九乡新闻网青春不败第二季第一集:组策略
来源:百度文库 编辑:九乡新闻网 时间:2024/05/06 17:04:51
Windows操作系统中组策略的应用无处不在,如何让系统更安全,也是一个常论不休的话题,下面就让我们一起来看看通过组策略如何给Windows系统练就一身金钟罩。
一、给我们的IP添加安全策略
在“计算机配置”→“Windows设置”→“安全设置”→“IP 安全策略,在本地计算机”下与有与网络有关的几个设置项目(如图1)。如果大家对Internet较为熟悉,那也可以通过它来添加或修改更多的网络安全设置,这样在Windows上运行网络程序或者畅游Internet时将会更加安全。
图 1 小提示
由于此项较为专业,其间会涉及到很多的专业概念,一般用户用不到,在这里只是给网络管理员们提个醒,因此在此略过。
二、隐藏驱动器
平时我们隐藏文件夹后,别人只需在文件夹选项里显示所有文件,就可以看见了,我们可以在组策略里删除这个选项:选择“用户配置→管理模板→Windows组件→Windows资源管理器”(如图2)。
图 2
三、禁用指定的文件类型
在“组策略”中,我们可以禁用SHS、MSI、BAT、CMD、COM、EXE等程序文件类型,而且不影响系统的正常运行。这里假设我们要禁用注册表的REG文件,不让系统运行REG文件,具体操作方法如下:
1. 打开组策略,点击“计算机配置→Windows设置→安全设置→软件限制策略”,在弹出的右键菜单上选择“创建软件限制策略”,即生成“安全级别”、“其他规则”及“强制”、“指派的文件类型”、“受信任的出版商”项(图3)。
图 3 2. 双击“指派的文件类型”打开“指派的文件类型属性”窗口,只留下REG文件类型,将其他的文件全部删除,如果还有其他的文件类型要禁用,可以再次打开这个窗口,在“文件扩展名”空白栏里输入要禁用的文件类型,将它添加上去。
3. 双击“安全级别→不允许的”项,点击“设为默认”按钮。然后注销系统或者重新启动系统,此策略即生效,运行REG文件时,会提示“由于一个软件限制策略的阻止,Windows无法打开此程序”。
4.要取消此软件限制策略的话,双击“安全级别→不受限的”,打开“不受限的 属性”窗口,按“设为默认值”即可。
如果你鼠标右键点击“计算机配置→Windows设置→安全设置→软件限制策略→其他规则”,你会看到它可以建立哈希规则、Internet 区域规则、路径规则等策略,利用这些规则我们可以让系统更加安全,比如利用“路径规则”可以为电子邮件程序用来运行附件的文件夹创建路径规则,并将安全级别设置为“不允许的”,以防止电子邮件病毒。
提示:为了避免“软件限制策略”将系统管理员也限制,我们可以双击“强制”,选择“除本地管理员以外的所有用户”。如果用你的是文件类型限制策略,此选项可以确保管理员有权运行被限制的文件类型,而其他用户无权运行。
四、未经许可,不得在本机登录
使用电脑时,我们有时要离开座位一段时间。如果有很多正在打开的文档还没有处理完成或者正在下载东西、挂POPO等等,为了避免有人动用电脑,我们一般会把电脑锁定。但是在局域网中,为了方便网络登录,我们有时候会建立一些来宾账户,如果对方利用这些账户来注销当前账户登录到别的账户,那就麻烦了。既然我们不能删除或禁用这些账户,那么我们可以通过“组策略”来禁止一些账户在本机上登录,让对方只能通过网络登录。
在“组策略”窗口中依次打开“计算机配置→Windows设置→安全设置→本地策略→用户权限分配”,然后双击右侧窗格的“拒绝本地登录”项,在弹出的窗口中添加要禁止的用户或组即可实现(图4)。
图 4 如果我们想反其道而行之,禁止用户从网络登录,只能从本地登录,可以双击“拒绝从网络访问这台计算机”项将用户加上去。
五、给“休眠”和“待机”加个密码
只有“屏幕保护”有密码是远远不够安全的,我们还要给“休眠”和“待机”加上密码,这样才会更安全。让我们来给“休眠”和“待机”加上密码吧。在“组策略”窗口中展开“用户配置→管理模板→系统→电源管理”,在右边的窗格中双击“从休眠/挂起恢复时提示输入密码”,将其设置为“已启用”(图5),那么当我们从“待机”或“休眠”状态返回时将会要求你输入用户密码。
图 5 六、自动给操作做个记录
在“计算机配置→Windows设置→安全设置→本地策略→审核策略”上,我们可以看到它可以审核策略更改、登录事件、对象访问、过程追踪、目录服务访问、特权使用等(图6)。这些审核可以记录下你某年某月某日某时某分某秒做过了什么操作:几时登录、关闭系统或更改过哪些策略等等。
图 6 我们应该养成经常在“控制面板→管理工具→事件查看器”里查看事件的好习惯。比如,当你修改过“组策略”后,系统就发生了问题,此时“事件查看器”就会及时告诉你改了哪些策略。在“登录事件”里,你可以查看到详细的登录事件,知道有人曾尝试使用禁用的账户登录、谁的账户密码已过期……而要启用哪些审核,只要双击相应的项目,选中“成功”和“失败”两个选项即可。
注意:Windows XP Home Edition没有“组策略”,只有Windows XP Professional版本才有“组策略”,这一点注意。
七、限制IE浏览器的保存功能
当多人共用一台计算机时,为了保持硬盘的整洁,需要对浏览器的保存功能进行限制使用,那么如何才能实现呢?具体方法为:选择“用户设置”→“管理模板”→“Windows组件”→“Internet Explorer”→“浏览器菜单”分支。双击右侧窗格中的“‘文件’菜单:禁用‘另存为…’菜单项”,在打开的设置窗口中选中“已启用”单选按钮(如图7)。
图 7 提示
我们还可以对“‘文件’菜单:禁用另存为网页菜单项”、“‘查看’菜单:禁用‘源文件’菜单项”和“禁用上下文菜单”等策略项目进行修改,这样我们的IE将会安全一些。 八、禁止修改IE浏览器的主页
如果您不希望他人或网络上的一些恶意代码对自己设定的IE浏览器主页进行随意更改的话,我们可以选择“用户配置”→“管理模板”→“Windows 组件”→“Internet Explorer”分支,然后在右侧窗格中,双击“禁用更改主页设置”策略启用即可(如图8)。
图 8
小提示
(1)在图8,还提供了更改历史记录设置、更改颜色设置和更改Internet临时文件设置等项目的禁用功能。如果启用了这个策略,在IE浏览器的“Internet 选项”对话框中,其“常规”选项卡的“主页”区域的设置将变灰。
(2)如果设置了位于“用户配置”→“管理模板”→“Windows 组件”→“Internet Explorer”→“Internet 控制面板”中的“禁用常规页”策略,则无需设置该策略,因为“禁用常规页”策略将删除界面上的“常规”选项卡。
(3)逐级展开“用户设置”→“管理模板”→“Windows组件”→“Internet Explorer”分支,我们可以在其下发现“Internet控制面板”、“脱机页”、“浏览器菜单”、“工具栏”、“持续行为”和“管理员认可的控件”等策略选项。利用它可以充分打造一个极有个性和安全的IE。
九、把Administrator藏起来
Windows系统默认的系统管理员账户名是Administrator。因此,为了避免有人恶意破解系统管理员Administrator账户的密码,我们可以将Administrator改为其他名字以加强安全。点击“开始→运行”,输入gpedit.msc,打开“组策略”,如图9所示,选择“计算机配置→Windows设置→安全设置→本地策略→安全选项”,在右边窗格里双击“账户:重命名系统管理员账户”项,在上面输入你想要的用户名。重新启动计算机后,输入的新用户名即刻生效。如果再新建一个Guest用户,用户名为Administrator,然后再加上十分复杂的密码就更安全。
图 9 提示:为了避免让人在Windows的登录框中看到曾经登录过的用户名,就要双击“交互式登录:不显示上次的用户名”子项,选择“已启用”将该策略启用。这样上次登录到计算机的用户名就不会显示在Windows的登录画面中。
十.禁用IE组件自动安装
选择“计算机配置”→“管理模板”→“Windows组件”→“Internet Explorer”项目,双击右边窗口中“禁用Internet Explorer组件的自动安装”项目,在打开的窗口中选择“已启用”单选按钮(如图10),将会禁止 Internet Explorer 自动安装组件。这样可以防止 Internet Explorer 在用户访问到需要某个组件的网站时下载该组件,篡改IE的行为也会得到遏制!相对来说IE也会安全许多!
