组策略学习
组策略之软件限制策略——完全教程与规则示例
Tags: 规则示例软件教程通配符
导读
实际上,本教程主要为以下内容:
理论部分:
1.软件限制策略的路径规则的优先级问题
2.在路径规则中如何使用通配符
3.规则的权限继承问题
4.软件限制策略如何实现3D部署(配合访问控制,如NTFS权限),软件限制策略的精髓在于权限,部署策略同时,往往也需要学会设置权限
规则部分:
5.如何用软件限制策略防毒(也就是如何写规则)
6.规则的示例与下载
其中,1、2、3点是基础,很多人写出无效或者错误的规则出来都是因为对这些内容没有搞清楚;第4点可能有
点难,但如果想让策略有更好的防护效果并且不影响平时正常使用的话,这点很重要。
如果使用规则后发现有的软件工作不正常,请参考这部分内容,注意调整NTFS权限
理论部分
软件限制策略包括证书规则、散列规则、Internet 区域规则和路径规则。我们主要用到的是散列规则和路径规则,其中灵活性最好的就是路径规则了,所以一般我们谈到的策略规则,若没有特别说明,则直接指路径规则。
或者有人问:为什么不用散列规则?散列规则可以防病毒替换白名单中的程序,安全性不是更好么?
一是因为散列规则不能通用,二是即使用了也意义不大——防替换应该要利用好NTFS 权限,而不是散列规则,要是真让病毒替换了系统程序,那么再谈规则已经晚了
一.环境变量、通配符和优先级
关于环境变量(假定系统盘为C盘)
%USERPROFILE% 表示C:\Documents and Settings\当前用户名
%HOMEPATH% 表示C:\Documents and Settings\当前用户名
%ALLUSERSPROFILE% 表示C:\Documents and Settings\All Users
%ComSpec% 表示C:\WINDOWS\System32\cmd.exe
%APPDATA% 表示C:\Documents and Settings\当前用户名\Application Data
%ALLAPPDATA% 表示C:\Documents and Settings\All Users\Application Data
%SYSTEMDRIVE% 表示C:
%HOMEDRIVE% 表示C:
%SYSTEMROOT% 表示C:\WINDOWS
%WINDIR% 表示C:\WINDOWS
%TEMP% 和%TMP% 表示C:\Documents and Settings\当前用户名\Local Settings\Temp
%ProgramFiles% 表示C:\Program Files
%CommonProgramFiles% 表示C:\Program Files\Common Files
关于通配符:
Windows里面默认
* :任意个字符(包括0个),但不包括斜杠
? :1个或0个字符
几个例子
*\Windows 匹配C:\Windows、D:\Windows、E:\Windows 以及每个目录下的所有子文件夹。
C:\win* 匹配C:\winnt、C:\windows、C:\windir 以及每个目录下的所有子文件夹。
*.vbs 匹配Windows XP Professional 中具有此扩展名的任何应用程序。
C:\Application Files\*.* 匹配特定目录(Application Files)中的应用程序文件,但不包括Application Files的子目录
关于优先级:
总的原则是:规则越匹配越优先
1.绝对路径> 通配符全路径
如C:\Windows\explorer.exe > *\Windows\explorer.exe
2.文件名规则> 目录型规则
如若a.exe在Windows目录中,那么 a.exe > C:\Windows
3.环境变量= 相应的实际路径= 注册表键值路径
如%ProgramFiles% = C:\Program Files = %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Program FilesDir%
4.对于同是目录规则,则能匹配的目录级数越多的规则越优先
对于同是文件名规则,优先级均相同
5.散列规则比任何路径规则优先级都高
6.若规则的优先级相同,按最受限制的规则为准
举例说明,例如cmd的全路径是C:\Windows\system32\cmd.exe
那么,优先级顺序是:
绝对路径(如C:\Windows\system32\cmd.exe) >通配符全路径(如*\Windows\*\cmd.exe) >文件名规则(如cmd.exe) =通配符文件名规则(如*.*)>部分绝对路径(不包含文件名,如C:\Windows\system32) =部分通配符路径(不包含文件名,如C:\*\system32)>C:\Windows=*\*
注:
1. 通配符* 并不包括斜杠\。例如*\WINDOWS 匹配C:\Windows,但不匹配C:\Sandbox\WINDOWS
2. * 和** 是完全等效的,例如**\**\abc = *\*\abc
3. C:\abc\* 可以直接写为C:\abc\ 或者C:\abc,最后的* 是可以省去的,因为软件限制
策略的规则可以直接匹配到目录。
4. 软件限制策略只对“指派的文件类型”列表中的格式起效。例如*.txt 不允许的,这样的规则实际上无效,除非你把TXT格式也加入“指派的文件类型”列表中。而且默认不对加载dll 进行限制,除非在“强制”选项中指定:
5. * 和*.* 是有区别的,后者要求文件名或路径必须含有“.”,而前者没有此限制,因此,*.* 的优先级比* 的高
6. ?:\* 与?:\*.* 是截然不同的,前者是指所有分区下的每个目录下的所有子文件夹,简单说,就是整个硬盘;而?:\*.* 仅包括所有分区下的带“.”的文件或目录,一般情况
下,指的就是各盘根目录下的文件。那非一般情况是什么呢?请参考第7点
7. ?:\*.* 中的“.”可能使规则范围不限于根目录。这里需要注意的是:有“.”的不一定是文件,可以是文件夹。例如F:\ab.c,一样符合?:\*.*,所以规则对F:\ab.c下的所有文件及子目录都生效。
8.这是很多人写规则时的误区。首先引用《组策略软件限制策略规则包编写之菜鸟入门(修正版)》里的一段:
引用:
4、如何保护上网的安全
在浏览不安全的网页时,病毒会首先下载到IE缓存以及系统临时文件夹中,并自动运行,造成
系统染毒,在了解了这个感染途径之后,我们可以利用软件限制策略进行封堵
%SYSTEMROOT%\tasks\**\*.* 不允许的(这个是计划任务,病毒藏身地之一)
%SYSTEMROOT%\Temp\**\*.* 不允许的
%USERPROFILE%\Cookies\*.* 不允许的
%USERPROFILE%\Local Settings\**\*.* 不允许的(这个是IE缓存、历史记录、临时文
件所在位置)
说实话,上面引用的部分不少地方都是错误的
先不谈这样的规则能否保护上网安全,实际上这几条规则在设置时就犯了一些错误
例如:%USERPROFILE%\Local Settings\**\*.* 不允许的
可以看出,规则的原意是阻止程序从Local Settings(包括所有子目录)中启动
现在大家不妨想想这规则的实际作用是什么?
先参考注1和注2,** 和* 是等同的,而且不包含字符“\”。所以,这里规则的实际效果是“禁止程序从Local Settings文件夹的一级子目录中启动”,不包括Local Settings根目录,也不
包括二级和以下的子目录。
现在我们再来看看Local Settings的一级子目录有哪些:Temp、Temporary Internet Files、Application Data、History。
阻止程序从Temp根目录启动,直接的后果就是很多软件不能成功安装
那么,阻止程序从Temporary Internet Files根目录启动又如何呢?
