小知识
组策略:组策略是从Windows 2000中开始使用的管理技术,管理员可以使用组策略对一台或多台计算机的各种选项进行设置。组策略的使用非常灵活,其中包括了策略设置、安全设置、软件安装、脚本运行、计算机启动和关闭、用户登录和注销等各种方面。具有组策略功能的系统包括Windows 2000、Windows XP Professional(不包括Home版)以及Windows Server 2003。
魔戒现身——单机环境下的组策略设置
使用管理员或者具有管理员权限的用户登录系统,在运行中输入gpedit.msc并回车可打开组策略编辑器(如图1)。
组策略编辑器的窗口主要分了左右两个部分,左侧用树形图的形式显示了所有可用的策略类别,而右侧面板则详细显示了每种类别中可以配制的策略,只要双击这些策略便可以对其进行配制。这里分了两大部分——计算机策略和用户策略。通常来说,计算机策略可以应用到整个计算机,或者说这些策略主要是为了整个计算机“系统上”的一些设置存在的。而用户策略则主要针对的是与用户密切相关的一些设置,例如软件的界面等,而且用户设置中的策略一般情况下都只对当前登录的用户生效。
为了让你进一步了解组策略的使用,我们举几个例子来说明。
仔细观察组策略编辑器窗口可以发现,在左侧的树形图列表中主要分为两部分:计算机配置和用户配置,而其下的策略则大部分都类似。因此在进行配置之前应该考虑,如果你希望你的配置只对当前用户生效,那么可以在用户配置下进行操作;而如果你希望设置可以对本机的所有用户生效,则可以在计算机配置下进行操作。同时,计算机配置中还包括了一些全局性的设置。
提示:以下内容主要以Windows XP操作系统为例,不过大部分内容同样适用于Windows 2000和Windows Server 2003,只不过细节方面可能略微不同。
小技巧:禁用“用户配置”或“计算机配置”策略。
用鼠标右键点击组策略编辑器窗口左侧的树形图列表顶端的“本地计算机策略”字样,然后选择属性,接着会打开一个本地计算机策略属性对话框。其中“创建”一栏显示了该策略生成的时间,一般情况下都是指操作系统的安装时间;而“修改”中显示的是最后一次设置组策略的时间;“修订”一栏则显示了这两个分类中各自有多少策略被配置。如果你希望在这里隐藏其中的一类策略,则可以在该对话框下方钩选相应的复选框。
隐藏回收站图标
为了美观,全新安装的Windows XP桌面上仅有一个回收站图标。你可能不希望自己的漂亮墙纸被图标挡住,那么怎样把仅有的回收站图标也删除?选中后按Delete键自然是不行的,不过有组策略就简单多了。打开组策略编辑器,在左侧的树形图中定位到“用户配制-管理模板-桌面”,然后在右侧面板中找到并双击“从桌面删除回收站”这一策略,你将能看到(如图2)的对话框,选中“已启用”,然后点击确定关闭该对话框。注销后重新登录看看,是不是仅有的一个图标也消失了。
保护分页文件中的秘密
对于重要文件,我们都知道通过加密和设置权限以禁止其他无关人员访问,不过你可知道,如果真的有必要,他人完全可以通过其他途径获得你的机密信息,那就是分页文件。我们都知道分页文件作为物理内存的补充,用途是在硬盘和内存之间交换数据,而分页文件本身就是硬盘上的一个文件,它位于系统所在硬盘分区的根目录中,文件名为pagefile.sys。一般情况下,当我们运行程序时,这些程序的一部分内容可能会被临时保存到分页文件上,而如果我们编辑完这个文件后立刻就关闭了系统,那么文件的一些内容仍然有可能被保存在分页文件中。在这种情况下,如果有人得到了这台电脑的硬盘,那么只要把硬盘拆出来,利用特殊的软件,就可以将分页文件中的机密信息读取出来。通过配置组策略,我们可以避免这种潜在的危险。打开组策略编辑器,在“计算机配置/Windows设置/本地策略/安全选项”下启用“关机:清除虚拟内存页面文件”这个策略。启用这个策略后,关机的时候系统会将分页文件中的所有内容都用“0”或者“1”写满,这样所有的信息自然也都会消失。不过要注意一点,这样做会减慢系统的关闭速度,因此如果不是非常必要,不建议你启用这个策略。
