取属性
允许或拒绝查看文件中数据的能力(仅适用于文件)。
读取扩展属性
允许或拒绝用户查看文件或文件夹属性(例如只读和隐藏)的请求。属性由NT
FS 定义。
创建文件/写入数据
“创建文件”允许或拒绝在文件夹中创建文件(仅适用于文件夹)。“写入数据”允许或拒绝对文件进行修改并覆盖现有内容的能力(仅
适用于文件)。
创建文件夹/追加数据
“创建文件夹”允许或拒绝用户在指定文件夹中创建文件夹的请求(仅适用于文件夹)。“追加数据”允许或拒绝对文件末尾进行更改而
不更改、删除或覆盖现有数据的能力(仅适用于文件)。
写入属性
允许或拒绝用户对文件末尾进行更改,而不更改、删除或覆盖现有数据的请求(仅适用于文件)。即写操作
写入扩展属性
允许或拒绝用户更改文件或文件夹属性(例如只读和隐藏)的请求。属性由NT FS 定义。
删除子文件夹和文件
允许或拒绝删除子文件夹和文件的能力,即使子文件夹或文件上没有分配“删除”权限(适用于文件夹)。
删除(与上面的区别是,这里除了子目录及其文件,还包括了目录本身)
允许或拒绝用户删除子文件夹和文件的请求,即使子文件夹或文件上没有分配“删除”权限(适用于文件夹)。
读取权限(NTFS权限的查看)
允许或拒绝用户读取文件或文件夹权限(例如“完全控制”、“读取”和“写入”)的请求。
更改权限(NTFS权限的修改)
允许或拒绝用户更改文件或文件夹权限(例如“完全控制”、“读取”和“写入”)的请求。
取得所有权
允许或拒绝取得文件或文件夹的所有权。文件或文件夹的所有者始终可以更改其权限,而不论用于保护该文件或文件夹的现有权限如何。
在系统默认的NTFS权限下,基本用户对于windows\program files目录只有遍历文件夹/运行文件列出文件夹/读取属性读取扩展属性读取权限这四项权限,对于documents and settings目录,仅对其所有的目录有完全控制的权限,其它目录只读?
我们的规则里面所说到的基本用户、受限用户,基本上等同于NTFS 权限里的USERS 组,但受限用户受到的限制更多,不管NTFS权限如何,其始终受到限制。
更多NTFS权限的设置,大家可以查阅NTFS相关的内容。
5、如何编写规则
关于规则编写,我们要遵循以下几个原则:
要方便,不能对自己有过多的限制,这样,即使出现问题也好排队
要安全,要考虑到你的系统中毒的来源有哪些,针对其做好防护。
基于文件名的病毒规则尽量少用,因为容易出现误阴,而且病毒的文件名随便可以改,我们做的又不是特征库。
下面介绍规则的具体编写方式
开始-> 运行-> gpedit.msc
在左边的窗口中依次展开计算机配置-> Windows设置-> 安全设置-> 软件限制策略
如果你之前没有进行过设置,那么在软件限制策略上点右键,选择创建新的策略
然后在其它规则上右键点击,选择新路径规则既可以进行规则的创建了。
规则的设置很简单,就五个安全级别,根据你自己的需要设置即可。难点主要是规则的正确性和有效性,这个得靠多多实践来提升了。
另外提醒一下,大家在设置规则时,注意不要更改以下4条系统默认规则同时还要考虑它们的影响:
?%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Curr entVersion\SystemRoot% 路径不受限的
?%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Curr entVersion\SystemRoot%*.exe 路径不受限的
?%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Curr entVersion\SystemRoot%System32\*.exe 路径不受限的?%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\
ProgramFilesDir% 路径不受限的
相当于规则:
?%SystemRoot% 不受限的整个Windows目录不受限
?%SystemRoot%\*.exe 不受限的Windows下的exe文件不受限
?%SystemRoot%\System32\*.exe 不受限的System32下的exe文件不受限
?%ProgramFiles% 不受限的整个ProgramFiles目录不受限
这里要注意的一点是规则在新添加或者进行修改以后根据不同的机器,会在一至两分钟内生效,不会立即生效,如果长时间不生效,我们
可以通过注销,重新登陆来生效,也可以使用命令gpupdate /force 来强制刷新。
6、示例规则
根目录规则
如果我们要限制某个目录下的程序运行,一般是创建诸如:
C:\Program Files\*.* 不允许
这样的规则,看起来是没有问题的,但在特殊情况下则可能引起误伤,因为通配符即可以匹配到文件,也可以匹配到文件夹。如果此目录
下存在如https://www.360docs.net/doc/5e8670809.html, 这样的目录(如C:\Program Files\SiteMapBuil https://www.360docs.net/doc/5e8670809.html,\Site Map https://www.360docs.net/doc/5e8670809.html,),同样可以和规则匹配,从而造成误伤,解决方法是对规则进行修改:
C:\Program Files 不允许的
C:\Program Files\*\ 不受限的
这样就排除了子目录,从而不会造成误伤。
上网安全的规则
我们很多时候中毒,都是在浏览网页时中的毒,在我们浏览网页时,病毒会通过浏览器漏洞自动下载到网页缓存文件夹中,然后再将自身
复制到系统敏感位置,比如windows system32 program files等等目录下,然后运行。所以单纯的对浏览器缓存文件夹进行限制是不够的。比较实用的防范方法就是禁止IE浏览器在系统敏感位置创建文件,基于此,我们可以创建如下规则:
%ProgramFiles%\Internet Explorer\iexplore.exe 基本用户
%UserProfile%\Local Settings\Temporary Internet Files\** 不允许的
%UserProfile%\Local Settings\Temporary Internet Files\* 不允许的
%UserProfile%\Local Settings\Temporary Internet Files\ 不允许的
%UserProfile%\Local Settings\Temporary Internet Files 不允许的
如果你使用的是其它浏览器,同样将其设置为基本用户即可。
U盘规则
