全方位掌控Windows 7/10 系統(tǒng)

■ 北京 許詠利

編者按：筆者在進(jìn)行企業(yè)網(wǎng)絡(luò)管理時(shí)發(fā)現(xiàn)有很多難以管理系統(tǒng)的情況，經(jīng)過(guò)實(shí)際摸索，解決了系統(tǒng)問(wèn)題并提高了企業(yè)網(wǎng)絡(luò)管理能力。

現(xiàn)在面臨兩個(gè)問(wèn)題：1.防止非管理員修改系統(tǒng)設(shè)置；2.禁止非允許的程序運(yùn)行安裝和聯(lián)網(wǎng)。

筆者的有辦法是：使用Windows 多賬戶分級(jí)管理功能和本地安全策略中applocker、高級(jí)防火墻策略（第三方插件輔助）和純第三方USB 管控插件。以一臺(tái)新裝完Windows 系統(tǒng)的辦公電腦為例：

第一步：防止非管理員修改系統(tǒng)設(shè)置。開(kāi)機(jī)進(jìn)內(nèi)置Ad 管理員賬戶，為使用電腦的員工新建來(lái)賓用戶，命令格式為：

新建一個(gè)名為officeus er 的賬戶，并將它歸入來(lái)賓組。

在計(jì)算機(jī)管理→本地用戶賬戶的圖形界面里設(shè)置其密碼”永不過(guò)期”。

注銷(xiāo)進(jìn)入新建的賬戶，大部分系統(tǒng)設(shè)置被固定無(wú)法修改：網(wǎng)卡休眠項(xiàng)直接消失，但網(wǎng)卡雙工模式和速度還能修改，設(shè)置不當(dāng)又會(huì)導(dǎo)致斷網(wǎng)?？磥?lái)設(shè)備管理器的根節(jié)點(diǎn)程序mmc.exe 必須禁用。

但來(lái)賓賬戶下無(wú)法禁止軟件的安裝。

特別注意的是：網(wǎng)管在內(nèi)置Ad 下，要正確的安裝軟件。因?yàn)檐浖惭b路徑會(huì)影響到applocker 策略的部署。大型辦公軟件安裝在C:Program Files (x86) 下，但某些有寫(xiě)入需要的軟件則應(yīng)該裝在C:userpublic (AppData) 目錄下，因?yàn)榉枪芾韱T賬戶無(wú)權(quán)對(duì)Program Files(x86) 目錄進(jìn)行寫(xiě)入操作，會(huì)造成軟件運(yùn)行異常。而安裝在C:userpublic(AppData)目錄下通用性好，一次安裝各個(gè)賬戶都能使用(公用)，在目錄安全屬性中給officeuser 增加對(duì)其修改和寫(xiě)入的權(quán)限也很順利。(如果想把軟件安裝到C:userofficeuser (AppData) 下還需要切換到officeuser 賬戶下操作，操作繁瑣)。

第二步：禁止非允許程序的運(yùn)行。

回到內(nèi)置Ad 賬戶：運(yùn)行→secpol.msc →應(yīng)用程序控制策略→applocker。下面至少有三個(gè)類(lèi)型的規(guī)則，每個(gè)大項(xiàng)目下分別創(chuàng)建默認(rèn)規(guī)則并稍加修改來(lái)構(gòu)建我們自己的規(guī)則。

1.可執(zhí)行規(guī)則針對(duì)exe和com 文件

（1）ad 允許運(yùn)行一切程序。(在三個(gè)類(lèi)型下都有這一項(xiàng)，簡(jiǎn)稱公共項(xiàng))

（2）允許officeuser 運(yùn)行位于Windows 文件夾中的所有應(yīng)用程序，但在Windows目錄內(nèi)例外拒絕以下“路徑名稱的程序”添加。如果你是用瀏覽文件按鈕來(lái)尋找程序，最后程序的路徑中會(huì)有系統(tǒng)變量出現(xiàn)，若直接復(fù)制程序絕對(duì)路徑和名稱，并確定，最后只顯示程序絕對(duì)路徑。Guests 對(duì)Windows 目錄無(wú)權(quán)寫(xiě)入，改不了程序名稱，所以放心用路徑條件。