图 10
小提示
如果禁用该策略或不对其进行配置,则用户在访问需要某个组件的网站时,将会收到一则消息,提示用户下载并安装该组件。有时用户看也不看就选择“安装”则往往会出问题。网上的很多恶意代码往往都是这样工作的。 ==========
主板知识
==========
1. BIOS和CMOS简介:
(1)BIOS:
BIOS是Basic Input-Output System的缩写。它是PC的基本输入输出系统,是一块装入了启动和自检程序的 EPROM 或 EEPROM 集成电路,也就是集成在主板上的一个ROM(只读存储)芯片。其中保存有PC系统最重要的基本输入/输出程序、系统信息设置程序、开机上电自检程序和系统启动自举程序。
(2)CMOS:
CMOS英文全称Comple-mentary Metal-Oxicle-Semiconductor,中文译为"互补金属氧化物半导体" 。
CMOS是微机主板上的一块可读写的RAM芯片。主要用来保存当前系统的硬件配置和操作人员对某些参数的设定。CMOS RAM芯片由系统通过一块后备电池供电,因此无论是在关机状态中,还是遇到系统掉电情况,CMOS信息都不会丢失。由于CMOS ROM芯片本身只是一块存储器,只具有保存数据的功能,所以对CMOS中各项参数的设定要通过专门的程序,现在多数厂家将CMOS设置程序做到了BIOS芯片中,在开机时通过按下“DEL”键进入CMOS设置程序而方便地对系统进行设置,因此CMOS设置又通常叫做BIOS设置。
(3)BIOS和CMOS的关系:
BIOS中的系统设置程序是完成CMOS参数设置的手段;CMOS RAM既是BIOS设定系统参数的存放场所,又是BIOS设定系统参数的结果。因此他们之间的关系就是“通过BIOS设置程序对CMOS参数进行设置”。
(4)BIOS和CMOS的区别:(感谢网友deng1231000提供建议)
CMOS只是一块存储器,而 BIOS才是PC的“基本输入输出系统”程序。由于 BIOS和CMOS都跟系统设置密切相关,所以在实际使用过程中造成了BIOS设置和CMOS设置的说法,其实指的都是同一回事,但BIOS与CMOS却是两个完全不同的概念,千万不可搞混淆。
2. PCB简介: PCB,即印刷电路板(Printed circuit board,PCB)。它几乎会出现在每一种电子设备当中。如果在某样设备中有电子零件,那么它们也都是镶在大小各异的PCB上。除了固定各种小零件外,PCB的主要功能是提供上头各项零件的相互电气连接。随着电子设备越来越复杂,需要的零件越来越多,PCB上头的线路与零件也越来越密集了。
电脑的主板在不放电阻、芯片、电容等零件的时候就是一块PCB板。
3. 主板的南北桥芯片:
(1)北桥芯片(North Bridge)是主板芯片组中起主导作用的最重要的组成部分,也称为主桥(Host Bridge)。一般来说,芯片组的名称就是以北桥芯片的名称来命名的,例如英特尔 845E芯片组的北桥芯片是82845E,875P芯片组的北桥芯片是82875P等等。北桥芯片负责与CPU的联系并控制内存、AGP或PCI-E数据在北桥内部传输,提供对CPU的类型和主频、系统的前端总线频率、内存的类型(SDRAM,DDR SDRAM以及RDRAM等等)和最大容量、AGP或PCI-E插槽、ECC纠错等支持。整合型芯片组的北桥芯片还集成了显示核心。
北桥芯片就是主板上离CPU最近的芯片,这主要是考虑到北桥芯片与处理器之间的通信最密切,为了提高通信性能而缩短传输距离。因为北桥芯片的数据处理量非常大,发热量也越来越大,所以现在的北桥芯片都覆盖着散热片用来加强北桥芯片的散热,有些主板的北桥芯片还会配合风扇进行散热。因为北桥芯片的主要功能是控制内存,而内存标准与处理器一样变化比较频繁,所以不同芯片组中北桥芯片是肯定不同的,当然这并不是说所采用的内存技术就完全不一样,而是不同的芯片组北桥芯片间肯定在一些地方有差别。
(2)南桥芯片(South Bridge)是主板芯片组的重要组成部分,一般位于主板上离CPU插槽较远的下方,PCI插槽的附近,这种布局是考虑到它所连接的I/O总线较多,离处理器远一点有利于布线。相对于北桥芯片来说,其数据处理量并不算大,所以南桥芯片一般都没有覆盖散热片。南桥芯片不与处理器直接相连,而是通过一定的方式(不同厂商各种芯片组有所不同,例如英特尔的英特尔Hub Architecture以及SIS的Multi-Threaded“妙渠”)与北桥芯片相连。
南桥芯片负责I/O总线之间的通信,如PCI总线、USB、LAN、ATA、SATA、音频控制器、键盘控制器、实时时钟控制器、高级电源管理等,这些技术一般相对来说比较稳定,所以不同芯片组中可能南桥芯片是一样的,不同的只是北桥芯片。所以现在主板芯片组中北桥芯片的数量要远远多于南桥芯片。南桥芯片的发展方向主要是集成更多的功能,例如网卡、RAID、IEEE 1394、甚至WI-FI无线网络等等。
4. 主板上的扩展插槽:
扩展插槽是主板上用于固定扩展卡并将其连接到系统总线上的插槽,也叫扩展槽、扩充插槽。扩展槽是一种添加或增强电脑特性及功能的方法。例如,不满意主板整合显卡的性能,可以添加独立显卡以增强显示性能;不满意板载声卡的音质,可以添加独立声卡以增强音效;不支持USB2.0或IEEE1394的主板可以通过添加相应的USB2.0扩展卡或IEEE1394扩展卡以获得该功能等。
目前扩展插槽的种类主要有ISA,PCI,AGP,CNR,AMR,ACR和比较少见的WI-FI,VXB,以及笔记本电脑专用的PCMCIA等。历史上出现过,早已经被淘汰掉的还有MCA插槽,EISA插槽以及VESA插槽等等。目前的主流扩展插槽是PCI Express插槽。
(1)AGP插槽(Accelerated Graphics Port)是在PCI总线基础上发展起来的,主要针对图形显示方面进行优化,专门用于图形显示卡。AGP标准也经过了几年的发展,从最初的AGP 1.0、AGP2.0 ,发展到现在的AGP 3.0,如果按倍速来区分的话,主要经历了AGP 1X、AGP 2X、AGP 4X、AGP PRO,目前最新片版本就是AGP 3.0,即AGP 8X。AGP 8X的传输速率可达到2.1GB/s,是AGP 4X传输速度的两倍。AGP插槽通常都是棕色(以上三种接口用不同颜色区分的目的就是为了便于用户识别),还有一点需要注意的是它不与PCI、ISA插槽处于同一水平位置,而是内进一些,这使得PCI、ISA卡不可能插得进去
(2)PCI-Express是最新的总线和接口标准,它原来的名称为“3GIO”,是由英特尔提出的,很明显英特尔的意思是它代表着下一代I/O接口标准。交由PCI-SIG(PCI特殊兴趣组织)认证发布后才改名为“PCI-Express”。这个新标准将全面取代现行的PCI和AGP,最终实现总线标准的统一。它的主要优势就是数据传输速率高,目前最高可达到10GB/s以上,而且还有相当大的发展潜力。PCI Express也有多种规格,从PCI Express 1X到PCI Express 16X,能满足现在和将来一定时间内出现的低速设备和高速设备的需求。
PCI-E和AGP的区别:
第一,PCI-E x16总线通道比AGP更宽、“最高速度限制”更高;
第二,PCI-E通道是“双车道”,也就是“双工传输”,同一时间段允许“进”和“出”的两路数字信号同时通过,而AGP只是单车道,即一个时间允许一个方向的数据流。而这些改进得到的结果是,PCI-E x16传输带宽能达到2×4Gb/s=8Gb/s,而AGP 8x规范最高只有2Gb/s,PCI-E的优势可见一斑。
(3)PCI插槽是基于PCI局部总线(Pedpherd Component Interconnect,周边元件扩展接口)的扩展插槽,其颜色一般为乳白色,位于主板上AGP插槽的下方,ISA插槽的上方。其位宽为32位或64位,工作频率为33MHz,最大数据传输率为133MB/sec(32位)和266MB/sec(64位)。可插接显卡、声卡、网卡、内置Modem、内置ADSL Modem、USB2.0卡、IEEE1394卡、IDE接口卡、RAID卡、电视卡、视频采集卡以及其它种类繁多的扩展卡。PCI插槽是主板的主要扩展插槽,通过插接不同的扩展卡可以获得目前电脑能实现的几乎所有外接功能。 (4)PCI-X是PCI总线的一种扩展架构,它与PCI总线不同的是,PCI总线必须频繁的于目标设备和总线之间交换数据,而PCI-X则允许目标设备仅于单个PCI-X设备看已进行交换,同时,如果PCI-X设备没有任何数据传送,总线会自动将PCI-X设备移除,以减少PCI设备间的等待周期。所以,在相同的频率下,PCI-X将能提供比PCI高14-35%的性能。