比较实际的作法:
U盘符:\* 不允许的不信任的受限的都可以
不过设为不允许的安全度更高,也不会对U盘的正常操作有什么限制。
CMD限制策略
%Comspec% 基本用户
这里要注意的是系统对于CMD和批处理文件是分开处理的,即使对CMD设置了不允许,仍然可以运行批处理
对于一些系统中平时我们极少用,但存在潜在威胁的程序我们也要进行限制。比如ftp.exe tftp.exe telnet.exe net.exe net1.exe debug.exe at.exe arp.exe w script.exe cscript.exe等等,都可以将其设置为受限的或者直接设成不允许的。
禁止伪装的系统进程
svchost.exe 不允许的
C:\Windows\System32\Svchost.exe 不受限的
如果你有兴趣,有精神,还可以为系统的所有进程做一个白名单,这样安全性可能会更高。
其它规则就由大家自由发挥吧。
最后提一下策略的备份吧,不能这么辛苦做完下次重做系统再来一次吧,呵呵,备份很简单,我们可以通过导出注册表来备份(不提倡,
也就不介绍了)。也可以通过直接备份文件来备份,打开C:\WINDOWS\syste m32\GroupPolicy\Machine ,在这个目录下有一个Registry.pol 文件,对,就是它了。备份它,重做系统后直接COPY过来就可以了,当然你也可以将你的策略分享给更多人使用。这里有一点要注意的,就是这个Machine文件夹如果没有,千万不能手动建立,否则无效,可以使用我们前面介绍过的创建策略的方法,创建以后就会生成这个文件夹,也可以你在备份的时候直接备份这个文件夹。千万要记得不能手动建立。如果你不想使用这些策略了,很简单,将Registry. pol 文件改名或者删除即可。
附:U盘病毒解决方法
我这里介绍的都是一些通过系统自身来实现的方法,不使用第三方软件。喜欢用第三方软件的筒子们就不要讨论了。
前面已经介绍过第一种方法了:使用软件限制策略,创建一条规则“?\*.* 不允许的” ,这样即使你中了U盘病毒它也没办法运行。
第二种方法,其实也算是第一种方法的延伸吧。前面我们分析过系统对autoru n.inf 文件的处理流程,从中我们可以看出有一步,
explorer.exe 读取autorun.inf 的内容后会将其写入注册表中,由此,我们可以通过对注册表相关键值的权限进行限制,从而使其无法修改注册表,进而达到防止U盘病毒运行的目的。相关注册表键:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Explorer\MountPoints2\*\shell\open
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Explorer\MountPoints2\*\shell\autorun
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Explorer\MountPoints2\*\shell\explorer
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Explorer\MountPoints2\*\shell\*\Command
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Explorer\MountPoints2
具体做法是将这些键降低权限,或者直接将所有用户对其的访问权限取消都可以。
第三种方法就是利用Windows的一个漏洞,建立Bug文件夹,来防止Autorun 类病毒。具体方法是:
首先在U盘下建立一个名为Autorun.inf的文件夹,然后在这个文件夹下建立一个带“.”的BUG文件夹,这样的话autorun.inf 文件夹就无法删除了,比如我们在D盘下建立:
首先在D盘下建立Autorun.inf 文件夹然后运行CMD,输入
md d:\autorun.inf\test..\
这样就可以在autorun.inf文件夹里建一个名为“test.”的文件夹,在资源管理器中无法访问,无法改名,无法删除。
这种方法比较消极,但适用于经常在别人机子上使用U盘的情况。不过据说有些病毒已经可以对付这种方法了。
第四种方法,也是流传很广的一种做法,就是通过组策略或者注册表禁止自动播放功能。这种方法以前我也是深信不疑的,但通过近来的
几个小实验,发现这种方法也是有缺陷的,它只能防止一些做工粗糙的U盘病毒,对于很多病毒其实是防不了的。这个我们可以做如下实验来验证。我们自己建立一个autorun.inf 文件,放于U盘根目录下,再COPY一个NOTEPAD到你的U盘根目录下,其内容如下:
[autorun]
OPEN=NOTEPAD.exe
shell\open=打开(&O)
shell\open\Command=NOTEPAD.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=NOTEPAD.exe
从组策略中关闭自动播放功能,在U盘点击右键,新菜单里没有多出来的选项,但你双击U盘试试,你会发现NOTEPAD运行了。使用右键选择打开或者资源管理器也一样,都会运行,因为这里autorun.inf 已经修改了右键菜单里原来这两项的功能了。那么自动播放是用来干嘛的呢?相信很多筒子都知道,现在有好多光盘,当你把光盘放入光驱后,不用你进行任何操作,就会弹出一个界面,让你选择运行什么,或者播放什么这一类,记得瑞星的杀软就是这样,还有一些主板显卡的驱动盘也有这功能,但是把同样的内容放入U盘中,插入U盘的时候却不会自动运行,很显然操作系统的这个功能只是对光盘有效,这就是我们所知道的自动播放功能,我们在组策略中关闭了自动播放功能,仅仅只是使光盘放入光驱后不会自动运行,但你点击光驱右键,你会发现自动播放的选择还是存在的,所以关闭自动播放毫无意义。在这里我们要注意一个小小的概念,自动播放(AutoPlay)自动运行(AutoRun)这是有区别的。要想彻底关闭系统的这个功能,我们只能从服务入手,对系统熟的话你就会知道系统处理自动播放和自动运行的服务是Shell Hardware Detection ,所以我们只要关闭了Shell Har dware Detection 这个服务,所有的U盘病毒都不可能运行起来了。但这种方法也不是万能的,因为系统的差异,可能某些系统关闭此服务后会导致系统启动缓慢。
个人认为,对于U盘病毒的防范,修改注册表的那种方法是最有效而且没有什么副作用的。
类别:网络知识||添加到搜藏|分享到i贴吧|浏览(169)|评论 (0)
上一篇:安装驱动的几种方法下一篇:恢复exe关联/解决无法打开exe可...