以下程序應(yīng)該被例外拒絕：計(jì)算機(jī)管理的根節(jié)點(diǎn)程序c:windowssystem32mmc.exe

注冊(cè)表編輯器c:windo ws egedit.exe 或regedt3 2.exe

命令行c:windowssyst em32cmd.exe 及c:window ssystem32 WindowsPowerS hell*

像mmc.exe 雖然在系統(tǒng)目錄中有多個(gè)，但只要添加完c:windowssystem32下這個(gè)后再添加其他不同路徑但同名的程序時(shí)系統(tǒng)會(huì)提示已重復(fù)。

（3）允許officeuser 運(yùn)行位于程序文件，程序文件(x86)目錄下的程序。

（4）別忘了安裝在C:us erpublic (AppData) 下的殺軟程序，右擊空白處點(diǎn)新建規(guī)則：允許officeuser運(yùn)行“數(shù)字簽名為騰訊并且產(chǎn)品名稱為電腦管家的程序”(騰訊電腦管家安裝目錄里有眾多exe 文件，好在它們有相同的產(chǎn)品名稱)。

具體操作是在新建規(guī)則中的權(quán)限那選發(fā)布者，點(diǎn)瀏覽選中電腦管家的主程序(QQPCTray.exe,) 把縱軸上的指針向上推到“產(chǎn)品名稱的位置”，指針下的兩項(xiàng)內(nèi)容都變成“*”。

當(dāng)然也有產(chǎn)品名是電腦管家權(quán)限雷達(dá)的，在多建一個(gè)規(guī)則就行。

在這個(gè)路徑下officeus er 已被授予寫(xiě)入和修改權(quán)限(這些軟件運(yùn)行需要寫(xiě)入數(shù)據(jù)到它的安裝目錄)，用路徑名稱來(lái)控制已不安全：它可以先把合法程序放入回收站，再把非授權(quán)程序改為合法程序名，從而突破封鎖。而“發(fā)布者”則可以精準(zhǔn)檢查數(shù)字簽名、產(chǎn)品名稱、文件名和版本號(hào)。這樣更有效杜絕了非授權(quán)程序的運(yùn)行。

2.Windows 安裝規(guī)則：只留公共項(xiàng)這一條。

3.腳本規(guī)則：只留公共項(xiàng)這一條。

4.Windows 10 中多了個(gè)封裝規(guī)則：也只留公共項(xiàng)。

5.啟用規(guī)則

右擊applocker →屬性→三個(gè)“已配置強(qiáng)制規(guī)則”都勾選，“確定”。

開(kāi)啟相關(guān)服務(wù)：sc con fig AppIDSvc start= auto注意=與 auto 之間有一個(gè)空格，否則報(bào)錯(cuò)。

sc start AppIDSvc

但到Windows 10 下就只能修改注冊(cè)表來(lái)更改服務(wù)的狀態(tài)：HK-LMsystemcurren tcontrolsetservicesAppIDSvc 找到右側(cè)start項(xiàng)，“=2”表示自動(dòng)啟動(dòng)，“3”手動(dòng)啟動(dòng)，“4”禁用停止，“0,1”無(wú)意義。

6.備份和部署規(guī)則

右擊applocker，導(dǎo)出策略，另存為擴(kuò)展名為XML 的文件。

備份完的策略導(dǎo)入到其它電腦后首先要修改各個(gè)規(guī)則所針對(duì)的用戶，改成新電腦上的來(lái)賓用戶和管理員。規(guī)則內(nèi)路徑項(xiàng)使用系統(tǒng)變量通用性就較強(qiáng)，使用絕對(duì)路徑的就要看看能否符合新電腦的實(shí)際情況了。

