论文部分内容阅读
组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以设置各种软件、计算机和用户策略,甚至可以配置Internet Explorer。将Windows 2000、 windows XP组策略应用到机房管理中,不仅可以有效地对学生机进行安全管理,还可在机房软件安装、维护、卸载、升级中大大提高教师的工作效率。下面笔者以Windows XP Professional 本地组策略的设置为例介绍:
一、组策略编辑器的启动
“组策略”程序位于“c:\winnt\system32”文件夹中,名为“gpedit.msc”。只需单击“开始”→“运行”→“gpedit.msc” ,确定,即可启动Windows XP组策略编辑器。
二、禁止更改显示属性
在Windows桌面的空白处单击右键,选择“属性”,进入“显示设置”对话框,可以对桌面主题、桌面背景、屏幕保序、显示设置等各项进行设置。如果教师不想让学生随意更改各项设置,就可以通过组策略将其隐藏起来。方法是:在组策略控制台中依次展开“用户设置”→“管理模板”→“控制面板”→“显示”分支,启用隐藏桌面选项卡,隐藏主题选项卡,隐藏保护程序选项卡、隐藏设置选项卡等各项,还可以对桌面主题、屏保程序等个性化设置。
三、禁止更改“开始“菜单和任务栏
教师还可以通过组策略禁止学生在进入电脑后随意更改开始菜单和任务栏各项设置。设置时依次是“用户设置”→“管理模板”→“任务栏和开始”菜单分支,在右侧窗格中双击“阻止更改”任务栏和开始菜单“设置”策略,在弹出的“设置”对话框中点选“已启用”选项框即可。以后我们在右键单击开始菜单或任务栏时,系统会出现一个错误消息提示是某个设置禁止了这个操作。
四、禁用注册表管理器
为了防止他人进入电脑后对注册表文件进行修改,可以在组策略中对注册表编辑器禁止访问设置。设置时依次展开,“用户设置”→“管理模板”→“系统”分支,然后在右侧窗口中双击“阻止访问注册表编辑工具”策略,随后在弹出的对话框中选择“启用”即可。
五、限制使用应用程序
如果你的电脑设置了多个用户,想要限制用户可以运行的应用程序,也可在组策略中设置。设置时依次展开“用户配置”→“管理模板”→“系统”,然后在右侧窗口中双击“只运行许可的Windows应用程序”策略,随后在弹出的对话框中选择“启用”选项,激活下面的“应用程序列表”,在此单击“显示”按钮,弹出一个“显示内容”对话框,在此单击“添加”按钮允许运行的应用程序即可。
以后一般用户只能运行“允许的应用程序列表”中的程序(在添加应用程序列表时,千万不要忘记把“gpedit.msc”添加进去,要不然,等你关闭了组策略编辑器后,你就很难再跟它见面了。
六、禁用“添加/删除”程序
将计算机中的“添加/删除程序”选项隐藏,防止其他用户随意安装,卸载应用程序。设置时在组策略中依次展开“用户配置”→“管理模板”→“控制面板”→“添加/删除程序”,双击右侧的“添加/删除程序”策略,在弹出的“添加/删除程序”对话框中点选“启用”选项,随后单击“确定”。此外,在“添加/删除程序”分支中还可以对Windows “添加/删除程序”项中的“添加新程序”、“从CD-ROM或软盘添加程序”、从“Microsoft添加程序”、“从网络添加程序”等项进行隐藏,起到保护计算机中系统文件及应用程序的作用。
七、避免机房中IP冲突
在局域网中常常会出现工作站IP地址被随意修改,造成IP地址发生冲突现象,从而影响局域网的运行效率。尽管目前有许多方法可以避免IP地址发生冲突,但仔细推敲一下,不难发现其中的一些方法操作起来有点难度,其实借助组策略功能,教师可以很轻松地限制局域网工作站的网络配制参数被随意修改,从而有效避免网络中的IP地址发生冲突。
