■ 北京 許詠利

編者按：筆者在進(jìn)行企業(yè)網(wǎng)絡(luò)管理時發(fā)現(xiàn)有很多難以管理系統(tǒng)的情況，經(jīng)過實際摸索，解決了系統(tǒng)問題并提高了企業(yè)網(wǎng)絡(luò)管理能力。

現(xiàn)在面臨兩個問題：1.防止非管理員修改系統(tǒng)設(shè)置；2.禁止非允許的程序運行安裝和聯(lián)網(wǎng)。

筆者的有辦法是：使用Windows 多賬戶分級管理功能和本地安全策略中applocker、高級防火墻策略（第三方插件輔助）和純第三方USB 管控插件。以一臺新裝完Windows 系統(tǒng)的辦公電腦為例：

第一步：防止非管理員修改系統(tǒng)設(shè)置。開機(jī)進(jìn)內(nèi)置Ad 管理員賬戶，為使用電腦的員工新建來賓用戶，命令格式為：

新建一個名為officeus er 的賬戶，并將它歸入來賓組。

在計算機(jī)管理→本地用戶賬戶的圖形界面里設(shè)置其密碼”永不過期”。

注銷進(jìn)入新建的賬戶，大部分系統(tǒng)設(shè)置被固定無法修改：網(wǎng)卡休眠項直接消失，但網(wǎng)卡雙工模式和速度還能修改，設(shè)置不當(dāng)又會導(dǎo)致斷網(wǎng)?？磥碓O(shè)備管理器的根節(jié)點程序mmc.exe 必須禁用。

但來賓賬戶下無法禁止軟件的安裝。

特別注意的是：網(wǎng)管在內(nèi)置Ad 下，要正確的安裝軟件。因為軟件安裝路徑會影響到applocker 策略的部署。大型辦公軟件安裝在C:Program Files (x86) 下，但某些有寫入需要的軟件則應(yīng)該裝在C:userpublic (AppData) 目錄下，因為非管理員賬戶無權(quán)對Program Files(x86) 目錄進(jìn)行寫入操作，會造成軟件運行異常。而安裝在C:userpublic(AppData)目錄下通用性好，一次安裝各個賬戶都能使用(公用)，在目錄安全屬性中給officeuser 增加對其修改和寫入的權(quán)限也很順利。(如果想把軟件安裝到C:userofficeuser (AppData) 下還需要切換到officeuser 賬戶下操作，操作繁瑣)。

第二步：禁止非允許程序的運行。

回到內(nèi)置Ad 賬戶：運行→secpol.msc →應(yīng)用程序控制策略→applocker。下面至少有三個類型的規(guī)則，每個大項目下分別創(chuàng)建默認(rèn)規(guī)則并稍加修改來構(gòu)建我們自己的規(guī)則。

1.可執(zhí)行規(guī)則針對exe和com 文件

（1）ad 允許運行一切程序。(在三個類型下都有這一項，簡稱公共項)

（2）允許officeuser 運行位于Windows 文件夾中的所有應(yīng)用程序，但在Windows目錄內(nèi)例外拒絕以下“路徑名稱的程序”添加。如果你是用瀏覽文件按鈕來尋找程序，最后程序的路徑中會有系統(tǒng)變量出現(xiàn)，若直接復(fù)制程序絕對路徑和名稱，并確定，最后只顯示程序絕對路徑。Guests 對Windows 目錄無權(quán)寫入，改不了程序名稱，所以放心用路徑條件。

以下程序應(yīng)該被例外拒絕：計算機(jī)管理的根節(jié)點程序c:windowssystem32mmc.exe

注冊表編輯器c:windo ws egedit.exe 或regedt3 2.exe

命令行c:windowssyst em32cmd.exe 及c:window ssystem32 WindowsPowerS hell*

像mmc.exe 雖然在系統(tǒng)目錄中有多個，但只要添加完c:windowssystem32下這個后再添加其他不同路徑但同名的程序時系統(tǒng)會提示已重復(fù)。

（3）允許officeuser 運行位于程序文件，程序文件(x86)目錄下的程序。

（4）別忘了安裝在C:us erpublic (AppData) 下的殺軟程序，右擊空白處點新建規(guī)則：允許officeuser運行“數(shù)字簽名為騰訊并且產(chǎn)品名稱為電腦管家的程序”(騰訊電腦管家安裝目錄里有眾多exe 文件，好在它們有相同的產(chǎn)品名稱)。