第三步：禁止非允許程序聯(lián)網(wǎng)（內(nèi)置Ad 下）：Windows 系統(tǒng)自帶防火墻( 簡(jiǎn)稱wfw) 對(duì)非允許程序只禁止入站，而出站卻放行，存在隱患。所以我們使用一個(gè)第三方增強(qiáng)插件來(lái)提高它的安全性和易用性，插件名為”Malwarebytes Windows Firewall control6.1”，下文簡(jiǎn)稱為“(wfw-c)”。

筆者用的是綠色版，存放在Windows 目錄下即可(特別提醒：applocker 可執(zhí)行規(guī)則中也要禁止officeuser運(yùn)行這個(gè)插件，否則來(lái)賓用戶就能關(guān)閉防火墻。具體操作是在Windows 目錄中例外拒絕并且新建一條發(fā)布者的規(guī)則來(lái)拒絕其運(yùn)行。)

wfw-c 設(shè)置項(xiàng)目全在左側(cè)的一豎列上。

配置文件項(xiàng)中過(guò)濾(阻止非允許程序的出站數(shù)據(jù))并勾選“自動(dòng)還原為中過(guò)濾在一分鐘后”。

通知項(xiàng)選禁用。 選項(xiàng)下空置自動(dòng)啟動(dòng)，防止officeuser 修改防火墻設(shè)置。

規(guī)則項(xiàng)下選擇“同時(shí)創(chuàng)建出站和入站規(guī)則，以方便操作”。

最重要的是左下角的“管理防火墻規(guī)則”：在這里選擇“增加允許的程序”。這個(gè)功能的優(yōu)點(diǎn)是exe 文件和dll 文件都能支持，還能一次性多選。這點(diǎn)對(duì)網(wǎng)絡(luò)打印機(jī)驅(qū)動(dòng)尤其重要，惠普網(wǎng)打驅(qū)動(dòng)就全是dll 文件。

一部分網(wǎng)打驅(qū)動(dòng)會(huì)安裝在C:Windowssystem32spoolDRIVERSx643 目錄下，全選并確定。

查找方法：設(shè)備和打印機(jī)→選中打印機(jī)→打印服務(wù)器→驅(qū)動(dòng)→屬性。

還有一部分在C:Progr am Files (x86) 或Program Files 或ProgramData 這三個(gè)目錄下，在這三個(gè)目錄里找與打印機(jī)品牌名相同的子文件夾，其下也有exe 和dll文件，這些文件也要?dú)w入“允許程序列表”中，這樣才能正常的打印和掃描。

第二部分具體位置可從網(wǎng)打驅(qū)動(dòng)在桌面或開(kāi)始→所有程序中新建快捷方式的屬性中找到線索。

接著用此功能給其他應(yīng)用軟件配置出入站的權(quán)力。只不過(guò)對(duì)應(yīng)用程序一般只添加其安裝目錄下的exe 文件即可(一定包含主程序exe文件)。dll 忽略不計(jì)，大量針對(duì)dll 的審核會(huì)嚴(yán)重影響速度。這點(diǎn)和applocker 是一樣的。應(yīng)用軟件的卸載，報(bào)錯(cuò)，更新程序也可以考慮禁止其聯(lián)網(wǎng)。

瀏覽器插件也要重視，比如OA 網(wǎng)站的office 和flash 插件用友金蝶的JAVA插件和網(wǎng)銀插件以IE 為例→internet 選項(xiàng)→管理加載項(xiàng)→顯示所有加載項(xiàng)：右擊加載項(xiàng)詳細(xì)信息中會(huì)有路徑和文件名信息。

一般安裝在Windows 目錄的syswow64 或system32下或者C:program file(x8 6)下的某個(gè)目錄，有的還安裝在c:user 具體用戶名appdate下。

