實戰 | 面向PC機的安全管理實施經驗
對于金融行業辦公PC來講,私自安裝應用軟件和留存辦公資料是終端管理的一個難點,也是一個痛點,本文將詳細介紹一個直接有效的管理策略。
禁止用戶私自安裝應用軟件
私自安裝應用軟件,可能會導致安裝一些非正版化的軟件或是與工作無關的各種軟件。其中軟件正版化作為一種常態化的工作,也是知識產權保護工作里面的一項重點工作,對于振興軟件產業、提高知識產權管理水平、政府依法執法、履行國際承諾、推動新時代發展有著重要的意義。
1.Windows系統的組策略介紹
由于通過注冊表進行設置顯得特別繁雜,Windows通過將系統重要的配置功能設計為模塊,即組策略。Windows系統的組策略是管理員為用戶和計算機定義并控制程序、網絡資源及操作系統行為的主要工具。通過使用組策略可以設置各種軟件、計算機和用戶策略。
打開本地組策略編輯器后,會顯示可以設置計算機策略的功能選項。其中Windows設置選項是設置本地系統的管理策略,管理模板選項是組策略管理模板項目提供的策略信息。
(1)常用Windows設置中的安全設置。一是密碼策略:密碼策略影響密碼的特征和行為。密碼策略用于域賬戶或本地用戶賬戶,它們確定密碼設置,如強制和生存期。二是賬戶鎖定策略:賬戶鎖定策略選項在失敗的登錄嘗試次數后禁用賬戶。使用這些選項可幫助檢測和阻止破解密碼的嘗試。三是審核策略:審核策略可控制和了解對象(如文件和文件夾)的訪問權限,以及管理用戶和組賬戶以及用戶登錄和注銷。審核策略可以指定要審核的事件類別,設置安全日志的大小和行為,并確定要監視其訪問權限的對象以及要監視的訪問類型。四是用戶權限分配:用戶權限通常基于用戶所屬的安全組(如管理員、用戶或超級用戶)進行分配。此類別中的策略設置通常用于根據訪問和安全組成員身份的方法,授予或拒絕訪問計算機的權限。五是安全選項:與身份驗證相關的策略包括,設備、域控制器、域成員、交互式登錄、Microsoft網絡服務器、網絡訪問、網絡安全、恢復控制臺、Shutdown。六是Windows登錄選項:這些策略設置控制登錄機會的使用時間和方式。
(2)Windows組件中Windows Installer選項介紹。一是Windows Installer是Windows操作系統的組件,它可以簡化應用程序的安裝過程。通過應用安裝過程期間集中定義的一組安裝規則,Windows Installer可以管理應用程序的安裝和刪除,還可以使用此項服務修改、修復或刪除現有的應用程序。Windows Installer技術由用于Windows操作系統的Windows Installer服務以及包含有關應用程序設置和安裝信息的程序包(.msi)文件格式組成。
二是Windows Installer也是可擴展的軟件管理系統。Windows Installer管理軟件組件的安裝、添加和刪除、監視文件復原,及通過回滾方式維護基本的故障恢復。Windows Installer支持多種來源安裝和運行軟件,且開發人員可自定義Windows Installer以安裝自定義應用程序。
三是Windows Installer是IntelliMirror的主干,也是基于組策略的更改和配置管理技術的核心組件。通過使用Intelli Mirror技術、組策略以及更改和配置管理,管理員可批準特定應用程序,指定在這些應用程序上的所有配置操作(安裝、刪除、修復)都在本地系統賬戶下運行;管理員控制并管理文件系統和注冊表。而Windows Installer執行用戶啟動的軟件安裝,只有管理員批準的應用程序才能以更高特權運行。
四是管理員使用Active Directory、Intelli Mirror和組策略向企業內部的用戶組或計算機組指派和發布應用程序。Active Directory是一種安全的、分布式的、分區的、復制的目錄服務,用來提供管理服務。這些服務包括企業內部資源定位以及將組策略用于Active Directory所管理對象的標準制定。
五是Windows Installer有如下功能。安裝失敗后恢復原始計算機狀態:Windows Installer跟蹤在應用程序安裝過程中對系統所做的所有更改。如果安裝失敗,Windows Installer能重新恢復系統,或者使系統返回到初始狀態。