最近读者:
网友评论:
发表评论:
姓
注册| 登录
名:
网址
或邮
)
箱:
内
容:
帮助中心 | 空间客服 | 投诉中心 | 空间协议
?2012 Baidu
组策略应用案例探析
组策略应用案例 实验环境 BENET公司利用域环境来实现企业网络管理,公司要求企业员工在使用企业计算机的相关设置需统一管理,要求企业管理员按如下要求完成设置 1所有域用户不能随便修改背景,保证公司使用带有公司LOGO的统一背景。 2. 所有域用户不能运行管理员已经限制的程序,比如计算器,画图等。 3 配置域用户所有IE的默认设定为本企业网站,保证员工打开IE可以直接访问到公司网站。且用户不能自行更改主页 4 禁止域用户使用运行,管理员除外。防止打开注册表等修改系统配置。只有管理员处于管理方便目的,可以使用运行。 5保证域用户有关机权限,保证员工下班可以自行关机,节省公司资源。 6 关闭2003的事件跟踪,公司使用其他手段监控用户计算机。 7 隐藏所有用户的C盘,防止用户误删除系统文件,造成系统崩溃。 8 控制面板中隐藏”添加删除windows组件”,防止用户随意添加windows组件,造成系统问题。 9取消自动播放,以防止插入U盘有病毒,自动运行病毒 10 除管理员外的任何域帐号都不可以更改计算机的IP地址设置,防止由于IP地址冲突造成网络混乱。
实验目的 1所有域用户不能随便修改背景 2所有域用户只能运行规定的程序 3 所有域用户帐号打开IE默认主页为 4所有域用户帐号无法使用运行,管理员可以使用运行 5 域用户帐号可以关机 6 域用户帐号关机时没有事件跟踪提示 7 域用户帐号看不到C盘 8 域用户帐号在控制面板中看不到”添加删除windows组件” 9 取消自动播放 10 管理员可以使用本地连接-属性,任何域用户帐号不可使用. 实验准备 1 一人一组 2 准备两台Windows Server2003虚拟机(一台DC,一台成员主机) 3 实验网络环境192.168.8.0/24
利用组策略部署软件分发
【IT168 专稿】作为一名网管员,你是否经常会被一些软件安装的问题所困扰呢?比如说在网络环境下安装软件!面对网络环境下数量众多,需求各异的用户,硬件配置不同,用途也不同的计算机,几乎每天都有各种各样关于软件安装的需求,对于此你是否感到疲于奔命,无所适从呢?Windows 2000中的组策略软件部署就可以帮我们解决这个困扰,让这些令人烦恼的事情变的轻松起来,使我们广大的网管员朋友彻底的摆脱软件部署的烦恼,省心又省力! 一、准备安装文件包 实现组策略软件部署的第一步是获取以ZAP或MSI为扩展名的安装文件包。 MSI安装文件包是微软专门为软件部署而开发的。这两个文件有些软件的安装程序会直接提供,有些软件的安装程序是不提供的。对于不提供MSI文件的软件我们可以使用一个叫WinINSTALL LE的打包工具来创建,通过使用它可以将一些没有提供MSI文件的软件打包生成MSI文件以便于实现组策略软件布署。WinINSTALLLE工具我们可以从Windows 2000安装光盘的\VALUEADD\3RDPARTY\MGMT目录下找到,但该软件实际使用的效果并不是很理想,推荐有条件的朋友使用它的升级版本WinINSTALL LE2003。软件界面如图1。可以在下载获得。 图1(点击看大图) 二、创建软件分发点 实现组策略软件部署的第二步是必须在网络上创建一个软件分发点。 软件分发点就是包含MSI包文件的共享文件夹。即在文件服务器上创建一个共享的文件夹,在这个文件夹的下面,再创建要部署软件的子目录,然后将MSI包文件及所有需要的安装源文件放于其中。再给共享文件夹设置相应的权限,使用户具有只读的权限即可。如果担心某些用户非法浏览分发点中的的内容,可以使用隐藏共享文件夹,即在共享名字后加$符号。 三、创建组策略对象
组策略详解
组策略详解(图解) 电脑知识2008-05-27 06:11 阅读138 评论0 字号:大中小 组策略是管理员为计算机和用户定义的,用来控制应用程序、系统设置和管理模板的一种机制。通俗一点说,是介于控制面板和注册表之间的一种修改系统、设置程序的工具。微软自W indows NT 4.0开始便采用了组策略这一机制,经过Windows 2000发展到Windows XP已相当完善。利用组策略可以修改Windows的桌面、开始菜单、登录方式、组件、网络及IE浏览器等许 多设置。 平时像一些常用的系统、外观、网络设置等我们可通过控制面板修改,但大家对此肯定都有不满意,因为通过控制面板能修改的东西太少;水平稍高点的用户进而使用修改注册表的方法来设置,但注册表涉及内容又太多,修改起来也不方便。组策略正好介于二者之间,涉及的内容比控制面板中的多,安全性和控制面板一样非常高,而条理性、可操作性则比注册表 强。 本文主要介绍Windows XP Professional本地组策略的应用。本地计算机组策略主要可进行两个方面的配置:计算机配置和用户配置。其下所有设置项的配置都将保存到注册表的相关项目中。其中计算机配置保存到注册表的HKEY_LOCAL_MACHINE子树中,用户配置保存到H KEY_CURRENT_USER。 一、访问组策略 有两种方法可以访问组策略:一是通过gpedit.msc命令直接进入组策略窗口;二是 打开控制台,将组策略添加进去。 1. 输入gpedit.msc命令访问 选择“开始”→“运行”,在弹出窗口中输入“gpedit.msc”,回车后进入组策略窗口(图1)。组策略窗口的结构和资源管理器相似,左边是树型目录结构,由“计算机配置”、“用户配置”两大节点组成。这两个节点下分别都有“软件设置”、“Windows设置”和“管理模板”三个节点,节点下面还有更多的节点和设置。此时点击右边窗口中的节点或设置,便会出现关于此节点或设置的适用平台和作用描述。“计算机配置”、“用户配置”两大节点下的子节点和设置有很多是相同的,那么我们该改哪一处?“计算机配置”节点中的设置应用到整个计算机策略,在此处修改后的设置将应用到计算机中的所有用户。“用户配置”节点中的设置一般只应用到当前用户,如果你用别的用户名登录计算机,设置就不会管用了。但一般情况下建议在“用户配置”节点下修改,本文也将主要讲解“用户配置”节点的各项设置的修改,附带讲解“计算机配置”节点下的一些设置。其中“管理模板”设置最多、应用最广,因此也 是本文的重中之重。
用组策略统一部署Bginfo软件
用组策略统一部署Bginfo软件(显示计算机信息到桌面) 下面来说说如何在企业内部使用组策略统一部署Bginfo的: 1.下面是主程序的界面图 中间蓝色部分就是显示项,左边的设置项是可以更改的,比如改成中文; <>内的不可修改,fields下面就是显示设置的可选项 2.清空蓝色区域,在fields中选择要在工作站桌面上显示的内容,我选择的是Host Name和IP Address,并将字体大小,颜色等设置完毕 3.另存当前的配置文件”File”->”Save as”这里保存为bginfo.bgi 4.建立两个批处理,内容如下: copyfile.bat ------------------------------------------------------------------------- @echo off copy %logonserver%\netlogon\bginfo.exe %systemroot%\bginfo.exe bginfo.bat --------------------------------------------------------------------------- @echo off
