一、前言
第一次写博客,内容上有问题的地方或格式上有改进的地方还请多多指教。自己也只是刚工作半年的应届生,做的是服务器和网络运维工作,没有接触过开发也没有这方面的知识,希望能把遇到的案例记录下来和大家分享探讨一下,文中也有许多内容是看了各中大佬的文章才有所了解的,我是一只刚起步的菜鸟,文笔和知识都十分欠缺,还请多多包涵!
域控的必要性及常用策略
域控应该实现以下几个管理需求:
1.取消用户对电脑的管理员权限,限制了很多功能包括注册表、组策略、系统设置、软件安装等,在企业中取消电脑用户的管理员权限很大程度上能限制用户的私自下载、安装和其它风险隐患,这一点也基本上满足了90%的管理需求。
2.通过组策略限制个别软件的使用,或只开放个别软件的使用,比如经常出现在电脑上的垃圾软件或流氓软件。
3.域控可以结合其他第三方管理软件达到更高的管理需求,比如网络管理,与加密系统或OA系统等等第三方应用实现集成登录(这个我也只是在网上看到过此类方法)
4.通过组策略可以实现服务端管理策略下方,通过网络批量更新所有客户机。
再提一点,也是我深有感悟的一点,那就是“软件限制都要从根源上去解决,控制安装权限+行政制度~不要找这些问题多多的方案来解决!”做运维管理要想着在满足“客户”需求的同时也要方便自己,不要徒增自己的工作量,要学会“偷懒”!
二、禁止域用户安装软件的思路
1.域用户属于本地user用户组,是没有软件安装权限的。
特殊情况:有些软件把安装路径修改一下照样能够安装,原因是user组对program files文件夹没有写权限。
2.关闭install服务,这个方法只能限制msi格式软件包的安装,其它格式的软件包不生效。
3.锁定注册表(最好不要用!!!),因为某些安装好的软件在运行时也需要修改注册表,慎重使用!
4.修改组策略(此方法较为繁琐)
4.1)运行gpedit.msc
4.2)在“本地计算机策略”,依次展开“用户配置—管理模块—系统”
4.3)此时右侧栏目内出现配置项列表,修改“不要运行指定的Windows程序”或“只运行指定的Windows程序”,默认“未被配置”双击即可修改。
4.4)如果要禁用程序时,可以启用“不要运行指定的Windows程序”,在进程列表中输入程序的进程名。其它类似,可以在任务管理器中查找应用程序的进程名,并添加到组策略予以限制。
4.5)若再限制严格些,可使用“只运行指定的windows程序”,就可以把非法程序全部禁用。
5.再林域中创建GPO,依次展开是“用户配置—策略—Windows设置—安全设置—软件限制策略”
5.1)在其它规则中新建证书规则或哈希规则来限制软件的安装运行。
5.2)具体操作方法详见如下。
三、软件限制策略——证书规则
条件准备
测试环境:Vmware Workstation 11.0
测试系统:Windows Server 2008 R2 x64 SP1
1.在虚拟机中安装部署win server 2008 r2,账号administrator,密码***
2.给虚拟服务器主机加域(xyz.xxx.com)
3.创建测试组织单位test,测试用户test01;test下创建测试组织单位a,测试用户test02。
4.将test02加入administrator组,用户在本地登录测试。
----------------------------------------------------------------------------------------------------------------------------
1.测试证书规则限制软件安装和运行(证书规则可能会对计算机的性能造成影响)
1.1 运行mmc管理台,添加“组策略”控制单元
2.在 test/a 下创建GPO链接
3.在用户配置/策略/Windows设置/安全设置/软件限制策略/其它规则中新建证书规则
4.证书添加方法:右键安装程序选择数字签名/详细信息/查看证书/详细信息,点击使用者,导出证书文件。导出过程不赘述,下一步即可。
5.在组策略中添加导出的证书,安全级别分两种(不允许和不受限),应用之后在cmd中输入gpupdate /force立即生效组策略(客户端需要操作这一步,服务端要不要忘记掉了)
6.随后登录test02测试用户,检验软件是否能安装。
问题点:
随着版本的更新,证书会改变,本次测试选取的版本时间跨度较大,不能确定每个软件的证书版本多久更新一次。在维护管理的过程中主要有2个问题点:
1.需要定期检查维护证书版本,证书更新后需添加新的证书
2.因为网络软件种类太多,版本太多,要针对每一个用户随意下载软件或因缺乏电脑知识导致在软件自动更新时安装捆绑软件等规定外的应用程序,工作量很大。
四、软件限制策略—哈希规则
测试软件:WeChat
1.导出应用程序的哈希值
2.复制"目标"内容
**test02用户测试:**必须以管理员身份运行的安装程序不受限制
1.更新策略
2.