依次展开组策略编辑器中的“用户配置”→“管理模板”→“网络”→“网络和拔号连接”策略项目,在对应“网络和拔号连接”策略的右侧窗口区域中,双击一下“允许TCP/IP高级设置”项目,在弹出的设置对话框中,将“禁用”选项选中,并单击一下“确定”按钮,这样的话,任何一台学生机日后打开TCP/IP属性设置窗口时,无法进入“高级”设置窗口来修改工作站的IP地址,或其他网络参数,如此一来局域网中的IP地址就不太容易发生冲突了。
八、强化审核,远离攻击
在缺省条件下,Windows服务器没有启用任何一种安全审核手段,来保护服务器的安全,显然这会给服务器甚至整个机房带来安全隐患。为了避免服务器遭受攻击,我们只要对服务器中的组策略“动动手脚”,就能启用好安全审核策略,保护服务器的安全。
将鼠标定位于其中的“计算机配置”→“Windows设置”→“安全设置”→“本地策略”→“审核策略”—组策略分支上,在“审核策略”分支下面,将看到有多种审核事件需要指定。
双击其中的“审核策略更改”项目,在弹出的设置窗口中,如果选中“成功”选项的话,那么服务器日后将会对所有事件的成功操作进行审核,要是选中“失败”选项的话,那么服务器日后将会对所有事件的失败操作进行审核,为了能够及早知道服务器存在的安全隐患,我们通常需要对“系统事件”、“登录事件”、“账户登录事件”、“帐户管理事件”的成功操作与失败分别进行审核,如此一来即使一些已经实施攻击但没有攻击成功的操作记录,也会一一被服务器自动记录下来,以后我们在仔细分析记录,就能查找出安全隐患,并及时采取补救措施确保服务器的安全了,对于“对象访问”事件、“目录服务访问”事件、“特权使用”事件等,一般只要审核它们的失败操作,就可以达到捕捉攻击记录的目的了。
一旦通过组策略分别对相关事件启用审核功能后,服务器日后将会把相关事件的审核记录全部保存到系统的“事件查看器”中,以后你只要及时打开日志内容,并对其中记录进行认真分析,就能查清服务器此时有没有受到攻击了。
一、组策略编辑器的启动
“组策略”程序位于“c:\winnt\system32”文件夹中,名为“gpedit.msc”。只需单击“开始”→“运行”→“gpedit.msc” ,确定,即可启动Windows XP组策略编辑器。
二、禁止更改显示属性
在Windows桌面的空白处单击右键,选择“属性”,进入“显示设置”对话框,可以对桌面主题、桌面背景、屏幕保序、显示设置等各项进行设置。如果教师不想让学生随意更改各项设置,就可以通过组策略将其隐藏起来。方法是:在组策略控制台中依次展开“用户设置”→“管理模板”→“控制面板”→“显示”分支,启用隐藏桌面选项卡,隐藏主题选项卡,隐藏保护程序选项卡、隐藏设置选项卡等各项,还可以对桌面主题、屏保程序等个性化设置。
三、禁止更改“开始“菜单和任务栏
教师还可以通过组策略禁止学生在进入电脑后随意更改开始菜单和任务栏各项设置。设置时依次是“用户设置”→“管理模板”→“任务栏和开始”菜单分支,在右侧窗格中双击“阻止更改”任务栏和开始菜单“设置”策略,在弹出的“设置”对话框中点选“已启用”选项框即可。以后我们在右键单击开始菜单或任务栏时,系统会出现一个错误消息提示是某个设置禁止了这个操作。
四、禁用注册表管理器
为了防止他人进入电脑后对注册表文件进行修改,可以在组策略中对注册表编辑器禁止访问设置。设置时依次展开,“用户设置”→“管理模板”→“系统”分支,然后在右侧窗口中双击“阻止访问注册表编辑工具”策略,随后在弹出的对话框中选择“启用”即可。
五、限制使用应用程序