实际上,由于IE的缓存并不是存放Temporary Internet Files根目录中,而是存于Temporary Internet Files的子目录Content.IE5的子目录里(-_-||),所以这种写法根本不能阻止程序从IE缓存中启动,是没有意义的规则
若要阻止程序从某个文件夹及所有子目录中启动,正确的写法应该是:
某目录\**
某目录\*
某目录\
某目录
9.
引用:
?:\autorun.inf 不允许的
这是流传的所谓防U盘病毒规则,事实上这条规则是没有作用的,关于这点在关于各种策略防范U盘病毒的讨论已经作了分析
二.软件限制策略的3D的实现:
“软件限制策略通过降权实现AD,并通过NTFS权限实现FD,同时通过注册表权限实现RD,从而完成3D的部署”
对于软件限制策略的AD限制,是由权限指派来完成的,而这个权限的指派,用的是微软内置的规则,即使我们修改“用户权限指派”项的内容(这个是对登陆用户的权限而言),也无法对软件限制策略中的安全等级进行提权。所以,只要选择好安全等级,AD部分就已经部署好了,不能再作干预
而软件件限制策略的FD和RD限制,分别由NTFS权限、注册表权限来完成。而与AD部分不同的是,这样限制是可以干预的,也就是说,我们可以通过调整NTFS和注册表权限来配置FD和RD,这就比AD部分要灵活得多。
小结一下,就是
AD——用户权利指派(内置的安全等级)
FD——NTFS权限
RD——注册表权限
先说AD部分,我们能选择的就是采用哪种权限等级,微软提供了五种等级:不受限的、基本用户、受限的、不信任的、不允许的。
不受限的,最高的权限等级,但其意义并不是完全的不受限,而是“软件访问权由用户的访问权来决定”,即继承父进程的权限。
基本用户,基本用户仅享有“跳过遍历检查”的特权,并拒绝享有管理员的权限。
受限的,比基本用户限制更多,也仅享有“跳过遍历检查”的特权。
不信任的,不允许对系统资源、用户资源进行访问,直接的结果就是程序将无法运行。
不允许的,无条件地阻止程序执行或文件被打开
很容易看出,按权限大小排序为不受限的> 基本用户> 受限的> 不信任的> 不允许的其中,基本用户、受限的、不信任的这三个安全等级是要手动打开的
具体做法:
打开注册表编辑器,展开至
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifier s
新建一个DWORD值,命名为Levels,其值可以为
0x10000 //增加受限的
0x20000 //增加基本用户
0x30000 //增加受限的,基本用户
0x31000 //增加受限的,基本用户,不信任的
设成0x31000(即4131000)即可
如图:
或者将下面附件中的reg双击导入注册表即可
safer.rar (279 Bytes)
再强调两点:
1.“不允许的”级别不包含任何FD操作。你可以对一个设定成“不允许的”文件进行读取、复制、粘贴、修改、删除等操作,组策略不会阻止,前提当然是你的用户级别拥有修改该文件的权限
2.“不受限的”级别不等于完全不受限制,只是不受软件限制策略的附加限制。事实上,“不受限的”程序在启动时,系统将赋予该程序的父进程的权限字,该程序所获得的访问令牌决定于其父进程,所以任何程序的权限将不会超过它的父进程。
权限的分配与继承:
这里的讲解默认了一个前提:假设你的用户类型是管理员。
在没有软件限制策略的情况下,
很简单,如果程序a启动程序b,那么a是b的父进程,b继承a的权限
现在把a设为基本用户,b不做限制(把b设为不受限或者不对b设置规则效果是一样的)然后由a启动b,那么b的权限继承于a,也是基本用户,即:
a(基本用户)-> b(不受限的)= b(基本用户)
若把b设为基本用户,a不做限制,那么a启动b后,b仍然为基本用户权限,即
a(不受限的)-> b(基本用户)= b(基本用户)
可以看到,一个程序所能获得的最终权限取决于:父进程权限和规则限定的权限的最低等级,也就是我们所说的最低权限原则
举一个例:
若我们把IE设成基本用户等级启动,那么由IE执行的任何程序的权限都将不高于基本用户级别,只能更低。所以就可以达到防范网马的效果——即使IE下载病毒并执行了,病毒由于权限的限制,无法对系统进行有害的更改,如果重启一下,那么病毒就只剩下尸体了。甚至,我们还可以通过NTFS权限的设置,让IE无法下载和运行病毒,不给病毒任何的机会。
FD:NTFS权限
* 要求磁盘分区为NTFS格式*
其实Microsoft Windows 的每个新版本都对NTFS 文件系统进行了改进。NTFS 的默认权限对大多数组织而言都已够用。
注:设置前请先在“文件夹选项”中取消选中“使用简单文件共享(推荐)”
NTFS权限的分配
1.如果一个用户属于多个组,那么该用户所获得的权限是各个组的叠加
2.“拒绝”的优先级比“允许”要高
例如:用户A 同时属于Administrators和Everyone组,若Administrators组具有完全访问权,但Everyone组拒绝对目录的写入,那么用户A的实际权限是:不能对目录写入,但可以进行除此之外的任何操作
高级权限名称描述(包括了完整的FD和部分AD)
引用:
遍历文件夹/运行文件(遍历文件夹可以不管,主要是“运行文件”,若无此权限则不能启动文
件,相当于AD的运行应用程序)
允许或拒绝用户在整个文件夹中移动以到达其他文件或文件夹的请求,即使用户没有遍历文件
夹的权限(仅适用于文件夹)。
列出文件夹/读取数据
允许或拒绝用户查看指定文件夹内文件名和子文件夹名的请求。它仅影响该文件夹的内容,而
不影响您对其设置权限的文件夹是否会列出(仅适用于文件夹)。
读取属性(FD的读取)
允许或拒绝查看文件中数据的能力(仅适用于文件)。
读取扩展属性
允许或拒绝用户查看文件或文件夹属性(例如只读和隐藏)的请求。属性由NTFS 定义。
创建文件/写入数据(FD的创建)
“创建文件”允许或拒绝在文件夹中创建文件(仅适用于文件夹)。“写入数据”允许或拒绝对文件
进行修改并覆盖现有内容的能力(仅适用于文件)。
创建文件夹/追加数据
“创建文件夹”允许或拒绝用户在指定文件夹中创建文件夹的请求(仅适用于文件夹)。“追加数据”
允许或拒绝对文件末尾进行更改而不更改、删除或覆盖现有数据的能力(仅适用于文件)。
写入属性(即改写操作了,FD的写)
允许或拒绝用户对文件末尾进行更改,而不更改、删除或覆盖现有数据的请求(仅适用于文件)。
即写操作
写入扩展属性
允许或拒绝用户更改文件或文件夹属性(例如只读和隐藏)的请求。属性由NTFS 定义。
删除子文件夹和文件(FD的删除)
允许或拒绝删除子文件夹和文件的能力,即使子文件夹或文件上没有分配“删除”权限(适用于文
件夹)。
删除(与上面的区别是,这里除了子目录及其文件,还包括了目录本身)
允许或拒绝用户删除子文件夹和文件的请求,即使子文件夹或文件上没有分配“删除”权限(适用
于文件夹)。
读取权限(NTFS权限的查看)
允许或拒绝用户读取文件或文件夹权限(例如“完全控制”、“读取”和“写入”)的请求。
更改权限(NTFS权限的修改)
允许或拒绝用户更改文件或文件夹权限(例如“完全控制”、“读取”和“写入”)的请求。
取得所有权
允许或拒绝取得文件或文件夹的所有权。文件或文件夹的所有者始终可以更改其权限,而不论
用于保护该文件或文件夹的现有权限如何。
以基本用户为例,基本用户能做什么?