具體操作是在新建規(guī)則中的權(quán)限那選發(fā)布者，點瀏覽選中電腦管家的主程序(QQPCTray.exe,) 把縱軸上的指針向上推到“產(chǎn)品名稱的位置”，指針下的兩項內(nèi)容都變成“*”。

當(dāng)然也有產(chǎn)品名是電腦管家權(quán)限雷達(dá)的，在多建一個規(guī)則就行。

在這個路徑下officeus er 已被授予寫入和修改權(quán)限(這些軟件運行需要寫入數(shù)據(jù)到它的安裝目錄)，用路徑名稱來控制已不安全：它可以先把合法程序放入回收站，再把非授權(quán)程序改為合法程序名，從而突破封鎖。而“發(fā)布者”則可以精準(zhǔn)檢查數(shù)字簽名、產(chǎn)品名稱、文件名和版本號。這樣更有效杜絕了非授權(quán)程序的運行。

2.Windows 安裝規(guī)則：只留公共項這一條。

3.腳本規(guī)則：只留公共項這一條。

4.Windows 10 中多了個封裝規(guī)則：也只留公共項。

5.啟用規(guī)則

右擊applocker →屬性→三個“已配置強制規(guī)則”都勾選，“確定”。

開啟相關(guān)服務(wù)：sc con fig AppIDSvc start= auto注意=與 auto 之間有一個空格，否則報錯。

sc start AppIDSvc

但到Windows 10 下就只能修改注冊表來更改服務(wù)的狀態(tài)：HK-LMsystemcurren tcontrolsetservicesAppIDSvc 找到右側(cè)start項，“=2”表示自動啟動，“3”手動啟動，“4”禁用停止，“0,1”無意義。

6.備份和部署規(guī)則

右擊applocker，導(dǎo)出策略，另存為擴(kuò)展名為XML 的文件。

備份完的策略導(dǎo)入到其它電腦后首先要修改各個規(guī)則所針對的用戶，改成新電腦上的來賓用戶和管理員。規(guī)則內(nèi)路徑項使用系統(tǒng)變量通用性就較強，使用絕對路徑的就要看看能否符合新電腦的實際情況了。

第三步：禁止非允許程序聯(lián)網(wǎng)（內(nèi)置Ad 下）：Windows 系統(tǒng)自帶防火墻( 簡稱wfw) 對非允許程序只禁止入站，而出站卻放行，存在隱患。所以我們使用一個第三方增強插件來提高它的安全性和易用性，插件名為”Malwarebytes Windows Firewall control6.1”，下文簡稱為“(wfw-c)”。

筆者用的是綠色版，存放在Windows 目錄下即可(特別提醒：applocker 可執(zhí)行規(guī)則中也要禁止officeuser運行這個插件，否則來賓用戶就能關(guān)閉防火墻。具體操作是在Windows 目錄中例外拒絕并且新建一條發(fā)布者的規(guī)則來拒絕其運行。)

wfw-c 設(shè)置項目全在左側(cè)的一豎列上。

配置文件項中過濾(阻止非允許程序的出站數(shù)據(jù))并勾選“自動還原為中過濾在一分鐘后”。

通知項選禁用。 選項下空置自動啟動，防止officeuser 修改防火墻設(shè)置。

規(guī)則項下選擇“同時創(chuàng)建出站和入站規(guī)則，以方便操作”。

最重要的是左下角的“管理防火墻規(guī)則”：在這里選擇“增加允許的程序”。這個功能的優(yōu)點是exe 文件和dll 文件都能支持，還能一次性多選。這點對網(wǎng)絡(luò)打印機(jī)驅(qū)動尤其重要，惠普網(wǎng)打驅(qū)動就全是dll 文件。

一部分網(wǎng)打驅(qū)動會安裝在C:Windowssystem32spoolDRIVERSx643 目錄下，全選并確定。

查找方法：設(shè)備和打印機(jī)→選中打印機(jī)→打印服務(wù)器→驅(qū)動→屬性。

還有一部分在C:Progr am Files (x86) 或Program Files 或ProgramData 這三個目錄下，在這三個目錄里找與打印機(jī)品牌名相同的子文件夾，其下也有exe 和dll文件，這些文件也要歸入“允許程序列表”中，這樣才能正常的打印和掃描。