PCI-X又一有利因素就是它有可扩展的频率,也就是说,PCI-X的频率将不再像PCI那样固定的,而是可随设备的变化而变化,比如某一设备工作于66MHz,那么它就将工作于66MHz,而如果设备支持100MHz的话,PCI-X就将于100MHz下工作。PCI-X可以支持66,100,133MHz这些频率,而在未来,可能将提供更多的频率支持。
5. 内存控制器
内存控制器(Memory Controller)是计算机系统内部控制内存并且通过内存控制器使内存与CPU之间交换数据的重要组成部分。内存控制器决定了计算机系统所能使用的最大内存容量、内存BANK数、内存类型和速度、内存颗粒数据深度和数据宽度等等重要参数,也就是说决定了计算机系统的内存性能,从而也对计算机系统的整体性能产生较大影响。
传统的计算机系统其内存控制器位于主板芯片组的北桥芯片内部,CPU要和内存进行数据交换,需要经过“CPU--北桥--内存--北桥--CPU”五个步骤,在此模式下数据经由多级传输,数据延迟显然比较大从而影响计算机系统的整体性能;而AMD的K8系列CPU(包括Socket 754/939/940等接口的各种处理器)内部则整合了内存控制器,CPU与内存之间的数据交换过程就简化为“CPU--内存--CPU”三个步骤,省略了两个步骤,与传统的内存控制器方案相比显然具有更低的数据延迟,这有助于提高计算机系统的整体性能。
CPU内部整合内存控制器的优点,就是可以有效控制内存控制器工作在与CPU核心同样的频率上,而且由于内存与CPU之间的数据交换无需经过北桥,可以有效降低传输延迟。打个比方,这就如同将货物仓库直接搬到了加工车间旁边,大大减少了原材料和制成品在货物仓库和加工车间之间往返运输所需要的时间,极大地提高了生产效率。这样一来系统的整体性能也得到了提升。
CPU内部整合内存控制器的最大缺点,就是对内存的适应性比较差,灵活性比较差,只能使用特定类型的内存,而且对内存的容量和速度也有限制,要支持新类型的内存就必须更新CPU内部整合的内存控制器,也就是说必须更换新的CPU;而传统方案的内存控制器由于位于主板芯片组的北桥芯片内部,就没有这方面的问题,只需要更换主板,甚至不更换主板也能使用不同类型的内存,例如Intel Pentium 4系列CPU,如果原来配的是不支持DDR2的主板,那么只要更换一块支持DDR2的主板就能使用DDR2,如果配的是同时支持DDR和DDR2的主板,则不必更换主板就能直接使用DDR2。
6. 内存控制器的分频效应
系统工作时,内存运行频率是根据CPU运行频率的变化而变化的。控制这种变化的元件就是内存控制器,内存控制器的这种根据CPU的实际频率来调节内存运行频率的方式称作内存控制器的分频效应。具体的分频方式因不同平台而异。
(1)AMD平台
目前主流的AMD CPU都在内部集成了内存控制器,所以无论搭配什么主板,其内存分频机制都是一定的。每一个确定了硬件配置的AMD平台都有其固定的内存分频系数,这些系数影响着内存的实际运行频率。
AMD平台内存分频系数的具体计算方法如下:
分频系数N=CPU默认主频×2÷内存标称频率
得到的数字再用“进一法”取整数。注意,“进一法”不是四舍五入,而是把小数点后的数字舍掉,在前面的整数部分加1。
这时,内存实际运行频率=CPU实际运行主频÷分频系数N。
例如,AM2接口的Athlon64 3000+搭配DDR2 667内存时,我们在BIOS里把内存频率设置为DDR2 667,而此时内存实际工作在DDR2 600下,这就是由内存分频系数引起的。由于此时BIOS的设置值并非内存的实际工作频率,因此我们把BIOS中的设置值称为内存标称频率。
以上面所说的AM2 Athlon64 3000+搭配DDR2 667内存为例:
N=1800×2÷667≈5.397,取整数=6,
此时内存的实际运行频率=1800MHz÷6=300MHz,即DDR2 600。
如果在BIOS中把内存设置为DDR2 533,则用上述公式计算得出其分频系数N=7,内存实际工作在DDR2 517下。 不同频率的内存搭配不同主频的CPU时,其内存分频系数又各不相同。
如果CPU换成3200+,默认频率为2GHz,
则在DDR2 667时:N=2000×2÷667,取整数为6,
DDR2 533时,N=2000×2÷533,取整数为8,
平台的硬件配置不同,则系数N不同。
对AMD平台而言,直接关系到超频幅度的三个决定性因素分别为:CPU、内存、HT总线,其中任何一项拖了后腿,整个平台的超频幅度都大受影响。我们可以人为地降低CPU倍频和HT总线倍频,以减少CPU和HT总线对超频结果的影响,这时进行超频就可以确定内存的超频极限。
(2)Intel平台
Intel平台的内存控制器一般集成在主板芯片上,其分频机制也由不同的主板芯片来决定。
Intel平台的内存分频系数=CPU外频:内存运行频率。
以目前主流的Intel 965/975芯片组为例,其分频机制非常明了,在BIOS中直接提供几个固定的分频系数。例如1∶1、1∶1.33、1∶1.66等等,
E6300的默认外频为266MHz,如果分频系数设置为1∶1.33,
则内存实际运行频率=266MHz×1.33=353.78MHz,即DDR2 707。 Intel 平台上直接关系到超频幅度的三个决定性因素分别为:CPU、内存、FSB总线,其中FSB总线值固定为CPU外频的四倍。Intel 965/975芯片组的分频系数都小于1,分频系数越小,内存运行频率相对于CPU外频的倍数就越大,我们选择越小的分频系数,就可以降低CPU体质对平台整体超频结果的影响,从而测试出内存的极限超频频率。在NVIDIA的nForce680i芯片组上还提供大于1的分频系数,可以让内存低于CPU外频频率运行。
输入输出设备接口
7. Intel芯片组命名规则
(1)从845系列到915系列以前
PE是主流版本,无集成显卡,支持当时主流的FSB和内存,支持AGP插槽。
E并非简化版本,而应该是进化版本,比较特殊的是,带E后缀的只有845E这一款,其相对于845D是增加了533MHz FSB支持,而相对于845G之类则是增加了对ECC内存的支持,所以845E常用于入门级服务器。
G是主流的集成显卡的芯片组,而且支持AGP插槽,其余参数与PE类似。
GV和GL则是集成显卡的简化版芯片组,并不支持AGP插槽,其余参数GV则与G相同,GL则有所缩水。
GE相对于G则是集成显卡的进化版芯片组,同样支持AGP插槽。
P有两种情况,一种是增强版,例如875P;另一种则是简化版,例如865P
(2)915系列及之后
P是主流版本,无集成显卡,支持当时主流的FSB和内存,支持PCI-E X16插槽。
PL相对于P则是简化版本,在支持的FSB和内存上有所缩水,无集成显卡,但同样支持PCI-E X16。
G是主流的集成显卡芯片组,而且支持PCI-E X16插槽,其余参数与P类似。
GV和GL则是集成显卡的简化版芯片组,并不支持PCI-E X16插槽,其余参数GV则与G相同,GL则有所缩水。
X和XE相对于P则是增强版本,无集成显卡,支持PCI-E X16插槽。
(3)965系列之后
从965系列芯片组开始,Intel改变了芯片组的命名方法,将代表芯片组功能的字母从后缀改为前缀,并且针对不同的用户群体进行了细分,例如P965、G965、Q965和Q963等等。
P是面向个人用户的主流芯片组版本,无集成显卡,支持当时主流的FSB和内存,支持PCI-E X16插槽。
G是面向个人用户的主流的集成显卡芯片组,而且支持PCI-E X16插槽,其余参数与P类似。
Q则是面向商业用户的企业级台式机芯片组,具有与G类似的集成显卡,并且除了具有G的所有功能之外,还具有面向商业用户的特殊功能,例如Active Management Technology(主动管理技术)等等。
另外,在功能前缀相同的情况下,以后面的数字来区分性能,数字低的就表示在所支持的内存或FSB方面有所简化。例如Q963与Q965相比,前者就仅仅只支持DDR2 667。9. 鼠标和键盘的接口:PS/2接口
PS/2接口是目前最常见的鼠标和键盘接口,最初是IBM公司的专利,俗称“小口”。这是一种6针的圆型接口。但鼠标只使用其中的4针传输数据和供电,其余2个为空脚。PS/2接口的传输速率比COM接口稍快一些,而且是ATX主板的标准接口,但仍然不能使高档鼠标完全发挥其性能,而且不支持热插拔。在BTX主板规范中,这也是即将被淘汰掉的接口。
需要注意的是,在连接PS/2接口鼠标时不能错误地插入键盘PS/2接口(当然,也不能把PS/2键盘插入鼠标PS/2接口)。一般情况下,符合PC99规范的主板,其鼠标的接口为绿色、键盘的接口为紫色,另外也可以从PS/2接口的相对位置来判断:靠近主板PCB的是键盘接口,其上方的是鼠标接口。
======================
必须掌握的八个DOS命令!