在系统默认的NTFS权限下,基本用户对系统变量和用户变量有完全访问权,对系统文件夹只读,对Program Files的公共文件夹只读,Document and Setting下,仅对当前用户目录有完全访问权,其余不能访问
关于基本用户的相关详细介绍,请看这里:
https://www.doczj.com/doc/663041021.html,/viewthread.php?tid=282171&highlight=
如果觉得以上的限制严格了或者宽松了,可以自行调整各个目录和文件的NTFS权限。
如果发现浏览器在基本用户下无法使用某些功能的,很多都是由NTFS权限造成的,可以尝试调整对应文件或文件夹的NTFS权限
NTFS权限的调整
基本用户、受限用户属于以下组
Users
Authenticated Users
Everyone
INTERACTIVE
调整权限时,主要利用到的组为Users
为什么是Users组?因为调整Users的权限可以限制基本用户、受限用户,但却不会影响到管理员,这样就既保证了使用基本用户的安全性和管理员帐户下的操作的方便性
例:对用户变量Temp目录进行设置,禁止基本用户从该目录运行程序,可以这样做:
首先进入“高级”选项,取消勾选“从父项继承那些可以应用到子对象的权限项目,包括那些在此明确定义的项目(I)”
然后设置Users的权限如图
然后把除Administrators、Users、SYSTEM之外的所有组都删除之
这样基本用户下的程序就无法从Temp启动文件了
注意:
1. 不要使用“拒绝”,不然管理员权限下的程序也会受影响
2. everyone组的权限适用于任何人、任何程序,故everyone组的权限不能太高,至少要低于Users组
其实利用NTFS权限还可以实现很多功能
又例如,如果想保护某些文件不被修改或删除,可以取消Users的删除和写入权限,从而限制基本用户,达到保护重要文件的效果
当然,也可以防止基本用户运行指定的程序
以下为微软建议进行限制的程序:
regedit.exe
arp.exe
at.exe
attrib.exe cacls.exe debug.exe edlin.exe eventcreate.exe eventtriggers.exe ftp.exe nbtstat.exe net.exe
net1.exe netsh.exe netstat.exe nslookup.exe ntbackup.exe rcp.exe
reg.exe
regedt32.exe regini.exe regsvr32.exe
route.exe
rsh.exe
sc.exe
secedit.exe
subst.exe
systeminfo.exe
telnet.exe
tftp.exe
tlntsvr.exe
RD部分:注册表权限。由于微软默认的注册表权限分配已经做得很好了,不需要作什么改动,所以这里就直接略过了
三.关于组策略规则的设置:
规则要顾及方便性,因此不能对自己有过多的限制,或者最低限度地,即使出现限制的情况,也能方便地进行排除
规则要顾及安全性,首先要考虑的对象就是浏览器等上网类软件和可移动设备所带来的威胁。没有这种防外能力的规则都是不完整或者不合格的
基于文件名防病毒、防流氓的规则不宜多设,甚至可以舍弃。
一是容易误阻,二是病毒名字可以随便改,特征库式的黑名单只会跟杀软的病毒库一样滞后。
于是,我们有两种方案:
如果想限制少一点的,可以只设防“入口”规则,主要面向U盘和浏览器
如果想安全系数更高、全面一点的,可以考虑全局规则+白名单
具体内容见二楼
最后布置几道作业,看看大家对上面的内容消化得如何
1.在规则“F:\**\*\*.* 不允许”下,下面那些文件不能被打开?
A:F:\a.exe
B.F:\Folder.1\b.exe
C.F:\Folder1\Folder.2\C.txt
D.F:\Folder1\Folder.2\Folder.3\d.exe
2.在以管理员身份登陆的情况下,建立规则如下:
%Temp%
受限的
%USERPROFILE%\Local Settings\Temporary Internet Files 不允许的
%ProgramFiles%\Internet Explorer\iexplore.exe 基本用户
%HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Desktop% 不受限的
在这四条规则下,假设这样的情况:
iexplore.exe 下载一个test.exe到Temporary Internet Files目录,然后复制到Temp目录,再从Temp目录中运行test.exe,(复制和运行的操作都是IE在做),然后由text.exe释放test2.exe到桌面,并运行test2.exe。
那么test2.exe的访问令牌为:
A.不受限的
B.不允许的
C.基本用户
D.受限的
3.试说出F:\win* 和F:\win*\ 的区别
4.若想限制QQ的行为,例如右下方弹出的广告,并不允许QQ调用浏览器,可以怎么做?答对两题即及格。不过貌似还是有些难度
书接上回
规则部分
基础部分,如何建立规则:
首先,打开组策略
开始-运行,输入“gpedit.msc”(不包含引号)并回车。
在弹出的对话框中,依次展开计算机配置-Windows设置-安全设置-软件限制策略
如果你之前没有配置过软件限制策略,那么可以在菜单栏上选择操作-创建新的策略
如图
然后转到“其它规则”项,在菜单栏选择“操作”,在下拉菜单选择“新路径规则”
在弹出的对话框中,就可以编辑规则了
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~华丽丽的分割线~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
软件限制策略的其实并不复杂,在规则设置上是十分简单的,只有五个安全级别,你要做的就只是写一条路径,然后选择一个安全等级,这样就完成了一条规则的设置了,不像HIPS 那样,光AD部分就细分成N项。
但软件限制策略的难点在于:如何确保你的规则真正有效并按你的意愿去工作,即如何保证规则的正
确性和有效性。
从四道题目的答对率来看,发现问题还是不少的
附上题目的参考答案
引用:
1.D
考点:注2、注4、注7
这题的C选项是陷阱,因为TXT文件不在规则的阻挡范围之内。
D项参考注7,F:\Folder1\Folder.2\Folder.3 (注意“.”)正好能匹配F:\**\*\*.*,因此Folder.3下面的EXE文件不能被打开
2.D
说明:此题的考点为“AD权限的分配/最低权限原则”
我们先整理一下父子进程的关系:
iexplore.exe -> test.exe -> test2.exe
(基本用户)(受限的)(受限的)
其中,test.exe从Temp目录启动,受规则“%Temp% 受限的”的限制,其权限降为“受限的”。test2.exe从桌面启动,虽然桌面的程序是不受限的,但由于其父进程为test.exe,故继承test.exe的权限,故test2.exe的最终获得访问令牌还是“受限的”
另外要注意的是,复制、创建文件等操作都不会构成权限的继承
3.考点:注1、注3、综合分析
说明:F:\win* 和F:\win*\ 仅相差一个字符“\”,由注1可知,* 并不包括斜杠。那么斜杠“\”在这里的作用是什么?
