科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道Windows Vista新增组策略详解

Windows Vista新增组策略详解

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

从Windows 2000开始,组策略就是配置Windows的有效工具。其实严格说起来,组策略编辑器中的大部分配置都可以直接修改注册表实现,不过很明显,通过组策略编辑器进行修改,更加直观,而且也不容易出错。

作者:zdnet安全频道 来源:论坛整理 2008年8月14日

关键字: 组策略 Vista Windows Vista

  • 评论
  • 分享微博
  • 分享邮件

  从Windows 2000开始,组策略就是配置Windows的有效工具。其实严格说起来,组策略编辑器中的大部分配置都可以直接修改注册表实现,不过很明显,通过组策略编辑器进行修改,更加直观,而且也不容易出错。

  因此很多Windows用户都已经习惯了使用组策略对Windows的一些高级设置进行配置。

  Windows Vista中新增了大量新的功能,同时组策略编辑器中也包含了更多内容。想知道这些新增的内容对我们有什么用吗?一起来看看吧。

  提示:下文是以测试版的Windows Vista RC2 Ultimate为基础撰写的,因此和正式版中可能会有所不同。另外,Vista的家庭版没有组策略编辑器功能。

  控制硬件设备的安装

  这是一个很吸引人的功能。现在很多公司都不希望员工使用闪存盘或者MP3随身听之类可以通过计

  算机的USB接口传输文件的设备,因为这很容易导致公司的机密数据丢失。传统的预防办法最常见就是将计算机上的USB接口堵死,但这种“硬”方法也造成了一些问题,导致其他使用USB接口的设备,例如键盘和鼠标都无法使用。那么有没有不那么 “强硬”的方法?这时候可以考虑使用Windows Vista的组策略了。  

  通过组策略实现的目标

  通过Windows Vista的组策略,对硬件设备的安装将可以达到下列限制:

  ● 只有指定类型的设备可以安装,其他未指定设备一律无法安装。

  ● 只有指定的具体硬件可以安装,其他未指定的硬件一律无法安装。

  ● 所有可移动设备都无法安装。

  ● 对于某些设备,限制用户的读取或者写入操作。  

  实现思路

  如何限制对硬件的使用?Vista中使用两种方式:硬件类型(device class)和硬件ID(device ID)。

  ● 硬件类型(device class):简单来说,就是用于描述设备用途的一个名称,例如所有的闪存盘,不管是A品牌的还是B品牌的,不管是USB 1.1标准的还是2.0的,只要是闪存盘,那就具有统一的硬件类型。

  ● 硬件ID(device ID):用于描述具体硬件的一个代号。同样的硬件,例如同一个品牌和型号,同一个生产批次的两个硬件产品,都会有不同的硬件ID。

  也就是说,如果通过硬件类型来指定禁止安装的设备,例如使用闪存盘的硬件类型进行限制,那么不管是什么品牌或者参数的闪存盘,只要是闪存盘,都将无法被安装。但使用硬件ID进行限制就不同了,例如有两块同品牌同型号的闪存盘(硬件ID绝对是不同的),那么我们可以限制只允许使用其中的一个,而不许使用另一个。  

  具体操作

  为了更好地说明该功能的使用方法,下文将会使用一个魅族的MiniPlayer播放器来介绍如何禁止这个特定的播放器被使用,或者如何禁止所有类似产品被使用。

  

  

  获取设备类型或者硬件ID。

  将希望禁止使用的设备连接到计算机,并等待安装完成。打开“开始”菜单,在搜索框中输入“devmgmt.msc”并回车,打开设备管理器。从设备列表中找到想要禁止使用的设备,双击打开其“属性”对话框。

  打开“属性”对话框的“Details(详细信息)”选项卡,将能看到如图1的界面。在Property(属性)下拉菜单中分别选择Device Class guid(设备类GUID)和Hardware ids(硬件ID)后,就可以看到该设备的这两个属性值。在下方显示的值上单击鼠标右键就可以将内容复制出来。

  通过这样的方法获取想要禁止使用的设备的类或者硬件ID,然后继续下面的操作。

  

  