如果你的电脑设置了多个用户,想要限制用户可以运行的应用程序,也可在组策略中设置。设置时依次展开“用户配置”→“管理模板”→“系统”,然后在右侧窗口中双击“只运行许可的Windows应用程序”策略,随后在弹出的对话框中选择“启用”选项,激活下面的“应用程序列表”,在此单击“显示”按钮,弹出一个“显示内容”对话框,在此单击“添加”按钮允许运行的应用程序即可。
以后一般用户只能运行“允许的应用程序列表”中的程序(在添加应用程序列表时,千万不要忘记把“gpedit.msc”添加进去,要不然,等你关闭了组策略编辑器后,你就很难再跟它见面了。
六、禁用“添加/删除”程序
将计算机中的“添加/删除程序”选项隐藏,防止其他用户随意安装,卸载应用程序。设置时在组策略中依次展开“用户配置”→“管理模板”→“控制面板”→“添加/删除程序”,双击右侧的“添加/删除程序”策略,在弹出的“添加/删除程序”对话框中点选“启用”选项,随后单击“确定”。此外,在“添加/删除程序”分支中还可以对Windows “添加/删除程序”项中的“添加新程序”、“从CD-ROM或软盘添加程序”、从“Microsoft添加程序”、“从网络添加程序”等项进行隐藏,起到保护计算机中系统文件及应用程序的作用。
七、避免机房中IP冲突
在局域网中常常会出现工作站IP地址被随意修改,造成IP地址发生冲突现象,从而影响局域网的运行效率。尽管目前有许多方法可以避免IP地址发生冲突,但仔细推敲一下,不难发现其中的一些方法操作起来有点难度,其实借助组策略功能,教师可以很轻松地限制局域网工作站的网络配制参数被随意修改,从而有效避免网络中的IP地址发生冲突。
依次展开组策略编辑器中的“用户配置”→“管理模板”→“网络”→“网络和拔号连接”策略项目,在对应“网络和拔号连接”策略的右侧窗口区域中,双击一下“允许TCP/IP高级设置”项目,在弹出的设置对话框中,将“禁用”选项选中,并单击一下“确定”按钮,这样的话,任何一台学生机日后打开TCP/IP属性设置窗口时,无法进入“高级”设置窗口来修改工作站的IP地址,或其他网络参数,如此一来局域网中的IP地址就不太容易发生冲突了。
八、强化审核,远离攻击
在缺省条件下,Windows服务器没有启用任何一种安全审核手段,来保护服务器的安全,显然这会给服务器甚至整个机房带来安全隐患。为了避免服务器遭受攻击,我们只要对服务器中的组策略“动动手脚”,就能启用好安全审核策略,保护服务器的安全。
将鼠标定位于其中的“计算机配置”→“Windows设置”→“安全设置”→“本地策略”→“审核策略”—组策略分支上,在“审核策略”分支下面,将看到有多种审核事件需要指定。
双击其中的“审核策略更改”项目,在弹出的设置窗口中,如果选中“成功”选项的话,那么服务器日后将会对所有事件的成功操作进行审核,要是选中“失败”选项的话,那么服务器日后将会对所有事件的失败操作进行审核,为了能够及早知道服务器存在的安全隐患,我们通常需要对“系统事件”、“登录事件”、“账户登录事件”、“帐户管理事件”的成功操作与失败分别进行审核,如此一来即使一些已经实施攻击但没有攻击成功的操作记录,也会一一被服务器自动记录下来,以后我们在仔细分析记录,就能查找出安全隐患,并及时采取补救措施确保服务器的安全了,对于“对象访问”事件、“目录服务访问”事件、“特权使用”事件等,一般只要审核它们的失败操作,就可以达到捕捉攻击记录的目的了。
一旦通过组策略分别对相关事件启用审核功能后,服务器日后将会把相关事件的审核记录全部保存到系统的“事件查看器”中,以后你只要及时打开日志内容,并对其中记录进行认真分析,就能查清服务器此时有没有受到攻击了。