玩轉Windows系統組策略進階技巧

來源:互聯網
上載者:User

系統組策略幾乎是各位網路管理員管理網路時的必用利器之一,有關該利器的常規應用技巧,相信許多人都已經耳熟能詳了。

  但是筆者一直認為,只要我們足夠細心、用心,就一定會從系統組策略中不斷挖掘出新的應用技巧來。不信的話,就來看看下面的內容吧,相信它們會協助大家進入一個新的應用新“境界”!

  巧限程式,謹防“自鎖”

  Windows伺服器中有一個名為“只允許運行Windows應用程式”的組策略項目,一旦你將該項目啟用,同時限制好指定的程式可以運行外,那麼無論你是否在“只允許運行程式列表”中,添加了gpedit.msc命令,只要“只允許運行Windows應用程式”的組策略項目生效,系統的組策略就會自動“自鎖”,即使你在超級管理員帳號下使用“gpedit.msc”命令,也不能開啟系統的組策略編輯視窗!那麼有沒有一種辦法,既能限制應用程式的運行,又能防止系統組策略出現“自鎖”現象呢?答案是肯定的,你可以按照如下步驟來操作:

  首先依次單擊“開始”/“運行”命令,在彈出的系統運行框中,輸入字串命令“gpedit.msc”,單擊“確定”按鈕後,開啟系統組策略編輯視窗;

  依次展開該視窗中的“使用者配置”/“系統管理範本”/“系統”項目,在對應“系統”項目右邊的子視窗中,雙擊“只運行許可的Windows應用程式”選項,在其後彈出的介面中,將“已啟用”選項選中。隨後,你將在對應的視窗中看到“顯示”按鈕被自動啟用,再單擊“顯示”按鈕,然後繼續單擊其後視窗中的“添加”按鈕,再將需要啟動並執行應用程式名稱輸入在添加設定框中,最後單擊“確定”按鈕;

  下面,請大家千萬不要將組策略編輯視窗立即關閉;然後開啟系統運行對話方塊,並在其中執行“gpedit.msc”命令,此時你將發現系統組策略編輯程式已經無法運行了!不過,幸虧前面沒有將組策略編輯視窗關閉,現在你可以繼續在組策略編輯視窗中,雙擊剛才設定的“只允許運行Windows應用程式”項目,然後在彈出的原則設定視窗中,選中“未配置”選項,最後單擊一下“確定”按鈕,這樣就能實現既可以限制運行應用程式的目的,又能阻止系統組策略出現“自鎖”現象。

  小提示:要是你將指定的應用程式名稱添加到“只允許運行Windows應用程式”列表中後,直接把組策略編輯視窗關閉的話,可以通過下面的步驟來進行恢複:

  重新將伺服器系統啟動一下,在啟動的過程中不停地按下F8功能鍵,直到出現系統的啟動菜單,然後執行其中的“帶命令列提示的安全模式”命令,將伺服器系統切換到命令列提示符狀態;

  接下來在命令提示字元下直接執行mmc.exe字串命令,在彈出的系統控制台介面中,單擊[檔案] 功能表項,並從彈出的下拉式功能表中單擊“添加/刪除嵌入式管理單元”選項,再單擊其後視窗中的“獨立”標籤,然後在1所示的標籤頁面中,單擊“添加”按鈕;


  下面,再依次單擊“組策略”、“添加”、“完成”、“關閉”、“確定”按鈕,這樣就能成功添加一個新的組策略控制台;以後,你就能重新開啟組策略編輯視窗,然後按照上面的設定,實現既可以限制運行應用程式的目的,又能阻止系統組策略出現“自鎖”現象。
  系統組策略幾乎是各位網路管理員管理網路時的必用利器之一,有關該利器的常規應用技巧,相信許多人都已經耳熟能詳了。

  但是筆者一直認為,只要我們足夠細心、用心,就一定會從系統組策略中不斷挖掘出新的應用技巧來。不信的話,就來看看下面的內容吧,相信它們會協助大家進入一個新的應用新“境界”!

