实战 | 面向PC机的安全管理实施经验
欢迎金融科技工作者积极投稿!
投稿邮箱:newmedia@fcmag.com.cn
——金融电子化
文 / 华夏银行青岛分行 王坤
对于金融行业办公PC来讲,私自安装应用软件和留存办公资料是终端管理的一个难点,也是一个痛点,本文将详细介绍一个直接有效的管理策略。
禁止用户私自安装应用软件
私自安装应用软件,可能会导致安装一些非正版化的软件或是与工作无关的各种软件。其中软件正版化作为一种常态化的工作,也是知识产权保护工作里面的一项重点工作,对于振兴软件产业、提高知识产权管理水平、政府依法执法、履行国际承诺、推动新时代发展有着重要的意义。
1.Windows系统的组策略介绍
由于通过注册表进行设置显得特别繁杂,Windows通过将系统重要的配置功能设计为模块,即组策略。Windows系统的组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以设置各种软件、计算机和用户策略。
打开本地组策略编辑器后,会显示可以设置计算机策略的功能选项。其中Windows设置选项是设置本地系统的管理策略,管理模板选项是组策略管理模板项目提供的策略信息。
(1)常用Windows设置中的安全设置。一是密码策略:密码策略影响密码的特征和行为。密码策略用于域账户或本地用户账户,它们确定密码设置,如强制和生存期。二是账户锁定策略:账户锁定策略选项在失败的登录尝试次数后禁用账户。使用这些选项可帮助检测和阻止破解密码的尝试。三是审核策略:审核策略可控制和了解对象(如文件和文件夹)的访问权限,以及管理用户和组账户以及用户登录和注销。审核策略可以指定要审核的事件类别,设置安全日志的大小和行为,并确定要监视其访问权限的对象以及要监视的访问类型。四是用户权限分配:用户权限通常基于用户所属的安全组(如管理员、用户或超级用户)进行分配。此类别中的策略设置通常用于根据访问和安全组成员身份的方法,授予或拒绝访问计算机的权限。五是安全选项:与身份验证相关的策略包括,设备、域控制器、域成员、交互式登录、Microsoft网络服务器、网络访问、网络安全、恢复控制台、Shutdown。六是Windows登录选项:这些策略设置控制登录机会的使用时间和方式。
(2)Windows组件中Windows Installer选项介绍。一是Windows Installer是Windows操作系统的组件,它可以简化应用程序的安装过程。通过应用安装过程期间集中定义的一组安装规则,Windows Installer可以管理应用程序的安装和删除,还可以使用此项服务修改、修复或删除现有的应用程序。Windows Installer技术由用于Windows操作系统的Windows Installer服务以及包含有关应用程序设置和安装信息的程序包(.msi)文件格式组成。
二是Windows Installer也是可扩展的软件管理系统。Windows Installer管理软件组件的安装、添加和删除、监视文件复原,及通过回滚方式维护基本的故障恢复。Windows Installer支持多种来源安装和运行软件,且开发人员可自定义Windows Installer以安装自定义应用程序。
三是Windows Installer是IntelliMirror的主干,也是基于组策略的更改和配置管理技术的核心组件。通过使用Intelli Mirror技术、组策略以及更改和配置管理,管理员可批准特定应用程序,指定在这些应用程序上的所有配置操作(安装、删除、修复)都在本地系统账户下运行;管理员控制并管理文件系统和注册表。而Windows Installer执行用户启动的软件安装,只有管理员批准的应用程序才能以更高特权运行。
四是管理员使用Active Directory、Intelli Mirror和组策略向企业内部的用户组或计算机组指派和发布应用程序。Active Directory是一种安全的、分布式的、分区的、复制的目录服务,用来提供管理服务。这些服务包括企业内部资源定位以及将组策略用于Active Directory所管理对象的标准制定。
五是Windows Installer有如下功能。安装失败后恢复原始计算机状态:Windows Installer跟踪在应用程序安装过程中对系统所做的所有更改。如果安装失败,Windows Installer能重新恢复系统,或者使系统返回到初始状态。