bginfo.exe %logonserver%\netlogon\bginfo.bgi /nolicprompt /timer:0 5.把bginfo.exe、bginfo.bgi、bginfo.bat、copyfile.bat文件,拷贝到%logonserver%\netlogon目录下。 6.通过组策略管理器(GPMC),编辑或新建的一个组策略(OU组织单位),在"计算机配置"选择"windows设置","脚本(启动/关机)",在"启动"中添加copyfile.bat文件(把bginfo.exe、bginfo.bgi、bginfo.bat、copyfile.bat文件复制到“显示文件”按钮点开的文件夹内,按添加把copyfile.bat文件选中); 7.在计算机配置中选择 "windows设置","安全设置",右键点击"文件系统",选择"添加文件",在打开的窗口中输入 “%systemroot%bginfo.exe”,并将上两项的user权限改为可读写。(让域用户有权限将bginfo.exe复制到系统目录中,默认是只有读取权限的。如省略此步骤,工作站在登录时可能出现文件不能成功创建的错误信息)
组策略分发Adobe Reader 10教程
组策略分发Adobe Reader 10教程 1,实验环境 域控:Windows Server 2008 R2 客户端:Windows XP SP3 32位 Adobe Reader版本:10.1.4 2,获取分发Adobe Reader的许可协议 按照Adobe公司的要求,分发Adobe Reader需要取得许可,仅为形式上的东西,申请网址为https://www.360docs.net/doc/5e8670809.html,/cn/products/reader/distribution.html?readstep,申请成功后Adobe公司会邮件通知你可以开始分发Adobe Reader,免费的。 3,下载Adobe Reader msi包 官方下载地址:ftp://https://www.360docs.net/doc/5e8670809.html,/pub/adobe/reader/win/。Adobe Reader 10.1.4版本只有MSP包下载,所以我们需先下载Adobe Reader 10.1.0的msi包,下载目录ftp://https://www.360docs.net/doc/5e8670809.html,/pub/adobe/reader/win/10.x/10.1.0/zh_CN/,对于网内有中英文电脑的酒店,都可下载此中文安装包,只是英文客户端的电脑第一次打开Adobe Reader时会出现选择语言的提示,单语言安装包只有66.8M,而多语言安装包有140多M,安装单语言安装包将快得多。然后在目录 ftp://https://www.360docs.net/doc/5e8670809.html,/pub/adobe/reader/win/10.x/10.1.4/misc/下载名为 AdbeRdrUpd1014.msp的MSP包。 4,下载Adobe Reader msi包的MST生成工具Adobe Customization Wizard X 官方下载地址:https://www.360docs.net/doc/5e8670809.html,/support/downloads/detail.jsp?ftpID=4950。此MST 工具的目的是禁止分发后的Adobe Reader自动更新、关闭保护模式等,后面将详细介绍。 5,安装下载的MST生成工具 安装完后在工具栏中选择File --- Open Package,打开之前下载的Adobe Reader 10.1.0的msi包,请勿在msi包上单击右键选择Adobe Customization Wizard X用打开,这样打开将报错,弄得我还以为是电脑有问题。 6,生成MST文件 可参考如下文档 https://www.360docs.net/doc/5e8670809.html,/content/dam/kb/en/837/cpsid_83709/attachments/Customization_ Wizard.pdf,接下来我将简单介绍几个实用的修改。
利用组策略来发布和指派软件
利用组策略来发布和指派软件 1、分发具备的条件: A、用户端必须是Windows 2000以上的版本 B、要加入域的计算机才受软件分发的影响 C、分发的软件的格式一定是*.msi 扩展:软件WinInstall可以将EXE的文件转换成MSI的 另外还有其它分发软件 2、分发的步骤: A、建立软件分发点即建一个共享文件夹将Msi的文件解压到共享文件夹中 B、建立组策略GPO(组策略容器) 注意:默认程序包位置要用UNC路径\\计算机名\a共享的文件夹名 C、发布软件方式有:发布和指派注意区别 1、指派方式有两种:指派给计算机和指派给用户; (1)指派给计算机:计算机启动时软件会自动安装在计算机里; 安装目录:Documents and setting\All User (2)指派给用户:不会自动安装软件本身 只安装软件相关部分信息,如快捷方式 何时会自动安装 1、开始运行此软件 2、利用“文件启动”功能(document activation) 2、发布方式:只有发布给用户,不能发布给计算机 1、软件不会自动安装 2、何时自动安装 “控制面板”>>“添加或删除程序”>>“添加新程序”D、客户端安装(注意:要有权限,是域的管理员可以安装,本地的管理员不行,或者设置策略来进行软件的安装) 下面就开始做实验:
1、打开域控制器,我就用callcenter.21cn.local来举例。如图:1-1 1-1 2、新建一个组织,命名为“callcneter”,如图:1-2 1-2
3、点击“callcenter”属性,然后点击“组策略”选项卡,点击“新建”>>,创建一个“组策略对象链接”命名为“deng”如图:1-3 1-3 4、点击“编辑”,如图:1-4 1-4
软件分发功能简易说明
软件分发功能简易说明 网络服务端五大功能区 控制及软件功能切换区 被控机管理员密码输入及被控机启动盘选择区 功能控制菜单区 主窗口 状态栏 控制及软件功能切换区 1.群组:用来选择需要控制的群组,最多可以控制80个群组。 2.电脑:用来选择群组中需要控制的计算机,一个网络服务端程序最多可以控 制一个群组中的80 台计算机。 3.电脑列表:列出所有收集到的安装Max-User 计算机相关信息及状态;包括 “群组”、“计算机名称”、“IP 地址”、“系统”、“模式”、“属性”和“网卡地址”。 4.档案传输:列出正在进行文件传输的计算机及状态。 5.网络唤醒排程:设定(新增、删除、修改)控制排程和设定(新增、删除、 修改)触发事件,主要用于在保护系统的系统保护。 6.帮助:提供电子版本的帮助文件。 7.关于:公司服务电话及Email。 8.离开:退出MaxControl控制软件操作界面。 输入被控端管理员密码输入及选择被控机启动盘