控制台下的安全保证
系统故障后我们可能需要到故障恢复控制台中进行修复工作。不过如果你只是打算到控制台下把硬盘上的重要文件复制到软盘之后重新安装系统,那么你可能会失望了。因为为了保证文件的安全,默认情况下,在系统故障恢复控制台中,我们仅能有限制地访问几个系统目录,不能完全访问所有硬盘分区。不仅如此,我们还只能把光盘或软盘中的文件复制到硬盘上,但是不能把硬盘中的文件复制到软盘上。如果你并不需要这种安全措施,完全可以通过配置组策略禁用,同样是在“计算机配置/Windows设置/本地策略/安全选项”下,启用“故障恢复控制台:允许对所有驱动器和文件夹进行软盘复制和访问”这一策略。再次进入控制台后你会发现,限制都没有了。
禁用气球通知
在Windows XP中,如果系统有什么消息,例如网络的连通或断开等信息,将会在系统提示区(就是屏幕右下角那个显示时间地方)以气球图标的形式显示出来。虽然初次使用可能感到新鲜,不过时间一长你肯定也会感到厌烦。用组策略可以把这些气球提示永远隐藏。同样是在组策略编辑器中,从左侧的树形图中定位到“用户配制/管理模板/任务栏和开始菜单”,然后在右侧找到并双击打开“删除开始菜单项目上的气球提示”,然后点击“已启用”并确定退出即可。
自定义IE浏览器
每天用Internet Explorer上网,如果老是面对这一样的IE窗口那肯定会感到厌倦。如果想要美化一下IE窗口,那就可以用组策略。在组策略编辑器左侧的树形图中展开“用户配置/Windows设置/Internet Explorer维护/浏览器用户界面”。在这里,我们可以自定义浏览器的窗口标题栏,右上角的动态徽标,还有工具栏的图标,只要双击每个策略,然后按照弹出窗口中的说明进行操作后就可以生效。
如果我们希望IE在点击“搜索”后使用Google作为默认搜索引擎,那么也可以在这里设置实现。在“Internet Explorer维护”下点击“URL”,然后双击“重要URL”这一策略,在其中选中“自定义搜索栏URL”前的复选框,然后在下面输入http://www.google.com,确定后退出。这样再次启动IE后点击“搜索”就可以用Google作为默认搜索引擎了。
登录注销脚本的应用
利用组策略,我们可以设置让系统在用户登录和注销的时候自动执行脚本文件。而在脚本文件中我们可以做很多事情。例如整理磁盘碎片、清空临时文件夹等。我们这里会以在计算机启动时自动创建一个系统还原点为例说明该策略的用法。
要做到这一点首先需要编写一个创建系统还原点的脚本,然后设置组策略让计算机启动的时候自动执行这个脚本文件。
打开记事本,输入以下内容:
Set sr = getobject("winmgmts:\\.\root\default:Systemrestore")
msg = "New Restore Point successfully created." & vbCR
msg = msg & "It is listed as: " & vbCR
msg = msg & "Automatic Restore Point " & Date & " " & Time
If (sr.createrestorepoint("Automatic Restore Point", 0, 100)) = 0 Then
MsgBox msg
Else
MsgBox "Restore Point creation Failed!"