======================
一,ping
它是用来检查网络是否通畅或者网络连接速度的命令。作为一个生活在网络上的管理员或者黑客来说,ping命令是第一个必须掌握的DOS命令,它所利用的原理是这样的:网络上的机器都有唯一确定的IP地址,我们给目标IP地址发送一个数据包,对方就要返回一个同样大小的数据包,根据返回的数据包我们可以确定目标主机的存在,可以初步判断目标主机的操作系统等。下面就来看看它的一些常用的操作。先看看帮助吧,在DOS窗口中键入:ping /? 回车,。所示的帮助画面。在此,我们只掌握一些基本的很有用的参数就可以了(下同)。
-t 表示将不间断向目标IP发送数据包,直到我们强迫其停止。试想,如果你使用100M的宽带接入,而目标IP是56K的小猫,那么要不了多久,目标IP就因为承受不了这么多的数据而掉线,呵呵,一次攻击就这么简单的实现了。
-l 定义发送数据包的大小,默认为32字节,我们利用它可以最大定义到65500字节。结合上面介绍的-t参数一起使用,会有更好的效果哦。
-n 定义向目标IP发送数据包的次数,默认为3次。如果网络速度比较慢,3次对我们来说也浪费了不少时间,因为现在我们的目的仅仅是判断目标IP是否存在,那么就定义为一次吧。
说明一下,如果-t 参数和 -n参数一起使用,ping命令就以放在后面的参数为标准,比如“ping IP -t -n 3”,虽然使用了-t参数,但并不是一直ping下去,而是只ping 3次。另外,ping命令不一定非得ping IP,也可以直接ping主机域名,这样就可以得到主机的IP。
下面我们举个例子来说明一下具体用法。
这里time=2表示从发出数据包到接受到返回数据包所用的时间是2秒,从这里可以判断网络连接速度的大小 。从TTL的返回值可以初步判断被ping主机的操作系统,之所以说“初步判断”是因为这个值是可以修改的。这里TTL=32表示操作系统可能是win98。
(小知识:如果TTL=128,则表示目标主机可能是Win2000;如果TTL=250,则目标主机可能是Unix)
至于利用ping命令可以快速查找局域网故障,可以快速搜索最快的QQ服务器,可以对别人进行ping攻击……这些就靠大家自己发挥了。 二,nbtstat
该命令使用TCP/IP上的NetBIOS显示协议统计和当前TCP/IP连接,使用这个命令你可以得到远程主机的NETBIOS信息,比如用户名、所属的工作组、网卡的MAC地址等。在此我们就有必要了解几个基本的参数。
-a 使用这个参数,只要你知道了远程主机的机器名称,就可以得到它的NETBIOS信息(下同)。
-A 这个参数也可以得到远程主机的NETBIOS信息,但需要你知道它的IP。
-n 列出本地机器的NETBIOS信息。
当得到了对方的IP或者机器名的时候,就可以使用nbtstat命令来进一步得到对方的信息了,这又增加了我们入侵的保险系数。
三,netstat
这是一个用来查看网络状态的命令,操作简便功能强大。
-a 查看本地机器的所有开放端口,可以有效发现和预防木马,可以知道机器所开的服务等信息,如图4。
这里可以看出本地机器开放有FTP服务、Telnet服务、邮件服务、WEB服务等。用法:netstat -a IP。
-r 列出当前的路由信息,告诉我们本地机器的网关、子网掩码等信息。用法:netstat -r IP。
四,tracert
跟踪路由信息,使用此命令可以查出数据从本地机器传输到目标主机所经过的所有途径,这对我们了解网络布局和结构很有帮助。如图5
这里说明数据从本地机器传输到192.168.0.1的机器上,中间没有经过任何中转,说明这两台机器是在同一段局域网内。用法:tracert IP。
五,net
这个命令是网络命令中最重要的一个,必须透彻掌握它的每一个子命令的用法,因为它的功能实在是太强大了,这简直就是微软为我们提供的最好的入侵工具。首先让我们来看一看它都有那些子命令,键入net /?回车如图6。
在这里,我们重点掌握几个入侵常用的子命令。
net view
使用此命令查看远程主机的所以共享资源。命令格式为net view \\IP。
net use
把远程主机的某个共享资源影射为本地盘符,图形界面方便使用,呵呵。命令格式为net use x: \\IP\sharename。上面一个表示把192.168.0.5IP的共享名为magic的目录影射为本地的Z盘。下面表示和192.168.0.7建立IPC$连接(net use \\IP\IPC$ "password" /user:"name"),
建立了IPC$连接后,呵呵,就可以上传文件了:copy nc.exe \\192.168.0.7\admin$,表示把本地目录下的nc.exe传到远程主机,结合后面要介绍到的其他DOS命令就可以实现入侵了。
net start
使用它来启动远程主机上的服务。当你和远程主机建立连接后,如果发现它的什么服务没有启动,而你又想利用此服务怎么办?就使用这个命令来启动吧。用法:net start servername,如图9,成功启动了telnet服务。
net stop
入侵后发现远程主机的某个服务碍手碍脚,怎么办?利用这个命令停掉就ok了,用法和net start同。
net user
查看和帐户有关的情况,包括新建帐户、删除帐户、查看特定帐户、激活帐户、帐户禁用等。这对我们入侵是很有利的,最重要的,它为我们克隆帐户提供了前提。键入不带参数的net user,可以查看所有用户,包括已经禁用的。下面分别讲解。
1,net user abcd 1234 /add,新建一个用户名为abcd,密码为1234的帐户,默认为user组成员。
2,net user abcd /del,将用户名为abcd的用户删除。
3,net user abcd /active:no,将用户名为abcd的用户禁用。
4,net user abcd /active:yes,激活用户名为abcd的用户。
5,net user abcd,查看用户名为abcd的用户的情况
net localgroup
查看所有和用户组有关的信息和进行相关操作。键入不带参数的net localgroup即列出当前所有的用户组。在入侵过程中,我们一般利用它来把某个帐户提升为administrator组帐户,这样我们利用这个帐户就可以控制整个远程主机了。用法:net localgroup groupname username /add。
现在我们把刚才新建的用户abcd加到administrator组里去了,这时候abcd用户已经是超级管理员了,呵呵,你可以再使用net user abcd来查看他的状态,和图10进行比较就可以看出来。但这样太明显了,网管一看用户情况就能漏出破绽,所以这种方法只能对付菜鸟网管,但我们还得知道。现在的手段都是利用其他工具和手段克隆一个让网管看不出来的超级管理员,这是后话。有兴趣的朋友可以参照《黑客防线》第30期上的《由浅入深解析隆帐户》一文。
net time
这个命令可以查看远程主机当前的时间。如果你的目标只是进入到远程主机里面,那么也许就用不到这个命令了。但简单的入侵成功了,难道只是看看吗?我们需要进一步渗透。这就连远程主机当前的时间都需要知道,因为利用时间和其他手段(后面会讲到)可以实现某个命令和程序的定时启动,为我们进一步入侵打好基础。用法:net time \\IP。
六,at
这个命令的作用是安排在特定日期或时间执行某个特定的命令和程序(知道net time的重要了吧?)。当我们知道了远程主机的当前时间,就可以利用此命令让其在以后的某个时间(比如2分钟后)执行某个程序和命令。用法:at time command \\computer。
表示在6点55分时,让名称为a-01的计算机开启telnet服务(这里net start telnet即为开启telnet服务的命令)。
七,ftp
大家对这个命令应该比较熟悉了吧?网络上开放的ftp的主机很多,其中很大一部分是匿名的,也就是说任何人都可以登陆上去。现在如果你扫到了一台开放ftp服务的主机(一般都是开了21端口的机器),如果你还不会使用ftp的命令怎么办?下面就给出基本的ftp命令使用方法。