  巧限程式,謹防“自鎖”

  Windows伺服器中有一個名為“只允許運行Windows應用程式”的組策略項目,一旦你將該項目啟用,同時限制好指定的程式可以運行外,那麼無論你是否在“只允許運行程式列表”中,添加了gpedit.msc命令,只要“只允許運行Windows應用程式”的組策略項目生效,系統的組策略就會自動“自鎖”,即使你在超級管理員帳號下使用“gpedit.msc”命令,也不能開啟系統的組策略編輯視窗!那麼有沒有一種辦法,既能限制應用程式的運行,又能防止系統組策略出現“自鎖”現象呢?答案是肯定的,你可以按照如下步驟來操作:

  首先依次單擊“開始”/“運行”命令,在彈出的系統運行框中,輸入字串命令“gpedit.msc”,單擊“確定”按鈕後,開啟系統組策略編輯視窗;

  依次展開該視窗中的“使用者配置”/“系統管理範本”/“系統”項目,在對應“系統”項目右邊的子視窗中,雙擊“只運行許可的Windows應用程式”選項,在其後彈出的介面中,將“已啟用”選項選中。隨後,你將在對應的視窗中看到“顯示”按鈕被自動啟用,再單擊“顯示”按鈕,然後繼續單擊其後視窗中的“添加”按鈕,再將需要啟動並執行應用程式名稱輸入在添加設定框中,最後單擊“確定”按鈕;

  下面,請大家千萬不要將組策略編輯視窗立即關閉;然後開啟系統運行對話方塊,並在其中執行“gpedit.msc”命令,此時你將發現系統組策略編輯程式已經無法運行了!不過,幸虧前面沒有將組策略編輯視窗關閉,現在你可以繼續在組策略編輯視窗中,雙擊剛才設定的“只允許運行Windows應用程式”項目,然後在彈出的原則設定視窗中,選中“未配置”選項,最後單擊一下“確定”按鈕,這樣就能實現既可以限制運行應用程式的目的,又能阻止系統組策略出現“自鎖”現象。

  小提示:要是你將指定的應用程式名稱添加到“只允許運行Windows應用程式”列表中後,直接把組策略編輯視窗關閉的話,可以通過下面的步驟來進行恢複:

  重新將伺服器系統啟動一下,在啟動的過程中不停地按下F8功能鍵,直到出現系統的啟動菜單,然後執行其中的“帶命令列提示的安全模式”命令,將伺服器系統切換到命令列提示符狀態;

  接下來在命令提示字元下直接執行mmc.exe字串命令,在彈出的系統控制台介面中,單擊[檔案] 功能表項,並從彈出的下拉式功能表中單擊“添加/刪除嵌入式管理單元”選項,再單擊其後視窗中的“獨立”標籤,然後在1所示的標籤頁面中,單擊“添加”按鈕;


  下面,再依次單擊“組策略”、“添加”、“完成”、“關閉”、“確定”按鈕,這樣就能成功添加一個新的組策略控制台;以後,你就能重新開啟組策略編輯視窗,然後按照上面的設定,實現既可以限制運行應用程式的目的,又能阻止系統組策略出現“自鎖”現象。

  接著在DOS命令提示字元下,輸入字串命令“gpupdate /target:computer”,單擊斷行符號鍵後,新修改的安全性原則將會立即生效;

  如果你想讓新修改的使用者策略立即生效的話,只要在DOS命令提示字元下,執行字串命令“gpupdate /target:user”就可以了。如果你想對電腦策略和使用者策略同時進行更新的話,那你可以直接執行字串命令“gpupdate”就行了。

  不同使用者,不同許可權

  也許你的伺服器中包含有許多使用者,但為了保護伺服器的安全,你希望這些使用者對伺服器的存取控制許可權各不相同,以便日後伺服器遇到意外時,你能根據許可權高低的不同,就能快速地找到“從中作亂”的使用者。要想對不同的使用者,分配不同的存取控制許可權,只需要對伺服器組策略進行一下設定就可以了,下面就是具體的設定步驟:

  依次單擊“開始”/“運行”命令,在彈出的系統運行框中,輸入字串命令“gpedit.msc”,單擊“確定”按鈕後,開啟系統組策略編輯視窗;

  在該視窗中,依次展開其中的“電腦配置”/“Windows設定”/“安全設定”/“本地策略”/“使用者權利指派”項目;

  在對應“使用者權利指派”項目的右側視窗地區中,你將看到有多種權利可供指派,3所示。例如,要是你只想讓aaa使用者通過網路連接方式來遠端存取伺服器中的內容,而不允許其在本地登入伺服器寫入內容或執行其中的應用程式時,你可以先雙擊“拒絕本地登入”許可權;