End If
Set sr = Nothing
然后保存这个文件为systemrestore.vbs,注意,保存的时候要在“文件类型”下拉菜单中选择“所有文件”,然后在“文件名”中输入包括后缀名在内完整的文件名。接着打开组策略编辑器,定位到“计算机配置/Windows设置/脚本(启动/关机)”,双击其中的“启动”策略打开启动属性对话框。然后点击“添加”按钮,并点击浏览按钮找到systemrestore.vbs文件,接着点击确定退出这个选项卡。设置之后每次系统启动后都会自动创建还原点。
这里还有很多其它策略可以设置,因为每选中一个策略后编辑器中都会显示相关的解释和说明,相信那些可以帮助你理解每条策略的用途以及使用方法,因此这里就不再多说。
技巧:远程编辑其他计算机的组策略。
如果你只是临时因为某些需要而要修改局域网中另一台计算机的组策略设置,如何操作呢?在你的电脑中运行“MMC”打开控制台,然后在“文件”菜单下点击“添加/删除管理单元”,接着点击“添加”按钮,在可用的独立管理单元列表中选中“组策略”控制台组件,然后点击“添加”。随后会出现一个对话框,要你选择组策略对象,如果你希望编辑本机的组策略,则直接使用默认设置既可;否则,可以点击“浏览”按钮,并选择“另一台计算机”,然后再次点击“浏览”按钮,从随后出现的选择计算机对话框中选择一台本地局域网上的计算机(注意,需要你在对方计算机上具有管理员权限)。选择好后会打开一个组策略编辑器的窗口,以往显示的“本地计算机策略”已经显示为“2k3策略”(其中2k3是远程计算机的机器名)。
管理模板及其增强组件
在组策略编辑器中还有一类比较特殊的策略,即管理模板。通过管理模板我们主要可以对操作系统的一些组件进行设置。下面的内容主要会以计算机配置之中的相关策略进行说明。
脱机文件的保密
很多有笔记本电脑的用户都有可能在出差或上班途中使用笔记本电脑处理工作上的文件,这里就可以用到Windows XP Professional的脱机文件功能,当你设置共享文件或共享文件夹可以脱机使用后,Windows会缓存(也就是临时保存)服务器上你选择的文件或文件夹的副本到本地硬盘上。这样当你从网络中断开后,就可以使用这些文件的副本来工作,但是感觉上就好像那些还是网络中的共享文件。而当你重新连接到网络后,Windows会把你这里的缓存和服务器上的共享文件同步,这样在服务器和你的本地硬盘上就都保留有最新版本的文件了。虽然脱机文件功能很好用,不过一定要注意一点,就是本地缓存的脱机文件是没有被加密的。如果你处理的是敏感数据文件,虽然服务器能够通过访问控制保护这些文件的安全,不过当你缓存到本地后如果没有经过很好的处理,其他人就有可能会访问到这些内容。解决的办法也很简单,我们可以通过组策略设置加密脱机文件缓存。展开组策略编辑器左侧树形图到“计算机配置/管理模板/网络/脱机文件”,然后启用其中的“对脱机文件缓存进行加密”这一策略。
重定向Windows安装源位置
假设这种情况,你从光盘上安装了Windows XP,同时为了备份的需要,把所有安装文件都复制到了硬盘上一个位置。某天可能因为一些原因(如计算机感染病毒),你的重要系统文件被替换,而系统总是提醒你在光驱中放入Windows XP安装光盘,以便恢复文件。每次都这样固然很麻烦,硬盘上不是保留有安装文件的备份么,为什么系统不能直接从这个备份中进行恢复?其实那是因为在系统的记录中,安装文件的位置还是位于你的光驱上,只要你把这个位置记录修改为保存备份文件的位置就可以了。展开组策略到“计算机配置/管理模板/系统”,然后打开“指定Windows安装文件位置”这条策略,启用它,并在下面的对话框中输入安装文件的保存路径。这样以后如果需要从安装文件中恢复系统文件,系统会首先尝试你在这里输入的路径。
加入其他模板