首先在命令行键入ftp回车,出现ftp的提示符,这时候可以键入“help”来查看帮助(任何DOS命令都可以使用此方法查看其帮助)。
大家可能看到了,这么多命令该怎么用?其实也用不到那么多,掌握几个基本的就够了。
首先是登陆过程,这就要用到open了,直接在ftp的提示符下输入“open 主机IP ftp端口”回车即可,一般端口默认都是21,可以不写。接着就是输入合法的用户名和密码进行登陆了,这里以匿名ftp为例介绍。
用户名和密码都是ftp,密码是不显示的。当提示**** logged in时,就说明登陆成功。这里因为是匿名登陆,所以用户显示为Anonymous。
接下来就要介绍具体命令的使用方法了。
dir 跟DOS命令一样,用于查看服务器的文件,直接敲上dir回车,就可以看到此ftp服务器上的文件。
cd 进入某个文件夹。
get 下载文件到本地机器。
put 上传文件到远程服务器。这就要看远程ftp服务器是否给了你可写的权限了,如果可以,呵呵,该怎么 利用就不多说了,大家就自由发挥去吧。
delete 删除远程ftp服务器上的文件。这也必须保证你有可写的权限。
bye 退出当前连接。
quit 同上。
八,telnet
功能强大的远程登陆命令,几乎所有的入侵者都喜欢用它,屡试不爽。为什么?它操作简单,如同使用自己的机器一样,只要你熟悉DOS命令,在成功以administrator身份连接了远程机器后,就可以用它来**想干的一切了。下面介绍一下使用方法,首先键入telnet回车,再键入help查看其帮助信息。
然后在提示符下键入open IP回车,这时就出现了登陆窗口,让你输入合法的用户名和密码,这里输入任何密码都是不显示的。
当输入用户名和密码都正确后就成功建立了telnet连接,这时候你就在远程主机上具有了和此用户一样的权限,利用DOS命令就可以实现你想干的事情了。这里我使用的超级管理员权限登陆的。
到这里为止,网络DOS命令的介绍就告一段落了,这里介绍的目的只是给菜鸟网管一个印象,让其知道熟悉和掌握网络DOS命令的重要性。其实和网络有关的DOS命令还远不止这些,这里只是抛砖引玉,希望能对广大菜鸟网管有所帮助。学好DOS对当好网管有很大的帮助,特别的熟练掌握了一些网络的DOS命令。
另外大家应该清楚,任何人要想进入系统,必须得有一个合法的用户名和密码(输入法漏洞差不多绝迹了吧),哪怕你拿到帐户的只有一个很小的权限,你也可以利用它来达到最后的目的。所以坚决消灭空口令,给自己的帐户加上一个强壮的密码,是最好的防御弱口令入侵的方法。
最后,由衷的说一句,培养良好的安全意识才是最重要的。
本文地址:http://www.tzr.com.cn/bbs/read-htm-tid-33240.html
=============================
组策略和安全模板
http://www.cctips.com/?p=65
=============================
装好系统后,大家第一个要干的事情可能就是对系统进行各种优化,所用的软件也五花八门,这些一般都是共享软件,虽然可以免费使用,不过试用版在时间或者功能上或多或少会有一些限制。你可知道,操作系统自己的组策略就是个很好的优化工具,利用组策略我们可以对很多隐藏设置进行修改,使系统更个性化,也能极大的提高系统安全性。本文将会就组策略的设置以及安全模板的使用进行一些讨论,而所包括的操作系统则限于Windows 2000、Windows XP Professional(下文中出现的Windows XP均不包括Home版),还有Windows Server 2003。
什么是组策略
组策略是从Windows 2000中开始使用的管理技术,管理员可以使用组策略对一台或多台计算机的各种选项进行设置。组策略的使用非常灵活,其中包括了基于注册表的策略设置、安全设置、软件安装、脚本运行、计算机启动和关闭、用户登录和注销等各种方面。
怎样配制组策略
组策略的配制和应用非常灵活,而且在不同的环境有不同的方法。对于单机或工作组环境下,我们可以使用组策略编辑器对组策略进行设置和修改。而在域环境下的功能则更加强大,只要管理员在域控制器上部署了相应的策略,所有登录到这个域控制器上的客户端计算机都将被自动应用这些策略,真正实现了一次设置处处执行。
单机和工作组环境下的组策略设置
在运行中输入gpedit.msc并回车可打开组策略编辑器(图一)。组策略编辑器的窗口主要分了左右两个部分,这个和注册表编辑器的界面类似,左侧用树形图的形式显示了所有可用的策略类别,而右侧面板则详细显示了每种类别中可以配制的策略,只要双击这些策略便可以对其进行配制。为了让你更明白组策略的使用,我们会举几个例子来说明(以下内容主要以Windows XP操作系统为例,不过大部分内容同样适用于Windows 2000和Windows Server 2003,只不过细节方面可能略微不同)。
[ctrl+鼠标滚轮缩放]
窍门:暂时隐藏不用的策略。
如果你是初学使用组策略,肯定被组策略编辑器里名目繁多的策略弄了个头晕眼花,由于不熟悉每个策略的具体位置,有时候为了配置一个策略可能要在编辑器里翻找大半天,这时候我们便可以使用组策略编辑器的筛选功能。在左侧的树形图列表中选中一个类别,然后在“查看”菜单下点击“筛选”,以打开筛选对话框,在这里我们能够设置只显示针对特定软件的策略。例如我们可以选择只显示IE6以及更高版本IE才可以使用的策略,或者隐藏所有不能用于Windows 2000的策略。
窍门:禁用“用户配置”或“计算机配置”策略。
到这里你应该对组策略编辑器中显示的策略结构有所了解,主要结构分为两部分:计算机配置以及用户配置。如果你想知道当前系统中这两类策略分别有多少被配置过,或者如果你想隐藏其中一种配置,则可以使用这样的方法:用鼠标右键点击组策略编辑器窗口左侧的树形图列表顶端的“本地计算机策略”字样,然后选择属性,接着会打开一个本地计算机策略属性对话框。其中“创建”一栏显示了该策略生成的时间,一般情况下都是指操作系统的安装时间;而“修改”中显示的是最后一次设置组策略的时间;“修订”一栏则显示了这两个分类中各自有多少策略被配置。如果你希望在这里隐藏其中的一类策略,则可以在该对话框下方钩选相应的复选框。
隐藏回收站图标
为了美观,全新安装的Windows XP桌面上仅有一个回收站图标。你可能不希望自己的漂亮墙纸被图标挡住,那么怎样把仅有的回收站图标也删除?选中后按Delete键自然是不行的,不过有组策略就简单多了。打开组策略编辑器,在左侧的树形图中定位到“用户配制-管理模板-桌面”,然后在右侧面板中找到并双击“从桌面删除回收站”这一策略,你将能看到类似图二的对话框,选中“已启用”,然后点击确定关闭该对话框。注销后重新登录看看,是不是仅有的一个图标也消失了。
[ctrl+鼠标滚轮缩放]
保护分页文件中的秘密
对于重要文件,我们都知道通过加密和设置权限以禁止其他无关人员访问,不过你可知道,如果真的有必要,他人完全可以通过其他途径获得你的机密信息,那就是分页文件。我们都知道分页文件作为物理内存的补充,用途是在硬盘和内存之间交换数据,而分页文件本身就是硬盘上的一个文件,它位于系统所在硬盘分区的根目录中,文件名为pagefile.sys。一般情况下,当我们运行程序时,这些程序的一部分内容可能会被临时保存到分页文件上,而如果我们编辑完这个文件后立刻就关闭了系统,那么文件的一些内容仍然有可能被保存在分页文件中。在这种情况下,如果有人得到了这台电脑的硬盘,那么只要把硬盘拆出来,利用特殊的软件,就可以将分页文件中的机密信息读取出来。通过配置组策略,我们可以避免这种潜在的危险。打开组策略编辑器,在“计算机配置-Windows设置-本地策略-安全选项”下启用“关机:清除虚拟内存页面文件”这个策略。启用这个策略后,关机的时候系统会将分页文件中的所有内容都用“0”或者“1”写满,这样所有的信息自然也都会消失。不过要注意一点,这样做会减慢系统的关闭速度,因此如果不是非常必要,不建议你启用这个策略。
控制台下的安全保证