幫助阻止應用程序間沖突:Windows Installer加強了安裝規則,這有助于阻止現有應用程序在共享資源時產生沖突。當安裝操作更新現有應用程序共享的動態鏈接庫(.dll)時,或某個操作刪除其他應用程序共享的動態鏈接庫時,會導致這樣的沖突。
安全地刪除現有程序:Windows Installer可以安全地卸載以前安裝的任何程序。除被其他已安裝軟件共享使用的內容之外,它將刪除所有關聯的注冊表項和應用程序文件。并且,成功地安裝應用程序之后,可在任何時候卸載。
診斷和修復損壞的應用程序:應用程序可以查詢Windows Installer,以確定安裝的應用程序是否具有丟失或損壞的文件。如果檢測到任何丟失或損壞的文件,Windows Installer通過重新復制丟失或損壞的文件修復該應用程序。
支持按照需要安裝應用程序的功能:Installer可配置為最初只安裝應用程序的最小子集。之后,當用戶第一次訪問需要其他組件的功能時,將自動安裝其他組件,這稱作“公布”。例如,Windows Installer可以安裝功能最少的Microsoft Word。當用戶第一次訪問郵件合并功能時(在原始安裝中未包括此功能),Windows Installer將自動安裝郵件合并組件;同樣,Windows Installer還可以清除應用程序中不使用的組件。
支持無人參與的應用程序安裝:安裝程序包可配置成安裝過程中無需與用戶進行交互的。在安裝過程中,Windows Installer可以向計算機查詢桌面屬性,包括確定應用程序是否以前都被Windows Installer安裝過。
2.安裝辦公需要的應用軟件
一是在管理員用戶下,通過右鍵—計算機—管理—本地用戶和組—用戶,創建一個新用戶,例如User。
二是在管理員用戶下,安裝所需的程序,安裝目錄需選擇為:C:\Users\User\AppData\Local。對于無法選擇安裝路徑的程序,則按默認選項進行安裝,安裝完成后,找到程序安裝的文件夾,將其拷貝到User用戶的AppData—Roaming文件夾中,將應用程序啟動文件拷貝到User用戶的開始菜單文件夾中,個別程序還需將程序安裝的文件夾拷貝到User用戶的AppData—Local文件夾中。
3.設置Windows組策略
一是在管理員用戶下,運行gpedit.msc,在計算機配置—管理模板—Windows組件-Windows Installer中:禁用Windows Installer—已啟用—僅用于非托管應用程序;禁止用戶安裝—已啟用。
二是在管理員用戶下,設置-在電腦重啟后,Windows登錄頁面不顯示用戶名,需用戶手工輸入。運行gpedit.msc,windows設置—安全設置—本地策略—安全選項—交互式登錄:不顯示最后的用戶名,選擇已啟用。
三是設置某些需要管理員權限才能運行程序。在安全選項—用戶賬戶控制:以管理員批準模式運行所有管理員,選擇已禁用。
禁止用戶留存文件
使用PC機就難免會把拷貝或下載資料留存在磁盤上,而在這些資料使用結束后刪除這些文件,則是很少人有的習慣性操作,PC機上時常會遺留各種資料,不僅會存在信息泄漏的風險,還存在引入病毒侵入的風險。
1.設置磁盤權限
為便于管理,將PC機磁盤只劃分為C盤和D盤。設置新建的User用戶完全禁止訪問C盤。即在C盤上右鍵屬性—安全—編輯,添加—User并檢查名稱,將User添加后,設置拒絕User全部權限,User用戶將不能訪問C盤(如圖)。
圖 設置User用戶權限
2.設置自動運行腳本
將自動運行腳本文件放置C盤的User啟動文件夾中,并將該腳本設置為User用戶不允許寫入權限(允許其他權限),該腳本用于清理桌面、D盤的所有文件,且D盤文件只保留一天。
實施后的成果
針對這些管理問題,本文通過設置Windows組策略、編制自動運行腳本等技術手段達到如下的效果:
普通用戶無法安裝程序,只能由系統管理員進行安裝,可以解決應用軟件私自安裝的問題及隨意安裝程序導致惡意病毒的傳入。
每當User用戶登錄后,腳本文件將自動清除桌面及D盤存放超過一天的所有文件和目錄。除D盤,其他磁盤及目錄均是禁止訪問的,確保主機無辦公資料存留。