安全模板的功能是很强大的,不过能通过安全模板功能设置的可不仅如此。如果你安装了其它支持的工具,或者从微软下载了额外的模板,那么还可以把这些模板导入到你的组策略编辑器中。方法是这样的:在组策略编辑器左侧树形图的“管理模板”分支上点击鼠标右键,在弹出菜单中选择“添加/删除模板”,接着会打开添加/删除模板对话框,这里显示的是已经载入得模板,点击添加按钮后你还可以加入其它模板文件,这些文件有可能来自微软,有可能是其他软件附带的。而保存模板的默认位置是“%systemroot%\inf”,这里的%systemroot%是一个环境变量,代表Windows文件夹。如果你的模板文件保存在其他位置,那么可以在点击添加按钮后定位并载入。本例中我们载入的模板是“wuau.adm”,这是在安装了SP1之后的Windows XP中加入的SUS客户端。
模板载入后重新打开管理模板下的Windows组件分支,你可以看到,我们新加入的模板已经显示在这个分支下了,利用这种方法,我们可以通过模板对很多本没有显示在这里的模板进行设置,实现更强大的功能。
软件限制策略的应用
单位的网络管理员肯定都遇到过这种困扰,老板不希望员工在工作的时间聊QQ或者玩游戏,而总有员工会私下里安装被禁止的软件。怎样避免这种情况?虽然有监控软件可以用,不过这样显得有些侵犯隐私。同时还有一种很麻烦的情况,现在越来越多的病毒通过电子邮件传播,很多人都是无意中运行了电子邮件的附件而中毒的,有没有什么好的手段可以避免员工运行来历不明的文件?现在好了,如果你的客户端是Windows XP Professional,那么就可以使用其中的软件限制策略。
简单来说,软件限制策略是一种技术,通过这种技术,管理员可以决定哪些程序(虽然这里用了“程序”这个字眼,不过不单指exe文件,我们可以通过该技术限制任何类型扩展名的文件被执行)是可信赖的,而哪些是不可信赖的,对于不可信赖的程序,则系统会拒绝执行。通常,管理员可以让系统使用以下几种方式鉴别软件是否可信赖:文件的路径、文件的哈希(Hash)值、文件的证书、文件被下载的网站在Internet选项中的区域、文件的发行商、特定扩展名等。
小知识:Hash是根据某种Hash算法计算出来的具有固定长度的一系列字节,可唯一识别程序或文件。简单来说,文件的Hash值可以理解为文件的身份证,每个文件都有不同的Hash值,而如果文件的内容发生了改变,哪怕只改变了一个字节,则文件的Hash值也将发生变化。
软件限制策略不仅可以在单机的Windows XP操作系统中设置,可以设置仅影响当前用户或用户组,或者影响所有本地登录到这台计算机上的所有用户;也可以通过域对所有加入该域的客户端计算机进行设置,同样可以设置影响某个特定的用户或用户组,或者所有用户。我们这里会以单机的形式进行说明,并设置影响所有用户。单机和工作组环境下的设置和这个是类似的。
注意:有时我们可能因为错误的设置而导致某些系统组件无法运行(例如禁止运行所有msc后缀的文件而无法打开组策略编辑器),这种情况下我们只要重新启动系统到安全模式,然后使用Administrator账号登录并删除或修改这一策略即可。因为安全模式下使用Administrator账号登录是不受这些策略影响的。
在本例中,我们假设了这样的应用:员工的计算机仅可运行操作系统自带的所有程序(C盘),以及工作所必须的Word、Excel、PowerPoint和Outlook,其版本号皆为2003,并假设Office程序安装在D盘,员工电脑的操作系统为Windows XP Professional。
运行gpedit.msc打开组策略编辑器,在“计算机配置”和“用户设置”下都各有一个软件限制策略的条目(如图3),到底使用哪个?如果你希望这个策略仅对某个特定用户或用户组生效,则使用“用户配置”下的策略;如果你希望对本地登录到计算机的所有用户生效,则使用“计算机配置”下的策略。这里我们需要对所有用户生效,因此选择使用“计算机配置”下的策略。