系统故障后我们可能需要到故障恢复控制台中进行修复工作。不过如果你只是打算到控制台下把硬盘上的重要文件复制到软盘之后重新安装系统,那么你可能会失望了。因为为了保证文件的安全,默认情况下,在系统故障恢复控制台中,我们仅能有限制地访问几个系统目录,不能完全访问所有硬盘分区。不仅如此,我们还只能把光盘或软盘中的文件复制到硬盘上,但是不能把硬盘中的文件复制到软盘上。如果你并不需要这种安全措施,完全可以通过配置组策略禁用,同样是在“计算机配置-Windows设置-本地策略-安全选项”下,启用“故障恢复控制台:允许对所有驱动器和文件夹进行软盘复制和访问”这一策略。再次进入控制台后你会发现,以往的限制都没有了。
禁用气球通知
在Windows XP中,如果系统有什么消息,例如网络的联通或断开等信息,将会在系统提示区(就是屏幕右下角那个显示时间和很多软件图标的地方)以气球图标的形式显示出来。虽然初次使用可能感到新鲜,不过时间一长你肯定也会感到厌烦。用组策略可以把这些气球提示永远隐藏。同样是在组策略编辑器中,从左侧的树形图中定位到“用户配制-管理模板-任务栏和开始菜单”,然后在右侧找到并双击打开“删除开始菜单项目上的气球提示”,然后点击“已启用”并确定退出。
自定义IE浏览器
每天用Internet Explorer上网,如果老是面对这一样的IE窗口那肯定会感到厌倦。如果想要美化一下IE窗口,那就可以用组策略。在组策略编辑器左侧的树形图中展开“用户配置-Windows设置-Internet Explorer维护-浏览器用户界面”。在这里,我们可以自定义浏览器的窗口标题栏,右上角的动态徽标,还有工具栏的图标,只要双击每个策略,然后按照弹出窗口中的说明进行操作后就可以生效。
如果我们希望IE在点击“搜索”后使用Google作为默认搜索引擎,那么也可以在这里设置实现。在“Internet Explorer维护”下点击“URL”,然后双击“重要URL”这一策略,在其中选中“自定义搜索栏URL”前的复选框,然后在下面输入http://www.google.com,确定后退出。这样再次启动IE后点击“搜索”就可以用Google作为默认搜索引擎了。
登录注销脚本的应用
利用组策略,我们可以设置让系统在用户登录和注销的时候自动执行脚本文件。而在脚本文件中我们可以做很多事情。例如整理磁盘碎片、清空临时文件夹等。我们这里会以在计算机启动时自动创建一个系统还原点为例说明该策略的用法。
要做到这一点首先需要编写一个创建系统还原点的脚本,然后设置组策略让计算机启动的时候自动执行这个脚本文件。脚本的编写不是很难,因为这不是本文的讨论范围,因此大家请自己查看相关资料(建议你访问这里:(http://www.microsoft.com/china/technet/community/scriptcenter/default.mspx )。
打开记事本,输入以下内容:
Set sr = getobject(”winmgmts:\\.\root\default:Systemrestore”)
msg = “New Restore Point successfully created.” & vbCR
msg = msg & “It is listed as: ” & vbCR
msg = msg & “Automatic Restore Point ” & Date & ” ” & Time
If (sr.createrestorepoint(”Automatic Restore Point”, 0, 100)) = 0 Then
MsgBox msg
Else
MsgBox “Restore Point creation Failed!”
End If
Set sr = Nothing
然后保存这个文件为systemrestore.vbs,注意,保存的时候要在“文件类型”下拉菜单中选择“所有文件”,然后在“文件名”中输入包括后缀名在内完整的文件名。接着打开组策略编辑器,定位到“计算机配置-Windows设置-脚本(启动/关机)”,双击其中的“启动”策略打开启动属性对话框。然后点击“添加”按钮,并点击浏览按钮找到systemrestore.vbs文件,接着点击确定退出这个选项卡。设置之后每次系统启动后都会自动创建还原点。
这里还有很多其它策略可以设置,因为每选中一个策略后编辑器中都会显示相关的解释和说明,相信那些可以帮助你理解每条策略的用途以及使用方法,因此这里就不再多说。
窍门:怎样直接编辑其他计算机的组策略。
如果你只是临时因为某些需要而要修改局域网中另一台计算机的组策略设置,那么最佳的做法是什么?在MSN Messenger上指挥对方操作?自己亲自跑到对方电脑前操作?还是直接远程操作吧。在你的电脑中运行“MMC”打开控制台,然后在“文件”菜单下点击“添加/删除管理单元”,接着点击“添加”按钮,在可用的独立管理单元列表中选中“组策略”控制台组件,然后点击“添加”。随后会出现一个对话框,要你选择组策略对象,如果你希望编辑本机的组策略,则直接使用默认设置既可;否则,可以点击“浏览”按钮,并选择“另一台计算机”,然后再次点击“浏览”按钮,从随后出现的选择计算机对话框中选择一台本地局域网上的计算机(注意,需要你在对方计算机上具有管理员权限)。选择好后会打开一个类似一般组策略编辑器的窗口,不过你可以仔细看一下,以往显示的“本地计算机策略”已经显示为“2k3策略”(其中2k3是远程计算机的机器名)。不过这里要注意一下,使用这种方法远程连接其他计算机,需要其他计算机上一些默认的系统服务处于启动状态,如果你为了优化系统而禁用了某些服务,可能会造成连接的失败。
软件限制策略的应用
单位的网络管理员肯定都遇到过这种困扰,老板不希望员工在工作的时间聊QQ或者玩游戏,而总有员工会私下里安装被禁止的软件。怎样避免这种情况?虽然有监控软件可以用,不过这样显得有些侵犯隐私。同时还有一种很麻烦的情况,现在越来越多的病毒通过电子邮件传播,很多人都是无意中运行了电子邮件的附件而中毒的,有没有什么好的手段可以避免员工运行来历不明的文件?现在好了,如果你的客户端是Windows XP Professional,那么就可以使用其中的软件限制策略。
简单来说,软件限制策略是一种技术,通过这种技术,管理员可以决定哪些程序(虽然这里用了“程序”这个字眼,不过不单指exe文件,我们可以通过该技术限制任何类型扩展名的文件被执行)是可信赖的,而哪些是不可信赖的,对于不可信赖的程序,则系统会拒绝执行。通常,管理员可以让系统使用以下几种方式鉴别软件是否可信赖:文件的路径、文件的哈希(Hash)值、文件的证书、文件被下载的网站在Internet选项中的区域、文件的发行商、特定扩展名的所有文件,以及其他强制属性。
软件限制策略不仅可以在单机的Windows XP操作系统中设置,可以设置仅影响当前用户或用户组,或者影响所有本地登录到这台计算机上的所有用户;也可以通过域对所有加入该域的客户端计算机进行设置,同样可以设置影响某个特定的用户或用户组,或者所有用户。我们这里会以单机的形式进行说明,并设置影响所有用户。单机和工作组环境下的设置和这个是类似的。另一方面,有时我们可能因为错误的设置而导致某些系统组件无法运行(例如禁止运行所有msc后缀的文件而无法打开组策略编辑器),这种情况下我们只要重新启动系统到安全模式,然后使用Administrator账号登录并删除或修改这一策略即可。因为安全模式下使用Administrator账号登录是不受这些策略影响的。
在本例中,我们假设了这样的应用:员工的计算机仅可运行操作系统自带的所有程序(C盘),以及工作所必须的Word、Excel、PowerPoint和Outlook,其版本号皆为2003,并假设Office程序安装在D盘,员工电脑的操作系统为Windows XP Professional。
运行Gpedit.msc打开组策略编辑器,仔细看就可以发现,在“计算机配置”和“用户设置”下都各有一个软件限制策略的条目,到底使用哪个?如果你希望这个策略仅对某个特定用户或用户组生效,则使用“用户配置”下的策略;如果你希望对本地登录到计算机的所有用户生效,则使用“计算机配置”下的策略。这里我们需要对所有用户生效,因此选择使用“计算机配置”下的策略。