1.输入被控端管理员密码: 需要输入正确的密码才能对安装MaxUser的计算机进行控制,该密码与硬盘保护系统的密码一致。 2.选择被控机启动盘: 此处显示的操作系统为当前用户使用的操作系统的名称,同时可以通过选择不同的操作系统的名称配合功能控制菜单区中的功能选项进入不同的操作系统。 功能控制菜单 1.收集ID: 收集被控计算机ID,用于读取安装网络客户端程序的计算机状态,同时在主窗口界面中显示出来,用户可以根据主窗口的显示对该计算机进行相关的操作。若被控机处于硬盘保护启动菜单状态下,请选择按保护系统信息收集;若被控机已经进入Windows 操作系统状态下,请选择按操作系统信息收集。 2.网络唤醒: 将所选择的被控计算机通过网络唤醒。 需要将CMOS中的关于网络唤醒的选项打开,并确认被控计算机前次关机是从Windows 状态下进行正常 关机的。如遇以下情况被控机也将无法唤醒:公用电网停电、正常关机后单 机切断电源或机房统一切断电源。 3. 重启: 命令所选择的被控计算机进行重新启动的操作。 点击后将弹出如图所示的对话框: 此对话框将在您点击重启、关机、使用者模式、管理员模式、保留模式、备份、还原、指定启动盘、取消指定启动盘、维护排程、传递硬盘保护参数等按扭后弹出,由于以上功能均需要使被控端计算机重启或关机,因此该对话框可以根据您的需要使得被控计算机延迟相应的时间进行重启和关机以便使用者能及时保存重要信息,同时您可以在对话框中输入文字以提醒被控机的使用者。如果您选择“不显示信息”被控计算机会立即重启或关机。
谈在windows server 中使用软件限制策略
在 Windows Server 2003 中使用软件限制策略 概要 本文讲明如何在 Windows Server 2003 中使用软件限制策略。使用软件限制策略能够标识并指定同意运行的软件,以便爱护您的计算机环境可不能受到不可信代码的攻击。使用软件限制策略时,能够为组策略对象 (GPO) 定义两种默认安全级不(分不是无限制和不同意)中的一种,使得在默认情况下或者同意软件运行,或者不同意软件运行。要创建此默认安全级不的特例,能够创建针对特定软件的规则。能够创建以下几种规则:?哈希规则 ?证书规则 ?路径规则
? Internet 区域规则 一个策略由默认安全级不和所有应用于 GPO 的规则组成。此策略能够应用于所有的计算机或者个不用户。软件限制策略提供了许多标识软件的方法,它们还提供了基于策略的基础结构,以便强制执行关于软件是否能够运行的决定。有了软件限制策略,用户在运行程序时必须遵守治理员设置的规则。 通过软件限制策略,能够执行以下任务: ?操纵能够在计算机上运行的程序。例如,假如担心用户通过电子邮件收到病毒,能够应用一个策略,不同意一些文件类型在电子邮件程序的电子邮件附件文件夹中运行。 ?在多用户计算机上,仅同意用户运行特定的文件。例如,假如您的计算机上有多个用户,您能够设置软件限制策略,使用户除了能够访问必须在工作中使用的特定文件外,不能访问其他任何软件。 ?确定谁能够向计算机中添加受信任的公布服务器。 ?操纵软件限制策略是阻碍计算机上的所有用户,依旧只阻碍一些用户。 ?阻止任何文件在本地计算机、组织单元、站点或域中运行。例如,假如存在已知病毒,就能够使用软件限制策略阻止计算机打开包含该病毒的文件。 重要讲明:Microsoft 建议不要用软件限制策略代替防病毒软件。
组策略详细部署
1.隐藏电脑的驱动器 位置:用户配置\\管理模板\\Windows组件\\Windows资源管理器\\启用后,发现我的电脑里的磁盘驱动器全不见了,但在地址栏输入盘符后,仍然可以访问,如果再把下面的防止从“我的电脑”访问驱动器设置为启用,在地址栏输入盘符就无法访问了,但在运行里直接输入cmd,在Dos下仍然可以看见,接下来就是把CMD命令也禁用了。 位置:用户配置\\管理模板\\系统\\ 2.禁用注册表 位置:用户配置\\管理模板\\系统\\ 3.禁用控制面板 位置:用户配置\\管理模板\\系统\\ 如想在控制面板中隐藏Internet选项,则在隐藏控制面板程序里添加Inetcpl.cpl,具体名称可查看Windows\\System32里以cpl结尾的文件。 4.隐藏文件夹 平时我们隐藏文件夹后,别人只需在文件夹选项里显示所有文件,就可以看见了,我们可以在组策略里删除这个选项, 位置:用户配置\\管理模板\\Windows组件\\Windows资源管理器\\ 5.关闭缩略图缓存 有时我们在文件夹中放过图片,后来移除了,但以缩略图缓存仍然能被其他人读取。 位置:用户配置\\管理模板\\Windows组件\\Windows资源管理器 6.去除开始菜单中的“文档”菜单 开始菜单中的文档一栏,会记载我们曾经编辑过的文档,我们可以去掉这个菜单: 位置:用户配置\\管理模板\\Windows组件\\任务栏和“开始”菜单 7.隐藏…屏幕保护程序“”选项卡 有时我们设置了屏幕密码保护,但很容易被人修改,我们可以隐藏这一选项。 用户配置\\管理模板\\控制面板\\显示。 8.禁止更改TCP/IP属性 我们设定的IP地址可能会被更改,那么只要关闭它的属性页就可以了。 位置:用户配置\\管理模板\\网络\\网络连接 把下面两项设为启用。 9.删除任务管理器 可别小看了任务管理器,它除了可以终止程序、进程外还可以重启、关机,搜索程序的执行文件名,及更改程序运行的优先顺序。 位置:用户配置\\管理模板\\系统\\C trl+Alt+Del选项\\ 10.禁用IE“工具”菜单下的“Internet选项” 为了阻止别人对IE浏览器设置的随意更改。
AD域中如何布置软件自动分发
AD域中如何布置软件自动分发 本篇文章介绍了如何使用组策略自动将程序分发到客户端计算机或用户。您可以通过以下方法使用组策略分发计算机程序: ? 分配软件 您可以将程序分发分配到用户或计算机。如果将程序分配给一个用户,在该用户登录到计算机时就会安装此程序。在该用户第一次运行此程序时,安装过程最终完成。如果将程序分配给一台计算机,在计算机启动时就会安装此程序,所有登录到该计算机上的用户都可以使用它。在某一用户第一次运行此程序时,安装过程最终完成。 ? 发布软件 您可以将一个程序分发发布给用户。当用户登录到计算机上时,发布的程序会显示在“添加或删除程序”对话框中,并且可以从这里安装。 注意:Windows Server 2003 组策略自动程序安装要求客户端计算机运行 Microsoft Windows 2000 或更高版本。 创建分发点 要发布或分配计算机程序,必须在发布服务器上创建一个分发点: 1. 以管理员身份登录到服务器计算机。 2. 创建一个共享网络文件夹,将您要分发的 Microsoft Windows 安装程序包(.msi 文件)放入此文件夹。 3. 对该共享设置权限以允许访问此分发程序包。 4. 将该程序包复制或安装到分发点。例如,要分发 Microsoft Office XP,请运行管理员安装(setup.exe /a) 以将文件复制到分发点。 创建组策略对象 要创建一个用以分发软件程序包的组策略对象 (GPO),请执行以下操作: 1. 启动“Active Directory 用户和计算机”管理单元,方法是:单击“开始”,指向“管理工具”,然后单击“Active Directory 用户和计算机”。 2. 在控制台树中,右键单击您的域,然后单击“属性”。 3. 单击“组策略”选项卡,然后单击“新建”。 4. 为此新策略键入名称(例如,Office XP 分发),然后按 Enter。
