您现在的位置是:首页 > IT基础架构 > 网络与安全 >

组策略应用难点之管理模板策略

2008-09-05 21:49:00作者:彭亮来源:

摘要管理模板策略,可以简化我们的组策略配置,而且,也给我们网络管理员提供了一个统一管理的平台。如我们可以把一些常用的组策略通过模板来实现,如此的话,就不需要给每个组进行重复的组策略配置。...

  在域环境中,如果能够合理利用管理模板,则能够给我们的管理工作带来很大的便利。当客户端的计算机处在“管理模板策略”时,系统会将管理模板中的策略配置值存储到用户计算机的登陆环境内。但是,它并不会将客户端计算机默认的登陆值覆盖掉。客户端主机将同时应用管理模板策略与本地计算机默认的登陆值。如果当两者的配置发生冲突的时候,当然以管理模板的策略值为准。由于在应用管理模板策略时,客户端主机原有的默认值没有被修改,所以,当管理模板策略失效时,客户端仍然可以采用其默认值登陆。

  管理模板策略,可以简化我们的组策略配置,而且,也给我们网络管理员提供了一个统一管理的平台。如我们可以把一些常用的组策略通过模板来实现,如此的话,就不需要给每个组进行重复的组策略配置。

  具体的来说,我们常用管理模板策略,来实现如下的一些配置。

  一、 限制用户只可以运行指定的程序

  在企业网络管理中,很大一部分工作就是员工网络行为的管理。如在以前没有有效管理手段之前,我们网络管理员还不得不不定期的去各个办公室视察,看看员工是否在上班时间利用QQ聊天;是否在利用公司的电脑打游戏,等等。这么做,不仅效率不高,而且还得罪人,是一个吃力不讨好的差事。

  不过后来这方面的控制手段就多了起来,各个厂家都在员工网络行为管理上下功夫。微软在这方面当然也不敢落后。他们在组策略中,提供了一个很好的工具,即可以指定某台计算机只能够运行哪些程序。如我们就可以利用这个功能,指定公司电脑只能够运行OFFCIE、邮件客户端、金山词霸以及其他的一些必要的应用程序。而把QQ、游戏等软件排除在外,如此的话,员工就无法在客户端运行这些程序。从权限上排除这些软件,如此,我们网络管理员也不用老是去充当 “间谍”,因为我们可以实现事先控制。

  具体的配置方法为

  我们在活动目录用户与计算机内,依次打开用户配置、管理模板、系统,找到“只运行许可的应用程序”选项,然后,在程序列表中,输入我们允许其运行的程序文件名称。不过这里我们需要明白一点,有时候精通这方面的人员,若修改应用程序的名称,则这个策略就不会起作用。如他们把QQ这个应用程序名修改为其他我们允许运行的程序名,则这个QQ应用程序就允许被运行。不过,在企业中,有这方面才能的人还是极少数的,所以在企业中还是有比较大应用价值。如果大家不放心的话,则还可以通过软件限制策略来实现这个需求。

  二、 限制浏览器的更改,保护浏览器安全

  在微软的操作系统中,浏览器可以说是一个比较脆弱的环节,很多操作系统的问题,都是因为浏览器遭受到攻击所造成的。所以,有效保护浏览器,防止修改某些参数,对于保护浏览器安全,甚至企业网络安全来说,都有非常重要的作用。

  我们希望在组策略管理中,能够实现对某些修改参数的限制。如我们不希望用户随意修改浏览器中的安全选项;或者禁止用户修改internet选项中的高级页签中的相关功能。其实,有时候,也不是用户故意更改,而是在一些不良网站的利诱下,甚至他们私下进行更改。如有些不良网站会提示用户降低浏览器的安全性或者启用某些不安全的浏览器功能,以正常访问他们的网站。如此,一些没有安全观念的用户,就会造着去做。这就会给对方有机可乘。而更有甚者,有些网站或者木马、病毒,会利用浏览器的漏洞直接修改浏览器的相关设置,以方便他们的攻击。不过,无论是哪种方式的修改,都需要当前登陆帐户具有这种权限,或者的话,他们是无法达到修改的目的。