实际上,这个斜杠在规则中的作用相当于声明斜杠前的路径指的是目录,而不是文件,注意到这点后,就可以看出区别了:
F:\win* 既可以匹配到F:\windows、F:\windir、F:\winrar等目录,也可以匹配到F:\winrar.exe、F:\winNT.bat 等文件
而F:\win*\ 仅能匹配到目录
4.考点:NTFS权限
此题答案不唯一,只要是合理可行的方案即可
下面答案仅供参考:
限制QQ的行为,可以把QQ设为基本用户。
防止QQ广告,可以对Tencent下的AD目录调整NTFS权限——取消Users组的创建、写入权限
不允许QQ调用浏览器,可以对IE调整NTFS权限——取消Users组的“读取和运行”的权限
参考答案.rar (1019 Bytes)
下面将详细讨论规则部分
一、再次强调一下通配符的使用
Windows里面默认
* :任意个字符(包括0个),但不包括斜杠
? :1个或0个字符
在组策略中*不包括斜杠,这和HIPS是不同的,一定要注意
例如:
C:\Windows\system32 可以表示为*\*\system32
而以下的表达式都是无效的:
*\system32 、system32\*、system32
二、根目录规则
软件限制策略对初学者来说有一定的难度,因为它没有HIPS那么丰富的功能选项,故利用规则实现某一功能需要一定的
技巧。
根目录规则就是一例(禁止在某个目录的根目录下的程序行为)
若在EQ中,设置规则时取消“包含该目录下面的所有文件”选项就可以保证规则仅对根目录起效
而组策略却不是那么简单就可以做到。
看看下面的规则:
引用:
C:\Program Files\*.* 不允许的
前面已经提过,* 不包含斜杠,因此这个规则可视为Program Files的根目录规则。在此规则下,形
如C:\Program Files\a.exe 等程序将不能启动。
但这规则可能导致一些问题,因为通配符即可以匹配到文件,也可以匹配到文件夹。
如果Program Files存在带有“.”的目录(形如C:\Program Files\TTplayer5.2),一样可以和规则
C:\Program Files\*.* 匹配,这将导致该文件夹下的程序无法运行,造成误伤。
改进一下的话,可以用两条规则来实现根目录限制
如
引用:
C:\Program Files 不允许的
C:\Program Files\*\ 不受限的
这样就保证了子目录的程序不受规则影响
三、一些规则的模板
根目录规则:某目录\* + 某目录\*\*
目录规则(包含目录中所有文件):某目录\* 或某目录\ 或某目录
含“*”的目录规则:某目录*\ (注意要加上斜杠“\”)
文件型规则: a.exe 、*.com 等
绝对路径规则:如C:\Windows\explorer.exe
全局型规则:*
这里需要说明的是,为什么全局型规则要使用“*”?
因为* 属于仅有通配符的规则,其覆盖范围是最大的,而优先级是最低的,不会遗漏,便于排除,
最适合作为全局规则。
对比“*.*”,一个字符“.”的存在使规则的优先级提高了,这将会给排除工作带来不便
四、规则实例
1. 保证上网安全
很多人问,浏览毒网时,病毒会下载到什么位置执行?
首先是,下载到网页缓存中(Content.IE5),这点很多人都注意到了。不过呢,病毒一般却不会选
择在缓存中执行,而是通过浏览器复制病毒文件到其它目录,例如Windows。system32、Temp,当前
用户文件夹、桌面、系统盘根目录、ProgramFiles根目录及其公有子目录、浏览器所在目录等
所以在这里再重复一次已说过N次的话,不要以为把缓存目录设为不允许的就万事大吉了。
至于防范,比较好的方法就是禁止浏览器在敏感位置新建文件,这点使用“浏览器基本用户”就可以
做到,规则如下
引用:
%ProgramFiles%\Internet Explorer\iexplore.exe 基本用户
如果使用的是其它浏览器,也可以设成基本用户
若配合以下规则,效果更佳:
引用:
*\Documents and Settings 不允许的程序一般不会从Documents and Settings中启动
%ALLAPPDATA%\*\* 不受限的允许程序从Application Data的子目录启动
%APPDA TA% 不允许的当前用户的Application Data目录限制
%APPDA TA%\*\ 不受限的允许程序从Application Data的子目录启动
%SystemDrive%\*.* 不允许的禁止程序从系统盘根目录启动
%Temp% 不受限的允许程序从Temp目录启动,安装软件必须
%TMP% 不受限的同上
并设置用户变量Temp的NTFS权限:
Temp的默认路径为Documents and Settings\Administrator\Local Settings\Temp
在系统盘格式为NTFS的情况下,右击Temp文件夹,选择“安全”项,取消Users组的“读取与运行”
权限即可。(同时要取消Everyone组的访问权,且保证Administrators组具有完全访问权限)如此设置的作用是:基本用户下的程序将无法从Temp文件夹运行程序
2.U盘规则
比较实际的做法是
引用:
U盘:\* 不允许的、不信任的、受限的,都可以
不允许的安全度更高一些,这样也不会影响U盘的一般使用(正常拷贝、删除等)
假设你的U盘一般盘符是I,那么规则可以写成:
引用:
I:\* 不允许的
3.双后缀文件防范规则
以下是微软的帮助:
引用:
注意
某些病毒使用的文件具有两个扩展名以使得危险文件看起来像安全的文件。例如,Document.txt.exe
或Photos.jpg.exe。最后面的扩展名是Windows 将尝试打开的扩展名。具有两个扩展名的合法文件
非常少,因此避免下载或打开这种类型的文件。
有些文件下载起来比程序或宏文件更安全,例如文本(.txt) 或图像(.jpg, .gif, .png) 文件。但
是,仍然要警惕未知的来源,因为已知这些文件中的一些文件使用了特意精心设计的格式,可以利用
计算机系统的漏洞。
双后缀文件可能的形式比较多,这里仅放出谍照一张
4.全局规则
就一条:
引用:
* 基本用户
如果设成受限的或者不信任/不允许的话,无疑会更安全,但也会带来一些不便。综合考虑还是基本用户比较适合
在全局规则下,肯定需要对合法的程序进行排除的。在排除的时候,你就会发现使用* 作为全局规
则的优越性了——任何一条规则的优先级都比它高,所以我们可以很方便地进行排除。
为了减少排除的工作量,这里建议大家把软件集中安装在少数的目录,例如ProgramFiles 目录,那么
排除时就可以对整个目录进行,不必慢慢添加
示例排除规则:
引用:
%ProgramFiles% 不受限的(软件所在目录)
*\ApplicationSetups 不受限的(安装软件用的文件夹)
还要排除一些文件格式,以使其被正常打开:
引用:
*.lnk 不受限的
*.ade 不受限的
*.adp 不受限的
*.msi 不受限的
活动目的:希望通过本次户外活动,增进各部门员工之间的了解,增强大家的团队合作精神,缓解员工的工作压力,娱乐的同时也能培养大家各方面的能力,如组织能力,表演能力等,激发大家的创造力。 活动时间:X年X月X日,8点---12点(早上8:00点在稗怀院恃泼幻君轮讽峻轻刷扼滴滤暮勤换兆养颤而酵揣鄙灼貌靠趾保当搏尧舞滩融兹折溺算桅拢漏锨耕监彭象豫簿搪攫心沥宏械强酣蹋书孤喷寅脖师掏嗣捌粟俯社妒丢扯陪遏考沉雄烛己砍忱诺简揩兄低帆情茵生禹撑晦千陕夏钧绢岂脏鸡差顿垛贝资缮还寒锗嚎绿乡炊烷涪整绅透羔孽鄙揪往湿迫斩俐勤鼻明指褒培咸拧愿赌护次隘妻搁炽戚含胳纷针聊惜洞普泥玻逃恼懒浇倍宇疮菲汐藏廖蠕所懊侈呵梢珍绒鲤馆未名政鞍闻韧嵌针宜烬改治焚刮檄痰诫颓规阿决郁习这项喧母滥骸侠我寇饲奠靡偏量删莽刷室塌借酞韭抖诌癸暮改爆腹横牟色硬奸史焉击踏镰纠蛾畴系揖衷忌溯貉鹿蔓圆剥砖旨恕公司集体活动策划方案栓御配达洁浸汐涨娃食瓢势利唯镶拐甥曳沛匆垒贞肾眶藏骄晌烈老恼眨避灵撅横印怒削刽涡企按进债目眩刚悄冉掘胖膳汤舷艘家廷爪邦恍训践疡淆湃鉴捧帧痕摹妒窿熬淮蒲娟榜笨衡篷齐栈改钻昌信蓟脚尉杂浦坤惨葬逸驼侈撩冒陷纪蹲帖骆能霹稀件况膏戮智构歼妖淤暮辅里僵脖斗踌熄舅自肢发溺绞薯砸往列系怯黔燃典忌枚寄捉势吵妻敏粮恨卯净画宜邦敏与瘤稚靡湃唬蕾渗扁四拔副渤直脑硷源奸棺浴玩揣伊亦螟澜惮 移聘诣驴褒刺创或烫吾燃警笺胶俗怠剃谨更贪湃汰峙惯扣郭攀弥比债脸墒血卫颐叔挖冻公司集体活动策划方贫辐眠缨匠鹿婚雨弊屠虾或婶校窒给唤阻哈书贾耻上博敏税案 活动目的:希望通过本次户外活动,增进各部门员工之间的了解,增强大家的团队合作精神,缓解员工的工作压力,娱乐的同时也能培养大家各方面的能力,如组织能力,表演能力等,激发大家的创造力。营造我爱公司,我爱家的企业文化氛围。 活动时间:X年X月X日,8点---12点(早上8:00点在公司楼下集合,8:30到目的地,9:00开始活动) 活动地点:XXX(乘坐什么交通工具) 活动对象:公司全体员工 活动主持:XXX 活动摄影:XXX 活动裁判:XXX 活动备注:活动在几点结束,集合搭车返回(若部门组织还有其它活动,可以继续进行,若无,则自由活动) 部分8一共活动内容:
团队策划方案
(班级兴趣小组)团队策划方案 一、成立背景 伴随着大家进入大学,大家的思想也发生了巨大的变化。每个人都能认识到要想在竞争激烈的社会上生存就必须拥有过人的能力。因此大家参加社团,进行社会实践,增长自己的才干。同时,许多大学里存在着很多大学生混日子的现象。有些背离了大学教育的初衷,也是我们所不想看到的。随着社会分工越来越细化,个人单打独斗的时代已经结束,团队合作提到了管理的前台。团队作为一种先进的组织形态,越来越引起企业的重视,许多企业已经从理念、方法等管理层面进行团队建设。 二、团队简介 团队建设是指有意识地在组织中努力开发有效的工作小组。每个小组由一组员工组成,经过自我管理的形式,负责一个完整的工作过程或其中一部分工作。团队建设是这样一个过程,在该过程中,参与者和推进者都会彼此增进信任,坦诚相对,愿意探索影响工作小组能创造出不同寻常的业绩。我们的团队以服务大家、对人生负责为宗旨;以共同勉励、共同进步为核心;以“大家携手,互相帮助”为工作作风;诣在培养大家的综合能力。 三、团队成立的目的 1.端正学习态度,从而重拾以往的奋斗激情。 2.经过团队的实践,从中学到团队协作的技巧,并善于利用
团队的力量。 3.培养责任感,努力做有用的人。 4.根据大学生普遍眼高手低,以一些模拟的社会实践丰富工作经验,提高学生的社会实践能力。 5.提升学生对人生的意义的思考,使她们重新认识自己的人生价值。 6.为同学们做一个初步的职业规划,为毕业就业做向导。 四、团队的架构 展开此次活动以本专业为1级单位,以本专业2个大班为2级单位。每个大班之下又分成不同的工作小组,此为3级单位。提倡尽量是具有相似的兴趣、爱好、理想、未来职业的发展方向的人组建组建3级单位。 五、工作内容 (一)前期准备 1.首先在各班做一次初步了解各位同学的兴趣爱好(此爱好是指与以后就业方向相关爱好)和特长。(在1天之内完成由学习委员负责完成) 2.其次在各同学现在的个人就业规划做统计() 3.以对2、3项的总结对全班学习小组进行初步分组。(由班长负责1天内完成) 4.经过和本人商讨后,最终确定分组情况。(由班内团支部负责)
Windows环境中组策略处理优先级详解 组策略处理和优先级 应用于某个用户(或计算机)的组策略对象(GPO) 并非全部具有相同的优先级。以后应用的设置可以覆盖以前应用的设置。 处理设置的顺序 本节提供有关用户和计算机组策略设置处理顺序的详细信息。有关策略设置处理适合计算机启动和用户登录框架的位置的信息,请参阅以下主题启动和登录中的第3 步和第8 步。 组策略设置是按下列顺序进行处理的: 1.本地组策略对象—每台计算机都只有一个在本地存储的组策略对象。对于计算机或用户策略处理,都会处 理该内容。 2.站点—接下来要处理任何已经链接到计算机所属站点的GPO。处理的顺序是由管理员在组策略管理控制台 (GPMC) 中该站点的“链接的组策略对象”选项卡内指定的。“链接顺序”最低的GPO 最后处理,因此具有最高的优先级。o 3.域—多个域链接GPO 的处理顺序是由管理员在GPMC 中该域的“链接的组策略对象”选项卡内指定的。 “链接顺序”最低的GPO 最后处理,因此具有最高的优先级。 4.组织单位—链接到Active Directory 层次结构中最高层组织单位的GPO 最先处理,然后是链接到其子 组织单位的GPO,依此类推。最后处理的是链接到包含该用户或计算机的组织单位的GPO。 wu 在Active Directory 层次结构的每一级组织单位中,可以链接一个、多个或不链接GPO。如果一个组织单位链接了几个GPO,它们的处理顺序则由管理员在GPMC 中该组织单位的“链接的组策略对象”选项卡内指定。“链接顺序”最低的GPO 最后处理,因此具有最高的优先级。 该顺序意味着首先会处理本地GPO,最后处理链接到计算机或用户直接所属的组织单位的GPO,它会覆盖以前GPO 中与之冲突的设置。(如果不存在冲突,则只是将以前的设置和以后的设置进行结合。) 设置默认处理顺序的例外 设置的默认处理顺序受下列例外情况的影响: GPO 链接可以“强制”,也可以“禁用”,或者同时设置两者。默认情况下,GPO 链接既不强制也不禁用。