Windows组策略中软件限制策略规则编写示例
Windows组策略中软件限制策略规则编写示例 2008年10月30日星期四20:10 对于Windows的组策略,也许大家使用的更多的只是“管理模板”里的各项功能。对于“软件限制策略”相信用过的朋友们不是很多。 软件限制策略如果用的好的话,相信可以和某些HIPS类软件相类比了。如果再结合NTFS权限和注册表权限,完全可以实现系统的全方位的安全配置,同时由于这是系统内置的功能,与系统无缝结合,不会占用额外的CPU及内存资源,更不会有不兼容的现象,由于其位于系统的最底层,其拦截能力也是其它软件所无法比拟的,不足之处则是其设置不够灵活和智能,不会询问用户。下面我们就来全面的了解一下软件限制策略。 本系列文章将从以下几方面为重点来进行讲解: ·概述 ·附加规则和安全级别 ·软件限制策略的优先权 ·规则的权限分配及继承 ·如何编写规则 ·示例规则 今天我们介绍Windows的组策略中软件限制策略规则编写示例。 根目录规则 如果我们要限制某个目录下的程序运行,一般是创建诸如: C:\Program Files\*.* 不允许 这样的规则,看起来是没有问题的,但在特殊情况下则可能引起误伤,因为通配符即可以匹配到文件,也可以匹配到文件夹。如果此目录 下存在如https://www.360docs.net/doc/5e8670809.html, 这样的目录(如C:\Program Files\https://www.360docs.net/doc/5e8670809.html,\Site Map https://www.360docs.net/doc/5e8670809.html,),同样可以和规则匹配,从而造成误伤,解决方法是对规则进行修改:C:\Program Files 不允许的 C:\Program Files\*\ 不受限的 这样就排除了子目录,从而不会造成误伤。 上网安全的规则 我们很多时候中毒,都是在浏览网页时中的毒,在我们浏览网页时,病毒会通过浏览器漏洞自动下载到网页缓存文件夹中,然后再将自身 复制到系统敏感位置,比如windows system32 program files等等目录下,然后运行。所以单纯的对浏览器缓存文件夹进行限制是不够的。比较实用的防范方法就是禁止IE浏览器在系统敏感位置创建文件,基于此,我们可以创建如下规则: %ProgramFiles%\Internet Explorer\iexplore.exe 基本用户 %UserProfile%\Local Settings\Temporary Internet Files\** 不允许的 %UserProfile%\Local Settings\Temporary Internet Files\* 不允许的 %UserProfile%\Local Settings\Temporary Internet Files\ 不允许的 %UserProfile%\Local Settings\Temporary Internet Files 不允许的 如果你使用的是其它浏览器,同样将其设置为“基本用户”即可。 U盘规则 比较实际的作法: U盘符:\* 不允许的不信任的受限的都可以 不过设为不允许的安全度更高,也不会对U盘的正常操作有什么限制。 CMD限制策略
域环境通过组策略分发软件给客户端讲课稿
域环境通过组策略分发软件给客户端
域环境通过组策略分发软件给客户端 通常情况下,我们可以通过软件安装来分发后缀名为.msi的可执行文件(卡巴就是这个后缀名的哦)。通过在组策略的“计算机配置”中的“软件安装中,点击右键,如何选择程序包,通过UNC路径(注意了哦:这个是网络路径,所以,管理员必须把此软件共享出去)找到程序位置。如何,选择"已指派"就可以了。当然,在“用户配置”的"软件安装"中的配置也是按照此顺序完成的。 大家看见了没有?在发布好软件后,选择软件里面的属性,查看“部署”,可以看见“指派”与“发行”两个选项(计算机配置中,发行为灰色)。所以,这里有就有三种软件部署的方法了: 1、发行给用户 2、指派给用户 3、指派给计算机 下面,来剖析下这三种方法的区别。 第一种是发行给用户。选择此方式时,软件只会出现在“添加与删除对话框内。用户可以选择删除此软件。等以后需要的时候再安装。 第二种时指派给用户。选择此方式,用户再任何一台电脑登陆域,都可以在开始菜单与桌面上看到软件的快捷方式。同时,计算机中也会注册该软件的相关信息。如关联的文件等。用户只要点击“开始菜单”或桌面上的快捷方式时,计算机就会自动下载安装次软件。但与发行给用户不同的是,用户可以删除此软件,但是,下次登陆时,它还是会出现,意思是说,它是阴魂不散的。除非管理员删除了它或者你安装了它。 第三种是指派给计算机。选择此方式,用户不用手动执行,计算机会在启动时,自动下载并安装此软件。用户不能删除此软件,只有管理员有此特权。 下面是我简单作的一个部署方法区分表 执行方式发行给用户指派给用户指派给计算机 生效时间下次登陆域下次登陆域下次启动计算机 完整的软件触发时机用户从“添加与删除程序”安装第一次点击快捷方式计算机启动自动安装 是否出现快捷方式否是是 何种身份删除软件发行的对象指派的对象系统管理员
组策略 软件分发
用组策略部署软件,省心又省力! 责任编辑:李鹏作者:姜磊福 2006-06-20 【IT168 专稿】作为一名网管员,你是否经常会被一些软件安装的问题所困扰呢?比如说在网络环境下安装软件!面对网络环境下数量众多,需求各异的用户,硬件配置不同,用途也不同的计算机,几乎每天都有各种各样关于软件安装的需求,对于此你是否感到疲于奔命,无所适从呢?Windows 2000中的组策略 软件部署就可以帮我们解决这个困扰,让这些令人烦恼的事情变的轻松起来,使我们广大的网管员朋友彻底的摆脱软件部署的烦恼,省心又省力! 一、准备安装文件包 实现组策略软件部署的第一步是获取以ZAP或MSI为扩展名的安装文件包。 MSI安装文件包是微软专门为软件部署而开发的。这两个文件有些软件的安装程序会直接提供,有些软件的安装程序是不提供的。对于不提供MSI文件的软件我们可以使用一个叫WinINSTALL LE的打包工具来创建,通过使用它可以将一些没有提供MSI文件的软件打包生成MSI文件以便于实现组策略软件布署。WinINSTALLLE工具我们可以从Windows 2000安装光盘的 \VALUEADD\3RDPARTY\MGMT目录下找到,但该软件实际使用的效果并不是很理想,推荐有条件的朋友使用它的升级版本WinINSTALL LE2003。软件界面如图1。可 以在https://www.360docs.net/doc/5e8670809.html,/下载获得。 图1(点击看大图) 二、创建软件分发点 实现组策略软件部署的第二步是必须在网络上创建一个软件分发点。 软件分发点就是包含MSI包文件的共享文件夹。即在文件服务器上创建一个共享的文件夹,在这个文件夹的下面,再创建要部署软件的子目录,然后将MSI 包文件及所有需要的安装源文件放于其中。再给共享文件夹设置相应的权限,使