   

  在其後開啟的設定視窗中,單擊一下“添加”,然後選中aaa使用者所對應的帳號名稱,再單擊一下“添加”,這樣aaa使用者日後就只能通過遠程網路來訪問伺服器中的內容了。

  同樣地你可以將本地登入控制許可權分配給bbb使用者,將檔案或其他對象的所有權分配給ccc使用者等;一旦為不同使用者指派好了不同控制許可權後,你日後就能根據權限等級的不同,來有針對性地管理和控制使用者了。例如,要是你探索服務器在沒有接入到網路的時間內,有人隨意向伺服器中上傳非法資訊而需要追究時,你可以很輕鬆地將aaa使用者排除在外,畢竟aaa使用者沒有這樣的“作案能力”!

  保護設定,避免衝突

  在區域網路中常常會出現工作站IP地址被隨意修改,造成IP衝突現象的發生,從而影響區域網路的運行效率。儘管目前有許多方法可以避免IP地址發生衝突,但仔細推敲一下,你不難發現其中的一些方法對於一些菜鳥使用者來說,操作起來有點難度;其實藉助組策略功能,你可以很輕鬆地限制區域網路工作站的網路設定參數被隨意修改,從而有效避免網路中的IP地址發生衝突:

  依次單擊“開始”/“運行”命令,在彈出的系統運行框中,輸入字串命令“gpedit.msc”,單擊“確定”按鈕後,開啟系統組策略編輯視窗;

  依次展開該視窗中的“使用者配置”/“系統管理範本”/“網路”/“網路和撥號連線”策略項目,在對應“網路和撥號連線”策略的右側視窗地區中,雙擊一下“允許TCP/IP進階設定”項目;

  在彈出的4所示的設定視窗中,將“禁用”選項選中,並單擊一下“確定”按鈕,這樣的話,任何一個工作站使用者日後開啟TCP/IP屬性設定視窗時,將會發現無法進入“進階”設定視窗,來修改工作站的IP地址或其他網路參數,如此一來區域網路中的IP地址就不大容易發生衝突了。

  強化審核,遠離攻擊

  在預設條件下,Windows 2003伺服器沒有啟用任何一種安全性稽核手段,來保護伺服器的安全,顯然這會給伺服器帶來很大的安全隱患。為了避免伺服器遭受攻擊,你只要對伺服器中的組策略“動動手腳”,就能啟用好安全性稽核策略,保護好伺服器的安全:

  依次單擊“開始”/“運行”命令,在彈出的系統運行框中,輸入字串命令“gpedit.msc”,單擊“確定”按鈕後,開啟系統組策略編輯視窗;

  將滑鼠定位於其中的“電腦配置”/“Windows設定”/“安全設定”/“本地策略”/“稽核原則”組策略分支上,在“稽核原則”分支下面,你將看到有多種審核事件需要你指定,5所示;

 

  雙擊其中的“策略更改”項目,在彈出的設定視窗中,如果選中“成功”選項的話,那麼伺服器日後將會對所有事件的成功操作進行審核,要是選中“失敗”選項的話,那麼伺服器日後將會對所有事件的失敗操作進行審核;

  為了能夠及早知道伺服器存在的安全隱患,我們通常需要對“系統事件”、“登入事件”、“帳戶登入事件”、“帳戶管理事件”的成功操作與失敗操作分別進行審核,如此一來即使一些已經實施攻擊、但沒有攻擊成功的操作記錄,也會一一被伺服器自動記錄下來,以後我們仔細分析記錄,就能尋找出安全隱患,並及時採取補救措施確保伺服器的安全了;對於“對象訪問”事件、“目錄服務訪問”事件、“特權使用”事件等,一般只要審核它們的失敗操作,就可以達到捕捉攻擊記錄的目的了。

  一旦通過組策略分別對相關事件啟用審核功能後,伺服器日後將會把相關事件的審核記錄全部儲存到系統的“事件檢視器”中,以後你只要及時開啟日誌內容,並對其中記錄進行認真分析,就能查清伺服器此時有沒有受到攻擊了。

相關文章

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。

A Free Trial That Lets You Build Big!

Start building with 50+ products and up to 12 months usage for Elastic Compute Service

  • Sales Support

    1 on 1 presale consultation

  • After-Sales Support

    24/7 Technical Support 6 Free Tickets per Quarter Faster Response

  • Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.