第二部分具體位置可從網(wǎng)打驅(qū)動在桌面或開始→所有程序中新建快捷方式的屬性中找到線索。

接著用此功能給其他應(yīng)用軟件配置出入站的權(quán)力。只不過對應(yīng)用程序一般只添加其安裝目錄下的exe 文件即可(一定包含主程序exe文件)。dll 忽略不計，大量針對dll 的審核會嚴(yán)重影響速度。這點和applocker 是一樣的。應(yīng)用軟件的卸載，報錯，更新程序也可以考慮禁止其聯(lián)網(wǎng)。

瀏覽器插件也要重視，比如OA 網(wǎng)站的office 和flash 插件用友金蝶的JAVA插件和網(wǎng)銀插件以IE 為例→internet 選項→管理加載項→顯示所有加載項：右擊加載項詳細(xì)信息中會有路徑和文件名信息。

一般安裝在Windows 目錄的syswow64 或system32下或者C:program file(x8 6)下的某個目錄，有的還安裝在c:user 具體用戶名appdate下。

有時officeuser 還要訪問一些內(nèi)網(wǎng)的共享文件夾，共享打印機(jī)。需要接受網(wǎng)管的遠(yuǎn)程協(xié)助。這類系統(tǒng)功能首先要確保網(wǎng)卡屬性中勾選了“MS 網(wǎng)絡(luò)客戶端和MS 文件和打印機(jī)共享”。

其次在控制面板→Wind ows 防火墻→允許列表中勾選“文件和打印機(jī)共享、遠(yuǎn)程協(xié)助、遠(yuǎn)程桌面”這三項并且只勾選這三項下屬的公用位置（wfw 與wfw-c 兩者是雙向同步的）。然后在wfw-c 規(guī)則列表中刪除這三項“非公用位置”的條目。

最后配置的結(jié)果是wfw啟用，入站出站狀態(tài)都是“禁止非允許”網(wǎng)絡(luò)位置是公用。

該插件也支持配置后策略的導(dǎo)出，可以方便部署到其他電腦。

wfw-c 插件正常工作的基礎(chǔ)是其目錄下“wfcs.exe 文件運行后所生成的顯示名為Windows Firewall Control 的服務(wù)”。

網(wǎng)管在內(nèi)置Ad 下為方便調(diào)試時可禁用該服務(wù)來徹底關(guān)閉wfw-c 插件。

因為即使把它調(diào)為無過濾+取消自動還原，有時它還是會自動變?yōu)橹羞^濾，從而影響調(diào)試。

結(jié)束調(diào)試后再開啟該服務(wù)并重啟電腦即可。

另外，對于存有保密資料的電腦還可以使用“USB Flash Drives Control”對U 盤進(jìn)行限制(由usbc.exe和usbcs.exe 構(gòu)成，和wfw-c同屬一個開發(fā)商)。

它支持三種模式：

1.識別U 盤并讀取文件；

2.寫入數(shù)據(jù)到U 盤；

3.允許U 盤上的exe 文件被執(zhí)行。

這三種模式可以同時生效(不限制)，也可以只啟用你需要的功能。

該程序也應(yīng)禁止office user使用。（和wfw-c放一起，Windows 目錄例外拒絕-瀏覽文件夾）。

最后是加固和保護(hù)步驟：完成設(shè)置后再確認(rèn)一下內(nèi)置AD 有密碼保護(hù)，并且永不過期。

運行命令Start netpl wiz 設(shè)置兩個賬戶登錄時都必須輸入密碼才行。

然后運行系統(tǒng)還原制作還原點( 運行前請確認(rèn)Windows 更新服務(wù)已停禁，電腦管家自保護(hù)+自啟動都關(guān)閉，再右擊小圖標(biāo)退出電腦管家)。制作還原點成功之后禁用相關(guān)服務(wù)來防止該還原點被覆蓋。

還要清除“開機(jī)啟動順序菜單中的USB 選項”防止對win-Ad 密碼的破解，在BIOS 設(shè)置中找到USB 支持設(shè)為部分初始化(只認(rèn)鍵盤、鼠標(biāo)) 或?qū)SB Emulation改為disable 再設(shè)置一個BIOS-Ad 密碼，防止員工更改BIOS 選項，如果可能的話機(jī)箱加鎖防止摳電池。

至此使用logoff 命令注銷Ad，可以將電腦交給員工使用了。