  

  找到所需的组策略

  打开开始菜单,在搜索框中输入“gpedit.msc”并回车,打开“组策略编辑器”窗口。在左侧的树形图中定位到“Computer Configuration-Administrative Templates-System-Device Installation-Device Installation Restrictions(计算机配置-管理模板-系统-硬件安装-硬件安装限制)”,在右侧的面板中可以看到九个策略,就是用这九个策略进行限制的(如图2)。

  实现限制

  上文已经提到了,我们希望禁止手头这个Miniplayer播放器的使用,或者禁止所有这类设备使用,那么就可以这样做:

  如果希望禁止这个播放器的使用,首先从设备管理器中找到该设备的硬件ID,然后双击“Prevent installation of devices that match any of these device IDs”这条策略(如图3),选择“Enabled”选项,然后单击“Show(显示)”按钮,在随后出现的窗口中单击“Add(添加)”按钮,将硬件ID复制进去,并单击“OK”按钮关闭所有打开的对话框。

  

  

  如果希望禁止所有这类播放器设备,则需要从设备管理器中找到硬件类型的GUID,然后双击“Prevent installation of devices using drivers that match these device setup classes”这条策略,按照同样的方法将设备类型的GUID添加进去(如图4)。注意:设备类型在资源管理器中有两种表达形式:Device class(可以类比为人的名字)和Device class guid(可以类比为人的身份证号码),这里必须使用GUID来指定,而不能使用设备类的名称来指定。

  

  

  

  

  提示:如果为了查看硬件设备的类或者ID,已经将设备安装到系统中了,为了取得更好的限制效果,最好在看到想要的信息后将设备从设备管理器中彻底删除。

  验证一下成果吧。经过上面的设置,再次将该设备连接到计算机后,稍等片刻,就会看到如图5的气球图标和对话框。这证明我们的设置已经起作用了。

  

  

  除了限制对硬件的安装,通过组策略还可以限制对已安装的可移动存储设备的访问。

  还是在组策略编辑器中,通过左侧的树形图定位到“Computer Configuration-Administrative Templates-System-Removable Storage Access(计算机配置-管理模板-系统-可移动存储设备访问)”,在右侧可以看到15条策略(如图6)。

  策略虽然很多,不过理解起来却很简单。总结来说,这些策略可以分别对下列设备限制读取或者写入的访问:

  ● CD and DVD:CD或DVD光驱,包含只读光驱和刻录机;

  ● Custom classes:自定义的设备,虽然可以自定义,但仅限可移动存储设备;

  ● Floppy Drivers:软驱;

  ● Removable Disks:移动硬盘;

  ● Tape Drivers:磁带驱动器;

  ● WPD Devices:Windowsportable devices设备,泛指运行了Windows操作系统的所有便携设备。

  对于限定的设备,例如光驱或者移动硬盘,我们只要启用相应的策略就可以限制对该设备的读取或者写入;对于需要指定设备的策略,例如自定义设备,则需要按照上文的方法添加设备类GUID。这里的设置需要重启动系统后才可以生效。

  使用QoS限制软件对带宽的占用

  Windows XP中就包含了对QoS(Quality of Service,网络服务质量)的支持,不过该功能在Windows Vista之前的操作系统中并没有太多应用,以至于很多人以为在Windows XP中禁用QoS可以提高网速。现在已经没人相信这种无根据的观点了,不过在Vista中,我们已经可以通过QoS对应用程序的出站连接进行限制(注意:仅限出站连接)。  

  通过组策略实现的目标

  通过组策略配置QoS,我们可以实现下列目标:

  ● 对不同类型的应用程序设定不同的优先级,这样对网络带宽需求比较大的应用程序(例如进行网络音频或者视频交流的Windows Live Messenger或其他VoIP软件)就可以获得较高优先级,而对网络带宽占用需求不那么高的应用程序(例如浏览网页用的InternetExplorer)则获得较低的优先级。系统和路由器或者其他网络设备将会根据优先级的不同区别对待来自不同应用程序的数据包。