帮助阻止应用程序间冲突:Windows Installer加强了安装规则,这有助于阻止现有应用程序在共享资源时产生冲突。当安装操作更新现有应用程序共享的动态链接库(.dll)时,或某个操作删除其他应用程序共享的动态链接库时,会导致这样的冲突。
安全地删除现有程序:Windows Installer可以安全地卸载以前安装的任何程序。除被其他已安装软件共享使用的内容之外,它将删除所有关联的注册表项和应用程序文件。并且,成功地安装应用程序之后,可在任何时候卸载。
诊断和修复损坏的应用程序:应用程序可以查询Windows Installer,以确定安装的应用程序是否具有丢失或损坏的文件。如果检测到任何丢失或损坏的文件,Windows Installer通过重新复制丢失或损坏的文件修复该应用程序。
支持按照需要安装应用程序的功能:Installer可配置为最初只安装应用程序的最小子集。之后,当用户第一次访问需要其他组件的功能时,将自动安装其他组件,这称作“公布”。例如,Windows Installer可以安装功能最少的Microsoft Word。当用户第一次访问邮件合并功能时(在原始安装中未包括此功能),Windows Installer将自动安装邮件合并组件;同样,Windows Installer还可以清除应用程序中不使用的组件。
支持无人参与的应用程序安装:安装程序包可配置成安装过程中无需与用户进行交互的。在安装过程中,Windows Installer可以向计算机查询桌面属性,包括确定应用程序是否以前都被Windows Installer安装过。
2.安装办公需要的应用软件
一是在管理员用户下,通过右键—计算机—管理—本地用户和组—用户,创建一个新用户,例如User。
二是在管理员用户下,安装所需的程序,安装目录需选择为:C:\Users\User\AppData\Local。对于无法选择安装路径的程序,则按默认选项进行安装,安装完成后,找到程序安装的文件夹,将其拷贝到User用户的AppData—Roaming文件夹中,将应用程序启动文件拷贝到User用户的开始菜单文件夹中,个别程序还需将程序安装的文件夹拷贝到User用户的AppData—Local文件夹中。
3.设置Windows组策略
一是在管理员用户下,运行gpedit.msc,在计算机配置—管理模板—Windows组件-Windows Installer中:禁用Windows Installer—已启用—仅用于非托管应用程序;禁止用户安装—已启用。
二是在管理员用户下,设置-在电脑重启后,Windows登录页面不显示用户名,需用户手工输入。运行gpedit.msc,windows设置—安全设置—本地策略—安全选项—交互式登录:不显示最后的用户名,选择已启用。
三是设置某些需要管理员权限才能运行程序。在安全选项—用户账户控制:以管理员批准模式运行所有管理员,选择已禁用。
禁止用户留存文件
使用PC机就难免会把拷贝或下载资料留存在磁盘上,而在这些资料使用结束后删除这些文件,则是很少人有的习惯性操作,PC机上时常会遗留各种资料,不仅会存在信息泄漏的风险,还存在引入病毒侵入的风险。
1.设置磁盘权限
为便于管理,将PC机磁盘只划分为C盘和D盘。设置新建的User用户完全禁止访问C盘。即在C盘上右键属性—安全—编辑,添加—User并检查名称,将User添加后,设置拒绝User全部权限,User用户将不能访问C盘(如图)。
图 设置User用户权限
2.设置自动运行脚本
将自动运行脚本文件放置C盘的User启动文件夹中,并将该脚本设置为User用户不允许写入权限(允许其他权限),该脚本用于清理桌面、D盘的所有文件,且D盘文件只保留一天。
实施后的成果
针对这些管理问题,本文通过设置Windows组策略、编制自动运行脚本等技术手段达到如下的效果:
普通用户无法安装程序,只能由系统管理员进行安装,可以解决应用软件私自安装的问题及随意安装程序导致恶意病毒的传入。
每当User用户登录后,脚本文件将自动清除桌面及D盘存放超过一天的所有文件和目录。除D盘,其他磁盘及目录均是禁止访问的,确保主机无办公资料存留。
(栏目编辑:李朝瑞)
往期精选:
(点击查看精彩内容)
新媒体中心:主任 / 邝源 编辑 / 傅甜甜 张珺 邰思琪