组策略软件限制策略
组策略软件限制策略文档编制序号:[KKIDT-LLE0828-LLETD298-POI08]
组策略——软件限制策略导读 实际上,本教程主要为以下内容: 理论部分: 1.软件限制策略的路径规则的优先级问题 2.在路径规则中如何使用通配符 3.规则的权限继承问题 4.软件限制策略如何实现3D部署(难点是NTFS权限),软件限制策略的精髓在于权限,如何部署策略也就是如何设置权限 规则部分: 5.如何用软件限制策略防毒(也就是如何写规则) 6.规则的示例与下载 理论部分 软件限制策略包括证书规则、散列规则、Internet 区域规则和路径规则。我们主要用到的是散列规则和路径规则,其中灵活性最好的就是路径规则了,所以一般我们谈到的策略规则,若没有特别说明,则直接指路径规则。 一.环境变量、通配符和优先级 关于环境变量(假定系统盘为 C盘) %USERPROFILE%?? 表示 C:\Documents and Settings\当前用户名
%HOMEPATH% 表示 C:\Documents and Settings\当前用户名 %ALLUSERSPROFILE%?? 表示 C:\Documents and Settings\All Users %ComSpec% 表示 C:\WINDOWS\System32\ %APPDATA%?? 表示 C:\Documents and Settings\当前用户名\Application Data %ALLAPPDATA%?? 表示 C:\Documents and Settings\All Users\Application Data %SYSTEMDRIVE% 表示 C: %HOMEDRIVE% 表示 C: %SYSTEMROOT%?? 表示 C:\WINDOWS %WINDIR% 表示 C:\WINDOWS %TEMP% 和 %TMP%?? 表示 C:\Documents and Settings\当前用户名\Local Settings\Temp %ProgramFiles% 表示 C:\Program Files %CommonProgramFiles% 表示 C:\Program Files\Common Files 关于通配符: Windows里面默认 * :任意个字符(包括0个),但不包括斜杠 :1个或0个字符 几个例子 *\Windows 匹配 C:\Windows、D:\Windows、E:\Windows 以及每个目录下的所有子文件夹。 C:\win* 匹配 C:\winnt、C:\windows、C:\windir 以及每个目录下的所有子文件夹。*.vbs 匹配 Windows XP Professional 中具有此扩展名的任何应用程序。
组策略应用大全
组策略应用大全集团档案编码:[YTTR-YTPT28-YTNTL98-UYTYNN08]
组策略应用大全专题 先给初学的扫扫盲:说到组策略,就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库,随着Windows功能的越来越丰富,注册表里的配置项目也越来越多。很多配置都是可以自定义设置的,但这些配置发布在注册表的各个角落,如果是手工配置,可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供管理人员直接使用,从而达到方便管理计算机的目的。 简单点说,组策略就是修改注册表中的配置。当然,组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。 运行组策略的方法:在“开始”菜单中,单击“运行”命令项,输入并确定,即可运行组策略。先看看组策略的全貌,如图。 安全设置包括:,,,,。 :在Windows Server 2003系统的“帐户和本地策略”中包括“帐户策略”和“本地策略”两个方面,而其中的“帐户策略”又包括:密码策略、帐户锁定策略和Kerberos策略三个方面;另外的“本地策略”也包括:审核策略、用户权限分配和安全选项三部分。 : 倘若在Win98工作站中通过“网上邻居”窗口,来访问WinXP操作系统的话,你会发现WinXP工作站会拒绝你的共享请求,这是怎么回事呢原来WinXP系统在默认状态下是不允许以guest方式登录系统的,那么是不是将WinXP系统下的guest帐号“激活”,就能让WinXP工作站被随意共享了呢其实不然,除了要将guest帐号启用起来,还需要指定guest帐号可以通过网络访
使用组策略部署软件
需要注意的是已发布的方法只能部署到用户,不能部署到计算机上,也就是说只有组策略中的用户配置可以使用这种部署方法。已发布软件部署方法可以保证: 1、当用户登录计算机时,软件并不会自动安装,只有当用户双击与应用程序关联的文件时,软件才会自动安装。如我们双击一个ppt 文档或doc文档时,会自动安装OFFICE。 2、对于发布的软件,用户可以在控制面板中的“添加/删除”中安装或者删除,也就是说用户自己可以安装,也可以卸载。 这种部署方法的好处在于,对于一些不能确定使用用户的软件,可以以发布方法部署,是否安装由用户自己决定。 配置方法如下: 1、右击“用户配置”中的“软件安装”,选择“新建”,然后单击“程序包”。在“打开对话框”中选定“软件分发点”中的MSI包文件,然后单击“打开”。 2、在选择部署方法中,选定“已发布”。
已指派的方法可以将软件部署给用户和计算机,也就是说组策略中的用户策略与计算机策略都可以使用这种部署方法。这一点需要与发行方法区别开。 当我们使用此方法将软件指派给用户时可以保证: 1、软件对用户总是可用的,不管用户从哪一台计算机登陆,软件都将会在开始菜单或桌面上出现,但这时软件并没有被安装,只有在用户双击应用程序图标或与应用程序关联的文件时,软件才会被安装。 2、如果用户删除了安装的软件,哪么当用户下次登录时软件还会出现在开始菜单或是桌面上,并在用户双击关联文件时被激活安装。 这种部署的好处在于,对于一些不常用的,但某些人却必须要使用的软件我们没有必要在每台计算机都安装,只要指派给需要的用户,不管这个用户在哪台计算机上操作,都能保证要使用的软件是可用的。 方法如下: 1、右击“用户配置”中的“软件安装”,选择“新建”,然后单击“程序包”。在“打开对话框”中选定“软件分发点”中的MSI包文件,然后单击“打开”。 2、在选择部署方法中,选定“已指派”。 当我们使用此方法将软件指派给用户时可以保证: 1、对于被指派的计算机,软件总是可用的,无论哪个用户登录都可以使用被指派的软件。 2、软件不会通过文件关联安装,而是在计算机启动时被安装。 3、用户不能删除被指派安装的软件,只有管理员才可以。 这种部署方法的好处在于,可以将一些大家都要用到的软件指派给计算机,被指派安装在计算机上的软件对于所有用户都是可用的。 配置方法如指派给用户的步骤,只是将“用户配置”改为“计算机配置”即可。 三、改变部署的软件包选项 在用组策略部署一个软件后,可以修改待部署的软件包的选项以适应我们的需要: 1、点击软件安装,在右边找到待部署的软件包,点击右键选择属性,在出现的对话框中选择部署,如图。