  ● 对不同类型的应用程序设定不同的网络带宽限制,这样对传输数据所需时间不敏感的应用程序(例如P2P下载软件)就可以使用有限的网络带宽,而把绝大部分网络带宽留给急需通过网络上传数据的应用程序。  

  需要注意的一点是,通过QoS进行的设置并非固定不变的。例如,如果设置了程序A具有较低的QoS优先级,但是当前并没有其他优先级更高的程序访问网络,那么A程序就会使用全部的网络带宽;如果优先级高于A的程序B需要使用网络,那么程序A就会自动为程序B让路。

  另外,QoS的实现是需要多种设备配合的,不仅操作系统,其他网络设备也必须支持QoS才可以。例如,给不同程序设置了不同的网络优先级,那么该程序发出的数据包中就会包含DSCP(Differentiated Services Code Point,差分服务代码点)信息,用于标示该数据包的优先级。那么只有路由器或其他网络设备支持QoS,才能理解DSCP信息的含义,并做出相应的处理。

  实现思路

  QoS可以根据下列条件进行设置:

  ● 需要通过网络发送信息的应用程序

  ● Ipv4或Ipv6协议的来源或目标

  ● 协议类型:TCP或UDP

  ● 来源或目标端口

  也就是说,我们可以针对某个具体的应用程序进行限制,或者对发往某个特定地址或端口的网络连接进行限制。

  在优先级限制方面,QoS使用了给网络数据包中添加DSCP信息的方式标示不同数据包的优先级。根据规定,DSCP有从0到63,一共64个不同的优先级等级,数字越大相应的优先级就越高。默认情况下,所有程序都会使用33这个优先级。

  同样让我们以一个例子介绍QoS的操作。假设我们需要让WindowsLive Messenger发出的数据包具有较高的优先级,而InternetExplorer发出的数据包优先级较低,则可以这样操作:

  找到所需的策略。

  打开“开始”菜单,在搜索框中输入“gpedit.msc”并回车,打开组策略编辑器。在组策略编辑器窗口左侧的树形图中定位到“Computer Configuration-Windows Settings-Policy - based QoS(计算机配置-Windows设置-基于策略的QoS)”。

  

  

  给Windows Live Messenger设置较高的优先级

  在组策略编辑器窗口左侧的树形图中用鼠标右键单击“Policy - based QoS”,从右键菜单中选择“Create new policy(新建策略)”。随后将能看到如图7的对话框,“Policy name(策略名称)”一栏可以输入自己想要使用的任何名称,然后在“Specify DSCP Value(指定DSCP值)”一栏中为该程序指定一个优先级数值。这里需要注意,可用的数值包括从0到63的任何数字,高于32的将会提高优先级,低于32的则会降低优先级。如果同时希望限制允许该程序使用的网络带宽,则可以选中“Specify Throttle Rate(指定限制速度)”选项,然后设定一个速度。设置好之后单击“Next”。

  

  

  随后可以看到如图8的界面,在这里可以决定这条策略的应用对象。因为是针对Windows Live Messenger的,因此选择“Only applications with this executable name(可执行文件包含下列名称的应用程序)”选项,然后输入“msnmsgr.exe”。完成之后继续单击“Next”。

  

  

  接下来可以看到类似图9的界面,在这里可以设置这条策略应用的范围。因为我们的目的是对Windows Live Messenger的所有访问连接都进行限制,因此可以保持默认设置,继续单击“Next”。如果只希望对某个作为来源的地址的访问进行限制,可以选择“Only for the following source IP address or prefix(仅针对使用下列地址或前缀的来源IP)”选项,并指定来源;如果希望对某个作为目标的地址的访问进行限制,则可以选择“Only for the following destination IP address or prefix(仅针对使用下列地址或前缀的目标IP)”选项,并指定目标。

  

  

  

  然后是设定协议和端口号的界面(如图10)。同样,因为我们希望对所有访问都进行限制,因此可以保持默认设置。否则可以选择该策略应用的协议(TCP、UDP,或者两者兼有)以及来源或目标的端口号。单击“Finish”按钮。

