最近在看有关管理 Active Directory 的资料,看到一篇关于(Active Directory)域故障排除示例的文章。发人深省,我贴出来分享一下。原文如下:
Q:作为管理员组策略删除本地管理员,我通过组策略设置了一些限制,比如“不运行指定的Windows应用程序”,但总有个人用户可以在网上找到破解的方法。我该怎么办?
A:这段话让我想起了关于网络安全的一句名言:没有绝对的安全。我个人也觉得,在计算机网络的世界里,盲人永远是高手。如果级别很高,那么最终的安全就会回到物理安全设置(术语:社会工程)。下面是组策略设置“不运行指定的windows应用程序”的攻防转换,来澄清这个问题
第一回合:
管理员:通过本地策略限制用户运行某些用户程序,如QQ、反恐、realplay等。操作:启动/运行,输入gpedit.msc,用户配置/管理模板/系统/不运行指定windows应用,启用/显示/添加:上面应用的.exe文件名就够了。
用户:如果用户知道管理员设置的限制,可以用同样的方法取消限制。
第二轮:
管理员:将 mmc.exe 添加到上述禁止列表中,使用户无法打开任何 MMC 管理控制台。
用户:开始/运行:cmd,输入mmc,会打开控制台,文件/添加删除管理单元,添加:组策略对象编辑器/本地计算机策略,解除限制。
注意:在 CMD 模式下,用户可以直接输入 gpedit.msc 仍然无法运行。该方案的知识点来自该策略的描述标签。
第三轮:
管理员:也禁止 cmd.exe 运行
用户:重新启动计算机,按 F8,选择带命令行的安全模式。登录后,在CMD模式下输入mmc,会打开控制台,文件/添加删除管理单元,添加:组策略对象编辑器/本地计算机策略,取消限制。
第四轮:
管理员:如果它不起作用,让我们求助于基于域的组策略。将用户电脑加入域,不要给用户本地管理员的密码,要求用户使用域用户账号(为了不影响用户其他正常应用,可以加入Power Users组客户端),并添加此域 将用户帐户放入 OU组策略删除本地管理员,链接组策略,并设置上述限制。
用户:手动删除注册表 HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Policies\Explorer\DisallowRun 下的禁用程序。
第五轮:
管理员:因为默认情况下,如果用户手动修改注册表中的组策略设置值,如果策略没有改变,组策略不负责强制改回。管理员可以使用组策略/计算机配置/管理模板/系统/组策略/注册表策略处理,设置为“即使组策略对象未更改也进行处理”来强制执行定期刷新策略。
用户:用户修改程序文件名以规避策略限制(尤其是对于非 MS 应用程序)。
第六轮:
管理员:设置权限,使用户无权修改文件名。
用户:用凤凰启动盘重置本地管理员密码,以本地管理员身份登录,不受上述限制,或干脆离开域
第七轮:
管理员:在 BIOS 中禁用光驱并设置 BIOS 密码,或物理断开光驱。
用户:打开机箱,跳线清除 BIOS 密码,或物理连接光驱。
…………
通过这个例子,你也可以看出,作为一个网络成员,你应该不断地学习和提高自己的技能。在学习中充分利用互联网,最广泛的师资,最大的知识库