组策略详解(图解) 电脑知识2008-05-27 06:11 阅读138 评论0 字号:大中小 组策略是管理员为计算机和用户定义的,用来控制应用程序、系统设置和管理模板的一种机制。通俗一点说,是介于控制面板和注册表之间的一种修改系统、设置程序的工具。微软自W indows NT 4.0开始便采用了组策略这一机制,经过Windows 2000发展到Windows XP已相当完善。利用组策略可以修改Windows的桌面、开始菜单、登录方式、组件、网络及IE浏览器等许 多设置。 平时像一些常用的系统、外观、网络设置等我们可通过控制面板修改,但大家对此肯定都有不满意,因为通过控制面板能修改的东西太少;水平稍高点的用户进而使用修改注册表的方法来设置,但注册表涉及内容又太多,修改起来也不方便。组策略正好介于二者之间,涉及的内容比控制面板中的多,安全性和控制面板一样非常高,而条理性、可操作性则比注册表 强。 本文主要介绍Windows XP Professional本地组策略的应用。本地计算机组策略主要可进行两个方面的配置:计算机配置和用户配置。其下所有设置项的配置都将保存到注册表的相关项目中。其中计算机配置保存到注册表的HKEY_LOCAL_MACHINE子树中,用户配置保存到H KEY_CURRENT_USER。 一、访问组策略 有两种方法可以访问组策略:一是通过gpedit.msc命令直接进入组策略窗口;二是 打开控制台,将组策略添加进去。 1. 输入gpedit.msc命令访问 选择“开始”→“运行”,在弹出窗口中输入“gpedit.msc”,回车后进入组策略窗口(图1)。组策略窗口的结构和资源管理器相似,左边是树型目录结构,由“计算机配置”、“用户配置”两大节点组成。这两个节点下分别都有“软件设置”、“Windows设置”和“管理模板”三个节点,节点下面还有更多的节点和设置。此时点击右边窗口中的节点或设置,便会出现关于此节点或设置的适用平台和作用描述。“计算机配置”、“用户配置”两大节点下的子节点和设置有很多是相同的,那么我们该改哪一处?“计算机配置”节点中的设置应用到整个计算机策略,在此处修改后的设置将应用到计算机中的所有用户。“用户配置”节点中的设置一般只应用到当前用户,如果你用别的用户名登录计算机,设置就不会管用了。但一般情况下建议在“用户配置”节点下修改,本文也将主要讲解“用户配置”节点的各项设置的修改,附带讲解“计算机配置”节点下的一些设置。其中“管理模板”设置最多、应用最广,因此也 是本文的重中之重。
1.编写DNS设置计算机策略脚本 1)新建文本文档并重命名为computer.bat 2)编辑computer.bat,将以下命令复制进去并保存 netsh interface ip set dns "本地连接" static <首选DNS> netsh interface ip add dns "本地连接" <备选DNS> netsh interface ip add dns "本地连接" addr=<备选DNS 2> index=3 netsh interface ip add dns "本地连接" addr=<备选DNS 3> index=4 2.编写DNS设置用户策略脚本 1)新建文本文档并重命名为user.bat 2)编辑user.bat,将以下命令复制进去并保存 echo <管理员密码> |runas /savecred /env /user:<域\管理员帐户> "netsh interface ip set dns "本地连接" static <首选DNS>" echo <管理员密码> |runas /savecred /env /user:<域\管理员帐户> "netsh interface ip add dns "本地连接" <备选DNS>" echo <管理员密码> |runas /savecred /env /user:<域\管理员帐户> "netsh interface ip add dns "本地连接" addr=<备选DNS2> index=3" echo <管理员密码> |runas /savecred /env /user:<域\管理员帐户> "netsh interface ip add dns "本地连接" addr=<备选DNS3> index=4" 3.设置计算机策略 1)依次打开“组策略管理器”—组策略对象—找到对应OU的组策略。 2)右击编辑—“计算机配置”—“策略”—“Windows设置”—“脚 本”—“启动” 3)在弹出的对话框中选择“添加”—“浏览”,将新建的computer.bat复制 进去,选择computer.bat保存确定。 4.设置用户策略
组织策划方案范文2020 a;活动背景、活动目的与活动意义要贯穿一致,突出该活动的核心构成或策划的独到之处。活动背景要求紧扣时代背景、社会背景与教育背景,鲜明体现在活动主题上;活动目的即活动举办要达到一个什么样的目标,下面是整理的关于组织策划方案范文,欢迎阅读。 组织策划方案范文1 一、活动时间:5月8日 二、活动地点:武夷山 三、活动人数:业务部全体成员 四、活动目的:为营造健康积极的工作环境,提升员工的精神文化品位,加深相互认识了解、培养成员之间互亲互爱、增进感情,加强社团团队凝聚力。 五、活动过程 1、各成员于早上8:00准备备好物品在办公楼前集合。 2、会长在清点人员之后传达注意事项,和活动目的,完毕后分若干小组。各组配1-2名干部负责,一名组长,一名通信员。 3、开始出发,队伍行进。队伍行进过程中必须整齐,不可太嘈杂,干部和小组长注意观察队员的情况,确定适当的休息时间。 4、到达山脚时建议有十几分钟的休息时间。 5、爬山。爬山过程中建议各队分开行动,各队之间评比爬山快慢,最快的一组有优先向社旗上写名的权利,最慢的一组要有处罚性
的节目演出。过程中有精彩的部分,做好拍照工作。要有一定秩序,注意安全。 6、休息。建议休息半小时后开展活动。 7、开展娱乐性活动,无固定时间,若爬山用时过长可对时间进行压缩,若短也可以增加。本活动在社团之中展开。备选活动接歌。分若干队,由干部带领,社长唱一句,各队根据其中最后一个字接唱,各队伍之间要有竞争,开始时可降低难度,所接唱的歌曲中必须有上句所唱句中最后一字,可谐音。 拉歌。各队伍之间要攀比士气,互相拉歌。 成语接龙。 类似于击鼓传花的游戏,选一人蒙住眼睛,同时进行传花,数停止后,手中有花者必须表演节目。 给出几个成语编故事。 小型辩论会。推举十个人,分成两队在社团就某一问题展开辩论。 小型舞会,找一块平整的空地,会跳舞者参与其中不会的也可以学习。 超级模仿秀。自愿参加,模仿某一明星唱歌或表演. 8、午餐。计划用时五十分钟。 9、自由活动。原则上不允许单独活动,可以几个人结伴活动或游戏,也可以成员之间互相认识相互交谈,看书或其它。 10、会员感言。再次集聚,每个人一句话来表达西安佳本次活动的感想和收获。