  至此关于Windows Live Messenger的设置就都已经完成了,我们还需要通过一条策略给IE设置一个较低的优先级。具体方法和上面的操作类似,只不过需要在如图7的界面上指定一个较小的DSCP值。其实只要小于之前给Windows Live Messenger设置的DSCP就可以了,而且也可以不用设置,因为默认情况下所有程序的DSCP都是32,Windows Live Messenger经过设置已经高于32了。

  Internet Explorer 7是Windows Vista中一个很重要的应用程序,和老版本的IE相比,这个版本增加了很多新功能。不过这其中大部分功能并不能通过IE自身的选项进行设置,而是隐藏在了组策略中。通过组策略,我们可以设置大量IE的隐藏选项。

  

  

  打开“开始”菜单,在搜索框中输入“gpedit.msc”并回车,打开组策略编辑器。在组策略编辑器窗口左侧的树形图中展开到“Computer Configuration-Administrative Templates-Windows Components-Internet Explorer(计算机配置-管理模板-Windows组件-Internet Explorer)”,就可以在窗口右侧的面板中看到大量和IE有关的策略(如图11)。

  

  

  下面我们列举一些实例来介绍如何通过组策略设置IE 7。  

  更改Agent ID

  在访问一些网站的时候,你可能会看到网页上显示了你的操作系统和浏览器的版本,想知道这是怎么实现的吗?其实当我们用网页浏览器浏览网页的时候,在发出请求时,浏览器发出的请求中就会包含这些信息,这叫做Agent ID。

  现在的问题是,有些网站因为各种原因会对访客的浏览器版本进行限制。例如,有些网站只允许IE 6访问,有些网站只允许Opera访问。遇到这些站点,而你又不想换或者不能换浏览器,该怎么办?

  IE 7就可以通过组策略自定义浏览器发出的Agent ID。双击“Customize User Agent String(自定义客户端Agent字符串)”策略,选择“Enabled”然后输入新的Agent ID即可。例如,如果希望网站以为自己正在使用IE 6,就可以输入“MSIE 6.0”;如果希望网站以为自己正在使用Opera,则可以输入“Opera/9.00”。关于不同版本浏览器在不同操作系统上显示的Agent ID,可以在这里查到:http://tinyurl.com/nuld8 。

  

  禁止“修复设置”提醒

  在IE 7中,当我们对浏览器的默认设置进行更改,降低了浏览器的安全性后,IE 7会用信息栏提示我们,并提供了一个“修复设置”的选项,点击后即可恢复默认的安全设置(如图12)。这是一个很好的功能,可以避免我们因为错误的设置导致出现安全问题。不过有时候因为某些原因,我们必须降低IE 7的安全设置,这时候IE 7的提醒就显得有些多余了。

  双击“Prevent “Fix settings” functionality(禁止修复设置功能)”,然后将其启用即可。

  我们都知道,以“https”开头的URL表明该页面是被SSL加密的,这种页面比未加密的更加安全。不过在访问SSL加密页面的时候我们可能会忽略一点,如果伪造的网站也使用自己的证书加密伪造网页,我们怎么知道自己访问的加密站点是不是伪造的?

  

  

  

  在IE 7中,当我们访问的SSL网站所用的加密证书不是由受信任的机构所颁发的(其实在服务器上自己给自己颁发证书是很容易的),那么IE将会显示如图13的界面,提醒我们注意该站点,只有单击“Continue to this website(继续访问该站点)”后才可以访问。这个功能留下了相当的余地,就算一个站点有问题,大家仍然可以访问,这显然不是我们希望看到的。

  双击“InternetControl Panel\Prevent ignoring certificate errors(Internet控制面板\禁止证书错误)”策略,如果将其启用,那么再遇到证书有问题的站点,就不会出现“Continue to this website”的选项,彻底禁止了对这种站点的访问,提高了安全性。  

  总结

  Windows Vista中新增的策略已经超过了千条,限于篇幅这里不可能一一介绍。如果你已经用上了Windows Vista,那就快打开组策略编辑器看看吧,也许你一直希望Windows能够实现的某些设置现在已经出现在组策略中了。通过配置组策略,我们的电脑就可以与众不同。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章