在开始配置之前我们还需要考虑一个问题,所允许的软件都有哪些特征,而禁用的软件又有哪些特征,我们要想出一种最佳的策略,能使所有需要的软件正确运行,而所有不必要的软件一个都无法运行。在本例中,我们允许的大部分程序都位于系统盘(C盘)的Program Files以及Windows文件夹下,因此我们在这里可以通过文件所在路径的方法决定哪些程序是被信任的。而对于安装在D盘的Office程序,也可任意通过路径或者文件哈希的方法来决定。
点击打开“计算机配置”下的软件限制策略条目,接着在“操作”菜单下点击“创建新的策略”(目前在安装SP1的XP上,这里默认是没有任何策略的,但是对于安装SP2的系统,这里已经有了建好的默认策略),系统将会创建两个新的条目:“安全级别”和“其它规则”。其中在安全级别条目下有两条规则,“不允许的”和“不受限的”,其中前者的意思是,默认情况下,所有软件都不允许运行,只有特别配置过的少数软件才可以运行;而后者的意思是,默认情况下,所有软件都可以运行,只有特别配置过的少数软件才被禁止运行。因为我们本例中需要运行的软件都已经定下来了,因此我们需要使用“不允许的”作为默认规则。双击这条规则,然后点击“设为默认”按钮,并在同意警告信息后继续。
接着打开“其他规则”条目,可以看到,默认情况下这里已经有四个规则,都是根据注册表路径设置的,而且默认都设置为“不受限的”。强烈提醒你,千万不要修改这四个规则,否则你的系统运行将会遇到很大麻烦,因为这四个路径都涉及到了重要系统程序及文件所在的位置。同时,我们前面说过的,位于系统盘下Program Files文件夹以及Windows文件夹下的文件是允许运行的,而这四条默认的规则已经包含了这个路径,因此我们后面要做的只是为Office程序添加一个规则。在右侧面板的空白处点击鼠标右键,选择“新建哈希规则”,然后可以看到(如图4)的界面。在这里点击“浏览”按钮,然后定位所有允许使用的Office程序的可执行文件winword.exe、excel.exe、powerpnt.exe、outlook.exe,并双击加入。接着在“安全级别”下拉菜单下选择“不受限的”,然后点击确定退出。重复以上步骤,把这四个软件的可执行文件都添加进来,并设置为不受限的。
到这里大家可以考虑一个问题,为什么我们选择为每个程序的可执行文件建立哈希规则?统一为Office应用程序建立一个路径规则不是更简单?其实这样才可以避免可执行文件被替换,或者用户把一些不需要安装的绿色软件复制到这个目录下运行。因为如果建立的是目录规则,那么所有保存在允许目录下的文件都将可以被执行,包括允许程序本身的文件,也包括用户复制进来的任何其他文件。而哈希规则就不同了,一个特定文件的哈希值是固定的,只要文件内容不发生变化,那么它的哈希值就永远不会变。这样也就避免了造假的可能。不过同时也存在一个问题,虽然文件的哈希值可以不变化,但是文件本身可能会需要某些改变。例如你安装了一个Word的补丁程序,那么winword.exe文件的哈希值可能就会变化。因此如果你选择创建这种规则,每当软件更新后你也需要看情况同步更新一下相应的规则。否则正常程序的运行也会被影响。
除此之外,这里还有几条策略可以被我们利用:强制,可以限定软件限制策略应用到哪些文件以及是否应用到Administrator账户;指派的文件类型,用于指定具有哪些扩展名的文件可以被系统认为是可执行文件,我们可以添加或删除某种类型扩展名的文件;收信任的出版商,则可以用来决定哪些用户可以选择收信任的出版商,以及信任之前还需要采取的其他操作。这三个策略可以根据自己的实际情况作出选择。
当软件显示策略设置好之后,一旦被限制的用户试图运行被禁止的程序,那么系统将会立刻发出警告并拒绝执行。
