扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作为网管,在日常工作中的主要任务就是要维护网络的安全运行。安全不仅是安装防火墙和杀毒软件,更重要的是对网络中的重要数据进行保护。
在几年前的“软盘时代”,为保证局域网内部的资料不泄密,一般要求局域网内的大部分电脑不得安装软驱,需要对外传递资料时则固定在网络管理部门的部分电脑上进行拷盘。如今,各种各样的USB设备层出不穷,操作系统也都升级到了Windows 2000/XP,USB接口也前置了,资料的传递变得轻而易举,网管的压力也随之变大。网络中的各种资料随时都有失窃的可能,网管不可能监控住一、两百台电脑。
为了保证内部数据的安全,必须要从管理和技术两方面同时着手,一方面尽量避免将重要数据存放在公共空间,所有共享目录设置访问密码;另一方面就是采用最直接的手段——禁用USB端口。
直接禁用USB端口
禁用USB端口的常用方法一般是在BIOS中屏蔽掉USB端口,可以在BIOS里设置Advance Chip Setting,关闭USB ON Board。但是这种方法的安全性不高,稍微有点电脑知识的人都知道诸如放电、Debug等方法可以破解BIOS密码,何况还有许多查看BIOS密码的软件。
经过查询微软的知识库得知,在Windows XP下禁用USB端口有两种方案:
1.如果计算机上尚未安装 USB 存储设备,向用户或组分配对%SystemRoot%\Inf\Usbstor.pnf 和%SystemRoot%\Inf\Usbstor.inf两个文件的“拒绝”权限,这样,用户将无法在计算机上安装 USB 存储设备(如图1)。
2.如果计算机上已经安装过 USB 存储设备,请将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor注册表项中的“Start”值设置为 4(如图2)
禁止修改注册表
既然修改注册表可以禁用USB端口,那么为防止用户自行将注册表重新改回,可以考虑通过组策略来限制用户使用注册表编辑器。点击“开始→运行”,输入gpedit.msc 并确定,即可运行程序。在组策略控制台中,选择“本地计算机”策略→用户配置→系统,启用“禁用注册表编辑工具”项,该策略是禁止用户使用 Windows 注册表编辑器 Regedt32.exe 及 Regedit.exe,管理员用户也不例外(如图4)。
启用该策略后,运行regedit命令时,将出现“注册表被禁用”的提示(如图5)。
但是禁用注册表并不能高枕无忧,因为用注册表导入的方法仍然可以直接修改注册表。
新建一个名为usb.reg的文本文件,输入以下内容:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\USBSTOR]
"Start"=dword:00000003
双击该文件,将信息添加至注册表中,即可恢复使用USB设备。
要想连这种方法都禁掉,只有通过用户权限来实现了。新建一个用户User,隶属于USER组,User用户是没有权利修改注册表的,这样,以User用户登录后,即便有以上的usb.reg文件,添加至注册表时也将被拒绝。
组策略详解
组策略就是修改注册表中的配置,组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,比手工修改注册表方便、灵活,功能也更加强大。组策略中的设置都将在注册表中反映,每个设置都对应注册表中的某一项。
由此我们可以得到一种启示,组策略既然设置了注册表,那么如果我们直接更改或删除组策略所产生的注册表项,会不会使组策略失效呢?答案是肯定的。那么怎样知道组策略是修改了注册表中的哪一项?
秘密就在于%SystemRoot%\system32\ GroupPolicy\User\Registry.pol文件,Registry.pol文件记载了组策略设置的注册表项,该文件可以用类似UltraEdit32之类的文本编辑器进行查看,在Hex(十六进制)模式下查看,可以看见文件。文件看起来有点乱,中间间隔了很多空格。不过还是可以看出来[Software\Microsoft\Windows\CurrentVersion\Policies\System]分支下DisableRegistryTools项就是禁止编辑注册表的,[Software\Policies\Microsoft\Windows\System]分支下DisableCMD项就是用来禁用命令行的。而在注册表中一般数值为“0”的项意指“否”,这样就很清楚了。
组策略被禁用的解决办法
组策略中有两个比较有用的选项:只运行许可的Windows应用程序和不要运行指定的Windows应用程序。比如说可以用来让公司的电脑只能运行Photoshop、Word等软件,而不能运行QQ、CS等。
经过一番试验,找到了解决注册表被禁用的解决办法:重新启动计算机,按下F8键,在Windows高级选项菜单里选择“带命令行提示的安全模式”,进入安全模式后,出现提示“命令行被禁用”,按下“Ctrl+Alt+Del”组合键,选择“任务管理器”,键入MMC。
打开控制台窗口,单击“文件→添加/删除管理单元”,在“独立”选项卡中单击“添加”按钮。
选择“组策略”管理单元,单击“添加”按钮,组策略对象的缺省选择为“本地计算机”。单击“完成”,随即出现了熟悉的组策略编辑窗口。这样,接下来要做的就是将启用的策略改为“未被配置”即可。
使用上面的方法打开的组策略对象就是当前的计算机,而如果需要配置其他的计算机组策略对象的话,则需要将组策略作为独立的控制台管理程序来打开,具体操作是:
1.启动故障计算机至登录状态。
2.登录到网络中的另外一台Windows 2000或Windows XP的计算机上,在命令行模式下运行net use \\computername /user:administrator password(请使用正确的参变量值替代其中的computername、password),例如net use \\192.168.0.30 /user:administrator 12345。
3.键入mmc,基本操作参照上文,在“选择组策略对象”时通过单击“浏览”查找所需的组策略对象。选择计算机时可键入计算机名或直接输入IP地址。
小结
灵活运用组策略的各种设置,可以为网管工作提供很多便利,例如禁用USB端口,禁止运行和工作无关的软件,禁止修改注册表等。而且在域环境下,可以直接在服务器上针对不同的OU设置各自的组策略,这样用户登录到服务器时,相应的设置就可以生效,避免了网管要在每台电脑上设置的麻烦。建议对于每台电脑Administrator用户密码要由网管统一掌握,必要时可通过网管电脑使用net use命令查看和更改用户电脑上的策略配置情况。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
去集群 更超群——大容量网络演进之路
2019 IBM 中国论坛
H3C 2019 Navigate 领航者峰会
助推数据中心网络现代化转型 打造灵活可靠基础架构平台