在开始配置之前我们还需要考虑一个问题,我们所允许的软件都有哪些特征,而禁用的软件又有哪些特征,我们要想出一种最佳的策略,能使所有需要的软件正确运行,而所有不必要的软件一个都无法运行。在本例中,我们允许的大部分程序都位于系统盘(C盘)的Program Files以及Windows文件夹下,因此我们在这里可以通过文件所在路径的方法决定哪些程序是被信任的。而对于安装在D盘的Office程序,也可任意通过路径或者文件哈希的方法来决定。
点击打开“计算机配置”下的软件限制策略条目,接着在“操作”菜单下点击“创建新的策略”(目前在安装SP1的XP上,这里默认是没有任何策略的,但是对于安装SP2的系统,这里已经有了建好的默认策略),系统将会创建两个新的条目:“安全级别”和“其它规则”。其中在安全级别条目下有两条规则,“不允许的”和“不受限的”,其中前者的意思是,默认情况下,所有软件都不允许运行,只有特别配置过的少数软件才可以运行;而后者的意思是,默认情况下,所有软件都可以运行,只有特别配置过的少数软件才被禁止运行。因为我们本例中需要运行的软件都已经定下来了,因此我们需要使用“不允许的”作为默认规则。双击这条规则,然后点击 “设为默认”按钮,并在同意警告信息后继续。
接着打开“其他规则”条目,可以看到,默认情况下这里已经有四个规则,都是根据注册表路径设置的,而且默认都设置为“不受限的”。强烈提醒你,千万不要修改这四个规则,否则你的系统运行将会遇到很大麻烦,因为这四个路径都涉及到了重要系统程序及文件所在的位置。同时,我们前面说过的,位于系统盘下Program Files文件夹以及Windows文件夹下的文件是允许运行的,而这四条默认的规则已经包含了这个路径,因此我们后面要做的只是为Office程序添加一个规则。在右侧面板的空白处点击鼠标右键,选择“新建哈希规则”,然后可以看到下图的界面。在这里点击“浏览”按钮,然后定位所有允许使用的Office程序的可执行文件(还记得分别是什么吗?winword.exe、excel.exe、powerpnt.exe、outlook.exe),并双击加入。接着在“安全级别”下拉菜单下选择“不受限的”,然后点击确定退出。重复以上步骤,把这四个软件的可执行文件都添加进来,并设置为不受限的。
到这里大家可以考虑一个问题,为什么我们选择为每个程序的可执行文件建立哈希规则?统一为Office应用程序建立一个路径规则不是更简单?其实这样才可以避免可执行文件被替换,或者用户把一些不需要安装的绿色软件复制到这个目录下运行。因为如果建立的是目录规则,那么所有保存在允许目录下的文件都将可以被执行,包括允许程序本身的文件,也包括用户复制进来的任何其他文件。而哈希规则就不同了,一个特定文件的哈希值是固定的,只要文件内容不发生变化,那么它的哈希值就永远不会变。这样也就避免了造假的可能。不过同时也存在一个问题,虽然文件的哈希值可以不变化,但是文件本身可能会需要某些改变。例如你安装了一个Word的补丁程序,那么winword.exe文件的哈希值可能就会变化。因此如果你选择创建这种规则,每当软件更新后你也需要看情况同步更新一下相应的规则。否则正常程序的运行也会被影响。
除此之外,这里还有几条策略可以被我们利用:强制,可以限定软件限制策略应用到哪些文件以及是否应用到Administrator账户;指派的文件类型,用于指定具有哪些扩展名的文件可以被系统认为是可执行文件,我们可以添加或删除某种类型扩展名的文件;收信任的出版商,则可以用来决定哪些用户可以选择收信任的出版商,以及信任之前还需要采取的其他操作。这三个策略可以根据自己的实际情况作出选择。
当软件显示策略设置好之后,一旦被限制的用户试图运行被禁止的程序,那么系统将会立刻发出警告并拒绝执行。
域环境下策略的应用
这部分的内容比较复杂,因此我们通过两个简单些的实例来说明,我们要学习怎样通过网络部署软件,以及安全模板的使用。下面的例子中作为域控制器的是Windows Server 2003,而客户端是Windows XP Professional。
活动目录包括两个方面:目录和与目录相关的服务。目录是存储各种对象的一个物理上的容器,而目录服务是使目录中所有信息和资源发挥作用的服务。活动目录是一种分布式的目录服务,信息可以分散在多台不同的计算机上,保证用户能够快速访问,而因为多台机上有相同的信息,所以在信息容氏方面具有很强的控制能力。
什么是域?活动目录是由组织单元、域、域树、森林构成的层次结构。域作为最基本的管理单元,同时也是最基层的容器,它可以对用户、计算机等基本数据进行存储。
域控制器是安装了活动目录的Windows Server计算机。域控制器存储着目录数据,并管理用户域的交互关系,其中包括用户登录过程、身份验证和目录搜索。一个域可有一个或多个域控制器。
组织单元也是逻辑单位,同域一样,目的是为了管理的方便。可以包含用户和用户组,以及计算机,不过组织单元仍属于域的一部分。
怎样安装域控制器?在已经安装好的Windows 2000 Server和Windows Server 2003计算机上运行dcpromo.exe后会启动活动目录安装向导,按照向导的提示输入相应的信息后就可以将服务器配置为域控制器。
客户端怎样加入域?除了Windows XP Home,其余版本的主流Windows操作系统都可以加入域。以Windows XP Professional为例,在系统属性对话框的计算机名选项卡下点击“网络ID”按钮后可以选择加入一个域。对于加入域的计算机,我们既可以使用本机账户登录系统,也可以使用域账户登录系统。使用域账户登录后可以使用域中所有具有权限的资源。
软件部署
我们要进行的是通过软件部署给单位里所有Windows XP客户端计算机安装SP1。首先到微软网站下载SP1的安装文件(sp1.exe),保存到域控制器上一个共享文件夹中(c:\deploy),然后在域控制器上运行以下命令:c:\deploy\sp1.exe /x,并在出现的“为提取的文件选择目录”对话框上直接按下确定键,使用默认目录。
在域控制器上运行dsa.msc打开Active Directory用户和计算机控制台,可以看到下图所示的界面,这里显示了域中的所有对象。
在我们要部署SP1的管理单元(local)上点击鼠标右键,并选择属性,可以打开local属性对话框。
我们需要做的就是在这个对话框的组策略选项卡上配置安装SP1的策略。点击“新建”按钮后可以在上方的列表中新建一条策略,接着需要给这个策略命名,可以选择一个代表其功能的名字(例如这里我们使用“SP1 Install”),然后双击这条策略,可以看到一个和我们平常使用的组策略编辑器类似的窗口,不过从名字我们就可以看出,在这个窗口中可以对整个组织单元中所有的计算机设置一样的策略。在窗口左侧的树形列表中展开“计算机配置-软件设置-软件安装”,并选中“软件安装”。然后在“操作”菜单下依次选择“新建-程序包”,接着在新出现的对话框中进入deploy\update文件夹,并双击加入update.msi(注意,在这里不是直接通过我的电脑进入C盘并选择这个文件,而是通过网上邻居来找到这个共享文件夹并选择文件。即这个update.msi文件在本例中所用的路径应该是\\2k3\deploy\update\update.msi,而不是c:\deploy\update\update.msi。因为虽然在服务器上这两个路径实际上代表了同一个位置,但是对于其他客户机,则只能识别前一个路径)文件。随后系统会询问部署方法,选择“已指派”,然后继续。稍等片刻后可以从窗口右侧的面板中看到我们新加入的软件。这样,以后所有加入到这个域中的客户机在重启动登录时都会首先检查有没有装这个软件,如果已经安装,则继续登录过程;否则就会自动从服务器上下载安装文件并开始安装。
基本上,所有通过Windows Installer技术安装的软件都可以通过这种方式批量部署给所有域中的客户机来安装。某些软件,虽然也使用了Windows Installer技术,但是安装文件可能只是一个exe文件(例如MSN Messenger),对于这种情况,一种简单的方法就是直接用WinRAR等压缩软件打开这个exe文件,并从中提取msi文件用于批量部署。这种部署方法的客户端可以是Windows 2000、Windows XP Professional或Windows Server 2003。