有時(shí)officeuser 還要訪問(wèn)一些內(nèi)網(wǎng)的共享文件夾，共享打印機(jī)。需要接受網(wǎng)管的遠(yuǎn)程協(xié)助。這類(lèi)系統(tǒng)功能首先要確保網(wǎng)卡屬性中勾選了“MS 網(wǎng)絡(luò)客戶端和MS 文件和打印機(jī)共享”。

其次在控制面板→Wind ows 防火墻→允許列表中勾選“文件和打印機(jī)共享、遠(yuǎn)程協(xié)助、遠(yuǎn)程桌面”這三項(xiàng)并且只勾選這三項(xiàng)下屬的公用位置（wfw 與wfw-c 兩者是雙向同步的）。然后在wfw-c 規(guī)則列表中刪除這三項(xiàng)“非公用位置”的條目。

最后配置的結(jié)果是wfw啟用，入站出站狀態(tài)都是“禁止非允許”網(wǎng)絡(luò)位置是公用。

該插件也支持配置后策略的導(dǎo)出，可以方便部署到其他電腦。

wfw-c 插件正常工作的基礎(chǔ)是其目錄下“wfcs.exe 文件運(yùn)行后所生成的顯示名為Windows Firewall Control 的服務(wù)”。

網(wǎng)管在內(nèi)置Ad 下為方便調(diào)試時(shí)可禁用該服務(wù)來(lái)徹底關(guān)閉wfw-c 插件。

因?yàn)榧词拱阉{(diào)為無(wú)過(guò)濾+取消自動(dòng)還原，有時(shí)它還是會(huì)自動(dòng)變?yōu)橹羞^(guò)濾，從而影響調(diào)試。

結(jié)束調(diào)試后再開(kāi)啟該服務(wù)并重啟電腦即可。

另外，對(duì)于存有保密資料的電腦還可以使用“USB Flash Drives Control”對(duì)U 盤(pán)進(jìn)行限制(由usbc.exe和usbcs.exe 構(gòu)成，和wfw-c同屬一個(gè)開(kāi)發(fā)商)。

它支持三種模式：

1.識(shí)別U 盤(pán)并讀取文件；

2.寫(xiě)入數(shù)據(jù)到U 盤(pán)；

3.允許U 盤(pán)上的exe 文件被執(zhí)行。

這三種模式可以同時(shí)生效(不限制)，也可以只啟用你需要的功能。

該程序也應(yīng)禁止office user使用。（和wfw-c放一起，Windows 目錄例外拒絕-瀏覽文件夾）。

最后是加固和保護(hù)步驟：完成設(shè)置后再確認(rèn)一下內(nèi)置AD 有密碼保護(hù)，并且永不過(guò)期。

運(yùn)行命令Start netpl wiz 設(shè)置兩個(gè)賬戶登錄時(shí)都必須輸入密碼才行。

然后運(yùn)行系統(tǒng)還原制作還原點(diǎn)( 運(yùn)行前請(qǐng)確認(rèn)Windows 更新服務(wù)已停禁，電腦管家自保護(hù)+自啟動(dòng)都關(guān)閉，再右擊小圖標(biāo)退出電腦管家)。制作還原點(diǎn)成功之后禁用相關(guān)服務(wù)來(lái)防止該還原點(diǎn)被覆蓋。

還要清除“開(kāi)機(jī)啟動(dòng)順序菜單中的USB 選項(xiàng)”防止對(duì)win-Ad 密碼的破解，在BIOS 設(shè)置中找到USB 支持設(shè)為部分初始化(只認(rèn)鍵盤(pán)、鼠標(biāo)) 或?qū)SB Emulation改為disable 再設(shè)置一個(gè)BIOS-Ad 密碼，防止員工更改BIOS 選項(xiàng)，如果可能的話機(jī)箱加鎖防止摳電池。

至此使用logoff 命令注銷(xiāo)Ad，可以將電腦交給員工使用了。