Win10操作系统配置软件限制策略
龙源期刊网 https://www.360docs.net/doc/5e8670809.html, Win10操作系统配置软件限制策略 作者:张志浩 来源:《科学与财富》2017年第28期 摘要:随着网络、Internet 以及电子邮件在商务计算方面的使用日益增多,用户发现他们经常会遇到新软件。用户必须不断作出是否该运行未知软件的决定。病毒和特洛伊木马经常故意地伪装自己以骗得用户的运行。要用户做出安全的选择是非常困难的。所以我们可以启用软件限制策略来帮助用户选择。 一、.软件限制策略概述 在系统安全方面,有人曾说,如果把 HIPS (Host-based Intrusion Prevention System ,基于主机的入侵防御系统)用的很好,就可以告别杀毒软件了。其实,在Windows中,如果能将组策略中的“软件限制策略”使用的很好,再结合NTFS权限和注册表权限限制,依然可以很淡定的告别杀毒软件。另一方面,由于组策略是原生于系统之上的,可能在底层与操作系统无缝结合,于是不会产生各种兼容性问题或者产生 CPU 占用过高、内存消耗太大等问题。从这一点来看,组策略中的“软件限制策略”才算是最好的系统管理利器。 二.部署软件限制策略 软件限制策略的功能描述:软件限制策略,目的是通过标识或指定应用程序,实现控制应用程序运行的功能,使得计算机环境免受不可信任的代码的侵扰。通过制定散列规则、证书规则、路径规则和网络区域规则,则可使得程序可以在策略中得到标识,其中,路径规则在配置和应用中显得更加灵活。将软件限制策略应用于下列用户:除本地管理员以外的所有用户。 启用限制策略在默认情况下,组策略中的“软件限制策略”是处在关闭状态的。通过以下步骤我们来启用它: 1. 打开组策略编辑器:gpedit.msc 2.将树目录定位至:计算机配置 -> Windows 设置 -> 安全设置 -> 软件限制策略 3.在“软件限制策略”上点击右键,点选“创建软件限制策略”创建成功之后,组策略编辑窗口中会显示相关配置条目。 三.配置软件限制策略 使用软件限制策略,通过标识并指定允许哪些应用程序运行,可以保护您的计算机环境免受不可信任的代码的侵扰。通过哈希规则、证书规则、路径规则和Internet区域规则,应用程序可以在策略中得到标识。默认情况下,软件可以运行在两个级别上:“不受限制的”与“不允
如何设置常用组策略
如何设置常用组策略 故障现象: 组策略应用设置大全一、桌面项目设置 1. 隐藏不必要的桌面图标 2. 禁止对桌面的改动 3. 启用或禁止活动桌面 4. 给开始菜单减肥5. 保护好任务栏和开始菜单的设置二、隐藏或禁止控制面板项目 1. 禁止访问控制面板 2. 隐藏或禁止添加/删除程序项 3. 隐藏或禁止显示项三、系统项目设置 1. 登录时不显示欢迎屏幕界面 2. 禁用注册表编辑器 3. 关闭系统自动播放功能 4. 关闭Windows自动更新 5. 删除任务管理器四、隐藏或删除Windows XP资源管理器中的项目 1. 删除文件夹选项 2. 隐藏管理菜单项 五、IE浏览器项目设置 1. 限制IE浏览器的保存功能 2. 给工具栏减肥 3. 在IE工具栏添加快捷方式 4. 让IE插件不再骚扰你 5. 保护好你的个人隐私 6. 禁止修改IE浏览器的主页 7. 禁用导入和导出收藏夹 六、系统安全/共享/权限设置 1. 密码策略 2. 用户权利指派 3. 文件和文件夹设置审核 4. Windows 98访问Windows XP共享目录被拒绝的问题解决 5. 阻止访问命令提示符 6. 阻止访问注册表编辑工具 解决方案: 一、桌面项目设置 在组策略的左窗口依次展开用户配置---管理模板---桌面节点,便能看到有关桌面的所有设置。此节点主要作用在于管理用户使用桌面的权利和隐藏桌面图标。 1. 隐藏不必要的桌面图标 桌面上的一些快捷方式我们可以轻而易举地删除,但要删除我的电脑、回收站、网上邻居等默认图标,就需要依靠组策略了。例如要删除我的文档,只需在删除桌面上的‘我的文档’图标一项中设置即可。若要隐藏桌面上的网上邻居和Internet Explorer图标,只要在右侧窗格中将隐藏桌面上‘网上邻居’图标和隐藏桌面上的Internet Explorer图标两个策略选项启用即可;如果隐藏桌面上的所有图标,只要将隐藏
使用组策略限制软件运行示例
组策略之软件限制策略——完全教程与规则示例 导读 注意:如果你没有耐心或兴趣看完所有内容而想直接使用规则的话,请至少认真看一次规则的说明,谢谢实际上,本教程主要为以下内容: 理论部分: 1.软件限制策略的路径规则的优先级问题 2.在路径规则中如何使用通配符 3.规则的权限继承问题 4.软件限制策略如何实现3D部署(配合访问控制,如NTFS权限),软件限制策略的精髓在于权限,部署策略同时,往往也需要学会设置权限 规则部分: 5.如何用软件限制策略防毒(也就是如何写规则) 6.规则的示例与下载 其中,1、2、3点是基础,很多人写出无效或者错误的规则出来都是因为对这些内容没有搞清楚;第4点可能有 点难,但如果想让策略有更好的防护效果并且不影响平时正常使用的话,这点很重要。 如果使用规则后发现有的软件工作不正常,请参考这部分内容,注意调整NTFS权限 理论部分 软件限制策略包括证书规则、散列规则、Internet 区域规则和路径规则。我们主要用到的是散列规则和路径规则,其中灵活性最好的就是路径规则了,所以一般我们谈到的策略规则,若没有特别说明,则直接指路径规则。 或者有人问:为什么不用散列规则?散列规则可以防病毒替换白名单中的程序,安全性不是更好么? 一是因为散列规则不能通用,二是即使用了也意义不大——防替换应该要利用好NTFS权限,而不是散列规则,要是真让病毒替换了系统程序,那么再谈规则已经晚了
一.环境变量、通配符和优先级 关于环境变量(假定系统盘为C盘) %USERPROFILE% 表示C:\Documents and Settings\当前用户名 %HOMEPATH% 表示C:\Documents and Settings\当前用户名 %ALLUSERSPROFILE% 表示C:\Documents and Settings\All Users %ComSpec% 表示C:\WINDOWS\System32\cmd.exe %APPDATA% 表示C:\Documents and Settings\当前用户名\Application Data %ALLAPPDATA% 表示C:\Documents and Settings\All Users\Application Data %SYSTEMDRIVE% 表示C: %HOMEDRIVE% 表示C: %SYSTEMROOT% 表示C:\WINDOWS %WINDIR% 表示C:\WINDOWS %TEMP% 和%TMP% 表示C:\Documents and Settings\当前用户名\Local Settings\Temp %ProgramFiles% 表示C:\Program Files %CommonProgramFiles% 表示C:\Program Files\Common Files 关于通配符: Windows里面默认