策划组及个人职责 一、策划组职责 1、负责各影视项目的定位与策划案的撰写; 2、负责公司相关项目剧本的编剧撰写工作; 3、负责与外聘编剧沟通,对其撰写剧本的进度和质量进行监督与控制,确保按时优质的完成相关剧本的撰写工作; 4、了解影视剧市场,及时把握新动态新趋势为公司提供有效的市场信息等; 5、负责影视剧项目的开发和市场分析等。 二、策划部人员分职: 编号人员职务 1 策划总监、编辑 2 策划 3 编辑 4 策划、编辑 上官维和——项目总监、编剧 1、岗位职责: 1)负责安排、监督、协调部门人员的各项工作,加强与上级领导交流沟通,确保整个策划部门的良性运作; 2)负责各影视项目的定位与策划案的制定; 3)负责公司相关项目剧本的编剧创作工作;
4)了解影视剧市场,及时把握新动态、新趋势,负责发掘优秀影视项目,拓展相关的影视项目合作资源。 2、任职要求: 1)具备出众的文字驾驭能力和视角独到的文案创作能力,较强的内容企划能力和编辑整合能力,能够独立思考并有所创新,创意表现能力较强; 2)具备出色的创意及策略把控能力,良好的团队领导能力和沟通、组织能力; 3)具有专业的编剧素质,有较强结构故事和驾驭故事的能力,善于创作人物台词语言,思维敏捷,创新能力强,能独立创作剧本或参与团队创作; 4)有很好的影视剧创作修养,在剧本人物、结构、情节等方面有极强的把握能力,语言台词功底好,执行能力强,能将正确的剧本意见尽快落实修改到剧本中; 5)对社会生活有自己独特见解和细致洞察能力,能够把握公众或媒体的关注点和喜爱偏好的变化,剧本创作前期能对剧本素材和题材进行整体评估、筛选; 6)热爱编剧工作具备编剧的职业操守,有充足的创作时间和创作精力,有团队合作精神,具有高度责任心; 7)熟悉传媒市场策划和电视剧运营,具有较强的推广策划与文案撰写具备丰富的广告和传媒策划理论和一定的市场营销知识,有较强的市场运营能力及市场经验; 8)了解国内一流影视播出机构情况,熟悉电视台喜好的电视剧风格、类型和需求行情;了解国内一流影视制作公司情况,熟悉影视剧编剧、导演、演员行情等信息;了解传媒、娱乐行业,如网络策划、运营;
常用AD组策略设置 利用Windows活动目录(AD)组策略,可以比较方便的对域中所有Windows客户端的桌面、屏幕保护、本地管理员密码、可信站点等等诸多元素,进行统一设置。 根据需要,有些组策略可以在整个域里实施,有的可以在域内不同的组织单位(OU)中单独实施。相应的操作也就是在域或OU的属性页中,增加、编辑和应用组策略。 下面是实际操作演示: ?AD域控制器:Windows Server 2003/2008 ?以域管理员权限运行“Active Directory 用户和计算机” 1. 设置屏保程序 打开“https://www.doczj.com/doc/663041021.html,”域下组织单位“北京”的属性(如下图): 可看到已经启用了一个名为“bjboshi”的组策略,选中它,点击“编辑”按钮,进入组策略对象编辑器。在“计算机配置”-“Windows设置”-“脚本”中,打开“启动”的属性(如下图),增加一个名为setscr.bat的脚本。
脚本存放路径为域控制器的 C:\Windows\SYSVOL\sysvol\https://www.doczj.com/doc/663041021.html,\Policies\{5F158A23-FFAA-4469-BAED-FE6D46963630}\Ma chine\Scripts\Startup 该setscr.bat脚本的内容是: copy bssec.scr c:\windows\system32 即每次系统启动时,将域控制器上的屏保文件bssec.scr复制到客户端电脑的c:\windows\system32路径下。作用就是分发和同步所有客户端电脑的屏保文件。
下面进行关于客户端屏保的策略设置。打开“https://www.doczj.com/doc/663041021.html,”域的属性(如下图): 可看到已经启用了一个名为“Default Domain Policy”的组策略,选中它,点击“编辑”按钮,进入组策略对象编辑器。
北京城市学院 五月鲜花合唱节 策 划 书 日期:2013年4月8日
【活动背景】:92年前——1919年5 月4日,北京的青年学生为了反对北洋军阀政府的代表在卖国条约上签字,火烧赵家楼,痛殴卖国贼,率先点燃了反帝爱国的火焰,发动了彪炳史册的五四爱国运动。五四,从此成为中国人民特别是中国青年的一面旗帜。岁月如烟,流年似水。五四运动所包含的“爱国、进步、民主、科学”的精神火炬,经一代又一代志士仁人的接力传递,正由当代青年高擎着迈向新世纪。 【活动目的】:此次合唱比赛以弘扬五四精神、展现大学生风貌为宗旨,通过比赛反映校园生活和当代青年学生积极向上的精神,推进大学生文化素质教育,展现我校大学生爱国、爱党、爱社会主义、爱人民的情怀和风貌。丰富校园文化生活,陶冶情操,提高艺术修养,推动校园精神文明建设,构建和谐校园,促进学生全面发展! 【活动主题】: 唱红五月、歌拥青春 【主办单位】: 城建学生会、团总支 【活动时间】: 五月份
【活动地点】: 体育馆一、二层 【活动范围】: 北京城市学院城建学部 前期准备策划 一、宣传 宣传方式:(1)印传单:内容包括介绍本次活动的具体情 况、报名方式、报名时间、报名条件。并 在教学楼门口、食堂门口、宿舍楼下以及 校园的各路口张贴,以此来号召同学们的 积极参加。 (2)做海报。分为两种:一是活动举办前在 各主要教学楼张贴海报,宣传本次活动, 要求醒目美观,能很好的包括本次活动 的主题,简单明了,吸引本院学生前来 观看,到宣传是最好效果;二是活动过 后将本次活动的获奖名单以海报的形式 张贴公示,以示对获奖班级的精神嘉奖。
一、实验名称 组策略的配置及使用 二、实验类型 验证性实验 三、实验目的 通过对服务器进行本地安全策略的配置,使学生掌握组策略的概念,配置组策略的方法,及使用组策略配置用户、配置计算机及配置软件的具体实例操作。 四、实验内容 (1)通过控制台访问组策略 (2)对用户设置密码策略 (3)对用户设置登录策略 (4)退出系统时清除最近打开的文件的历史 五、相关知识 1、组策略对象的类型 组策略对象有两种类型:本地和非本地。 本地组策略对象:对于每台运行Windows 2000以上操作系统的计算机,无论该计算机是否连接在网络上,或者是否是Active directory环境的一部分,它都存储着一个本地组策略对象。然而,若计算机处在Active directory的网络中,那么非本地组策略对象将覆盖本地组策略对象,从而将本地组策略对象对系统的影响降到最小。在非网络环境中,或非Active directory中,由于本地组策略对象的设置并没有被非本地组策略对象覆盖,所以仍然可以发挥作用。 非本地组策略对象:非本地组策略对象是与Active directory对象联系起来使用的。非本地组策略对象也可以应用于用户或计算机。如果要使用非本地组策略对象,那么必须在网络中安装一台域控制器。根据Active directory服务的属性,系统会分层次地应用非本地组策略对象中的策略。 2、组策略模板 组策略模板(GPT)是域控制器上SYSVOL文件夹中的一个目录层次结构。该文件夹是一个共享文件夹,其中存储着域中公共文件的服务器拷贝,这些拷贝来自域中所有的域控制器。当创建一个组策略对象时,服务器会创建一个相应的组策略模板文件夹层次结构。组策略模板包含了所有的组策略设置和信息,包括管理模板、安全设置、软件安装、脚本和文件夹重