  所以,我们通过组策略的相关控制,让用户没有这方面的权限,同时,又能够让他们满足正常办公的需要,这就是我们的目的。这个需求我们可以通过管理模板策略,轻松的完成。因为在组策略中,有一个选项可以限制用户使用浏览器的某些功能。如我们依次打开用户配置、管理模板、Windows组件、浏览器,找到Internet控制面板选项。打开这个选项,我们就可以设置用户具有哪些操作浏览器的权限;不能做哪些动作,等等。不过,这里仅限微软的浏览器,而其他的浏览器,如FIREFOX等等,就不再组策略的管理范围之内了。

  一般来说,在对浏览器的管理上,我们需要重点关注以下几个方面。

  一是插件的安装。有时候在访问网页的时候,可能需要安装一些插件,如FALSH插件或者一些安全认证插件。有时候这些插件是必须的,但是,有时候病毒或者木马也会利用这些插件作为掩护,在插件中植入一些不安全的代码,从而破坏浏览器。如实现一些垃圾广告、自动打开网页,甚至窃取用户密码等等。所以,一般情况下,不要让用户具有安装这些插件的权限。

  二是代码的运行。在浏览器中,也可以运行一些诸如JAVA之类的代码。这可以大大的强加浏览器的功能,但是,随之带来的是很大的安全隐患。根据笔者多年的工作经验,在企业网络中,完全没有必要让员工的主机具有这方面的功能,它们用得到的几率很小,这反而增加了网络的不稳定性因素。所以,一般来说,用户浏览器不需要有代码的执行权限。

 

  三、 隐藏控制面板中无用的图标

  人总是有好奇心的。笔者在平时网络管理中,最头痛的不是那些对电脑一窍不通的员工。他们对电脑什么都不懂,那么也就会很乖,我让他们干什么,他们就干什么,从来不会去乱搞。但是,若在电脑网路方面是个半桶水的人,那么就麻烦了,他们一方面会想着法子玩个性,如会擅自修改电脑的名字;擅自删除他认为不需要的程序,以为这可以提高系统速度。另一方面,他们不仅自己这么做,还会带动旁边一片人,甚至还充当起他们的老师来。这种人反而是我们最头疼的。

  为此,笔者的做法就是,一不做,二不休,把控制面板中一些图标都隐藏掉,如此的话,他们就无从修改了。其实,要实现这个需求,可以直接通过管理模板策略来实现。我们依次打开用户设置、管理模板、控制面板,然后找到“隐藏指定的控制面板程序”即可。当这里指定把某些图标隐藏起来后,用户就无法通过控制面板来访问他们。

  以XP操作系统为例,我们可以把这些图标给隐藏掉

  一是网络连接。若用户有相关的权限,则就可以通过网络连接在更改IP地址,或者把IP地址的取得方式从自动取得改为固定IP地址,等等。这些行为很可能导致企业网络内IP地址的冲突,从而造成企业网络的不稳定。特别是一些企业通过IP地址来限制对网络的访问。如某些IP地址无法访问外部网络或者无法使用QQ等等。此时,就可能会引发用户擅自修改IP地址,目的就是为了获取相关的网络访问权限。一般来说,可以把这个网络连接程序隐藏掉,没有必要放在那边让用户修改。

  二是用户帐户程序。一般来说,我们不需要员工具有建立本机帐户的权限。对于客户端的登陆帐户,一般都是有网络管理员进行统一管理与配置。所以,其他用户的话,也就没有需要具有这个权力。但是,在实际工作中,我们可能是按员工编号作为员工的登陆名,但是,有些员工却不乐意了,他们凭着自己对电脑的了解,在系统中新建了一个以自己名字命名的登陆名。这就破坏了我们网络管理员的帐户统一管理的策略,我们是不允许的。所以,我们可以通过管理模板策略,把这个隐藏掉,从源头限制他们进行修改。

  三时字体应用程序。在一些比较特殊的应用环境中,可能需要用户安装一些特殊的字体,软件才能够正常使用。遇到这种情况的话,我们是不允许用户擅自增加字体。一方面,从网络上下载的字体可能带有病毒,安全性不高。二是字体安装的难度虽然不高,但是,一不小心的话,可能破坏原有的字体,反而造成其他软件运行的不稳定。所以,需要把这个应用程序隐藏起来。在有需要的时候,让网络管理员来进行相关的操作,这相对来说,比较安全。

  总之笔者认为,管理模板策略可以帮助网络管理员方便的实现一些共性的内容,是一个很不多的管理平台。


(本文不涉密)
责任编辑:

站点信息

  • 运营主体:中国信息化周报
  • 商务合作:赵瑞华 010-88559646
  • 微信公众号:扫描二维码,关注我们