安全策略和安全模板
虽然大部分策略在系统中都有说明,但是这里还是要向你提一下一类比较特殊的策略,安全策略!现在电脑的安全问题已经越来越引起人们的关注,虽然很多不负责任的说法都是说Windows仿佛漏勺那样浑身都是漏洞,不过经过恰当的配制,Windows的安全性还是可以得到很大的提高。本刊五月份曾经介绍过安全策略相关的内容,因此建议大家在看到这部分的时候先找回之前的杂志重新复习一下,然后继续看。
安全策略的备份和恢复
在辛苦配置好所有的安全策略之后,你一定希望能把这些设置保存起来供以后参考;或者希望能备份这些设置,这样还可以在重装系统后还原回来;甚至你可能会想直接把这些安全策略设置应用到其他计算机上。另外,对于网络管理员,可能经常需要查看每台客户机的安全策略设置是否有任何问题,或者需要把同样的安全策略应用到多台电脑上。有什么好办法吗?接下来我们要介绍的组策略模板和安全配制和分析工具能够帮助我们。
安全模板的创建
我们首先解决第一个问题,如何备份和重新应用自己的安全策略设置和其他安全设置。在一台运行Windows XP的计算机上运行“MMC”,你将会看到一个控制台窗口,在该窗口的“文件”菜单下点击“添加/删除管理单元”,然后点击“添加”按钮,在可用的独立管理单元列表中选中“安全模板”控制台组件,然后点击窗口下方的“添加”按钮,接着点击“关闭”和“确定”,以关闭这些选项窗口,你将能够看到下图的界面。
[ctrl+鼠标滚轮缩放]
首先展开“安全模板”分支,这里显示了操作系统自带的所有安全模板的保存位置以及名称,保险起见我们不准备修改这些默认的模板,而是新建自己的模板。在“安全模板”节点上点击鼠标右键,并选择“添加模板搜索路径”,接着在弹出的窗口中指定一个保存我们自建安全模板的文件夹(这里我们选择直接保存在桌面上)。点击确定后“安全模板”节点下出现了一个新的到桌面的路径,在这个路径上点击鼠标右键,并在右键菜单中选择“新加模板”,在新弹出的窗口中输入模板名称(这里使用Template)后点击“确定”。展开这个新建的模板,可以看到,这跟我们以前设置安全策略的界面差不多,还是同样的策略,也有几乎相同的设置选项,我们需要做的就是在这里分别设置所有必须的策略。
[ctrl+鼠标滚轮缩放]
你可能注意到了,除了安全策略,我们还能设置其他一些内容,例如某个系统服务的状态、注册表键的访问控制权限、文件夹的访问控制权限,这些东西都能通过安全模板备份和恢复,也能通过安全模板应用到其他计算机上。举两个例子说明。
我们需要系统自动禁用Messenger信使服务,并设定只有Administrator才能修改这个服务的相关设置,那么可以这样操作:在我们自己建立的安全模板中展开“系统服务”节点,找到并双击打开“Messenger”这个服务,选中“在模板中定义这个安全策略设置”,之后首先会弹出一个安全设置对话框,这和我们常见的设置共享文件夹权限的对话框类似,不过这里设置的是系统服务的权限。由于我们只希望Administrator能够对该服务进行设置,因此分别选中默认的“Administrators”、“System”、“Interactive”等对象,接着点击右侧的“删除”按钮删除它们,随后点击“添加”按钮,在新弹出的窗口的“输入对象名称来选择”对话框中输入“Administrator”并直接回车,然后给Administrator设置“完全控制”的“允许”权限,并点击“确定”按钮退出。然后在“Messenger属性”窗口中选中“已停用”单选按钮。该服务的所有设置就已经完成了。
假设我们还需要设置只有Administrator才能访问系统C盘根目录下的“Folder”文件夹,那么同样是在安全模板中展开“文件系统”节点,然后在该节点上点击鼠标右键,选择“添加文件”,在弹出的窗口中选中“c:\folder”这个文件夹(该文件夹需要事先建立好),然后在下图的窗口中像之前设置服务的权限时一样,删除默认的几个对象,然后添加“Administrator”,并对其设置相应的权限。
在添加完权限后你将会看到下图的窗口,这里需要注意的就是“向所有子文件夹和文件传播继承权限”和“替换所有带继承权限的子文件夹和文件上的现存权限”这两个选项,选择前者,意味着Folder文件夹下的所有子文件夹和文件都将继承Folder文件夹的权限设置;选择后者意味着Folder文件夹的所有子文件夹和文件都将被同时应用新的权限设置,而不管它们是不是还继承了其他权限。
有一点需要注意,在你通过安全模板配置文件夹的权限时,如果你把该模板应用到其他计算机上,并且其他计算机上相应位置并没有你所配置的那些文件夹,则这些选项将不会生效。
所有的安全策略、权限设置、系统服务都设置后,点击选中“Template”节点,然后使用“操作”菜单下的“保存”命令,把这些设置都保存起来。
安全模板的应用和分析
如果我们打算把这些设置应用到其他计算机上,或者在重装系统后自动应用这些设置,可以这样做:同样是运行“MMC”打开管理控制台,不过这次我们要添加的是“安全配置和分析”控制台组件,假设我们之前创建的安全模板文件“template.inf”保存在桌面上。首先我们要使用一个安全配置数据库,虽然系统默认提供了一个,不过保险起见,还是建议新建一个。在“安全配置和分析”节点上点击鼠标右键,并选择“打开数据库”,在随后出现的窗口中输入新数据库的名称(safe1),然后点击“打开”。接着需要导入模板,直接在出现的窗口中选择我们保存在桌面上的template.inf文件,然后再次点击“打开”。
如果我们想要知道现在使用的计算机的安全策略配置和我们自己的建议配置有什么不同,可以在“安全配置和分析”节点上点击鼠标右键,在右键菜单中选择“立即分析计算机”,并指定好日志文件的保存位置,稍等片刻后就能看到分析出来的结果。依次点击展开每个安全策略节点,你可以看见下图的界面,
[ctrl+鼠标滚轮缩放]
在这里每个策略都有“数据库设置”和“计算机设置”两个值,其中“数据库设置”是我们之前创建的安全模板文件中的标准设置,而“计算机设置”则是当前计算机的设置。对于和数据库同样的设置,会用绿色的勾标示出来,而不一致的设置则会用红色的叉标示出来。如果你想直接修正当前计算机上单独的某个安全策略设置以和模板保持统一,只要双击该策略,然后直接修改即可。但如果你想直接把所有的安全设置(包括安全策略、系统服务、注册表访问权限以及文件和文件夹访问权限)都和安全模板保持统一设置,则只要在“ 安全配置和分析”节点上点击鼠标右键,并在右键菜单中选择“立即配置计算机”即可。
需要注意,在应用安全模板(可能是系统默认提供的,也可能是你的同事自己制作的)的时候一定要注意,有些时候别人的设置可能不一定适合自己,尤其是某些不当的设置可能会影响到一些软件的正常使用。因此对于单位中的管理员,在正式大规模应用这些模板之前,一定要注意先在测试环境中仔细测试过,保证绝对可靠后再应用。另外,安全起见,在应用之前最好能把系统的相关数据备份起来,以备发生不测后恢复。
另外一点,如果你想要制作适用于Windows XP操作系统的安全模板,那么尽量在Windows XP操作系统上制作该模板;同样,如果你想要制作适用于Windows2000的安全模板,最好是在Windows 2000计算机上执行该操作。另外,安全模板在域环境和工作组环境下都可以使用,而且方法基本上没有区别。
组策略的应用顺序
相信你已经注意到了,对于同一条策略,我们也许可以分别在本地和在域中给出不同的设置。那么如果域中的设置和本地的设置互相冲突了,系统该以哪个设置为准?其实策略的应用是有一定顺序的,先后顺序如下:
1,本地组策略对象中的设置
2,站点组策略对象中的设置
3,域组策略对象中的设置
4,管理单元组策略对象中的设置
由于最后被应用的策略设置将会覆盖之前应用的设置,这意味着在设置互相冲突的情况下,最高级别的活动目录下组策略设置将会取得优先权,也就是说,最终的结果是,域中设置的策略将会覆盖本地策略。