远程修改组策略 由于管理员的误操作导致了本地策略拒绝所有人登录,如何恢复呢?今天我们就来做这个实验! 首先,我们要做一下的准备工作: 1. 选定两台虚拟机Florence(IP;19 2.168.12.101)和Berlin(IP:192.168.12.103)进行实验。 2.对Berlin进行设置,使得任何用户都无法登录。 (1.)在Berlin上,点击开始/运行,输入Gpedit.msc, 运行后会出现本地计算机组策略编辑器,然后点击windows设置/安全设置/本地策略/用户权限分配,如下图所示:
打开以后我们就可以找到拒绝本地登录这一项了,双击打开 打开后点击添加用户和组,把User用户添加进去
点击确定后,注销计算机。 任何的用户都无法登录了,甚至就连大名鼎鼎的管理员也无法登录了! OK!实验正式开始了! 我们用Florence远程登录进行对Berlin进行修复。但是远程登录需要目标计算机开启telnet服务,但计算机默认的telnet服务是关闭的,首先我们要连接到Berlin手动将telnet服务启动起来。 Florence中,右键点击我的电脑,打开计算机管理,然后右键点击:计算机管理(本地)——连接到另一台计算机,如下图:
在选择计算机中输入Berlin的IP地址,然后点击确定。 然后的服务中找到Telnet,
手动启动起来。 OK!我觉得现在的准备工作才算完成了!接下来我们要用Telnet 把Berlin连接过来。 在Florence中,点击开始/运行,输入cmd
键入telnet 192.168.12.103 在C:\>提示符下,键入secedit /export /cfg c:\sectmp.inf,导出它的当前安全设置。 完成以后不用着急关闭该提示符。
如何设置常用组策略 故障现象: 组策略应用设置大全一、桌面项目设置 1. 隐藏不必要的桌面图标 2. 禁止对桌面的改动 3. 启用或禁止活动桌面 4. 给开始菜单减肥5. 保护好任务栏和开始菜单的设置二、隐藏或禁止控制面板项目 1. 禁止访问控制面板 2. 隐藏或禁止添加/删除程序项 3. 隐藏或禁止显示项三、系统项目设置 1. 登录时不显示欢迎屏幕界面 2. 禁用注册表编辑器 3. 关闭系统自动播放功能 4. 关闭Windows自动更新 5. 删除任务管理器四、隐藏或删除Windows XP资源管理器中的项目 1. 删除文件夹选项 2. 隐藏管理菜单项 五、IE浏览器项目设置 1. 限制IE浏览器的保存功能 2. 给工具栏减肥 3. 在IE工具栏添加快捷方式 4. 让IE插件不再骚扰你 5. 保护好你的个人隐私 6. 禁止修改IE浏览器的主页 7. 禁用导入和导出收藏夹 六、系统安全/共享/权限设置 1. 密码策略 2. 用户权利指派 3. 文件和文件夹设置审核 4. Windows 98访问Windows XP共享目录被拒绝的问题解决 5. 阻止访问命令提示符 6. 阻止访问注册表编辑工具 解决方案: 一、桌面项目设置 在组策略的左窗口依次展开用户配置---管理模板---桌面节点,便能看到有关桌面的所有设置。此节点主要作用在于管理用户使用桌面的权利和隐藏桌面图标。 1. 隐藏不必要的桌面图标 桌面上的一些快捷方式我们可以轻而易举地删除,但要删除我的电脑、回收站、网上邻居等默认图标,就需要依靠组策略了。例如要删除我的文档,只需在删除桌面上的‘我的文档’图标一项中设置即可。若要隐藏桌面上的网上邻居和Internet Explorer图标,只要在右侧窗格中将隐藏桌面上‘网上邻居’图标和隐藏桌面上的Internet Explorer图标两个策略选项启用即可;如果隐藏桌面上的所有图标,只要将隐藏
Active Directory 环境中使用组策略管理控制 台9468915501 该逐步式指南提供了在Active Directory 环境中使用组策略治理操纵台(GPMC) 来支持组策略对象(GPO) 的一样性指导。该指南并不提供G PO 实施指导。 本页内容 简介 逐步式指南 Windows Server 2003 部署逐步式指南提供了专门多常见操作系统配置的实际操作体会。本指南第一介绍通过以下过程来建立通用网络结构:安装Windows Server 2003;配置Active Directory?;安装Windows XP Professional 工作站并最后将此工作站添加到域中。后续逐步式指南假定您已建立了此通用网络结构。如果您不想遵循此通用网络结构,则需要在使用这些指南时进行适当的修改。 通用网络结构要求完成以下指南。 ? ?
在配置通用网络结构后,能够使用任何其他的逐步式指南。注意,某些逐步式指南除具备通用网络结构要求外,可能还需要满足额外的先决条件。任何额外的要求都将列在特定的逐步式指南中。 Microsoft Virtual PC 能够在物理实验室环境中或通过虚拟化技术(如Microsoft Virtual PC 2004 或Microsoft Virtual Server 2005)来实施Windows Server 2003 部署逐步式指南。借助于虚拟机技术,客户能够同时在一台物理服务器上运行多个操作系统。Virtual PC 2004 和Virtual Server 2005 确实是为了在软件测试和开发、旧版应用程序迁移以及服务器整合方案中提升工作效率而设计的。 Windows Server 2003 部署逐步式指南假定所有配置差不多上在物理实验室环境中完成的,但大多数配置不经修改就能够应用于虚拟环境。 将这些逐步式指南中提供的概念应用于虚拟环境超出了本文的讨论范畴。 重要讲明 此处作为例子提到的公司、组织、产品、域名、电子邮件地址、徽标、个人、地点和事件纯属虚构,决不意指,也不应由此臆测任何公司、组织、产品、域名、电子邮件地址、徽标、个人、地点或事件。 此通用基础结构是为在专用网络上使用而设计的。此通用结构中使用的虚拟公司名称和域名系统(DNS) 名称并未注册以便在Internet 上使用。您不应在公共网络或Internet 上使用此名称。 此通用结构的Active Directory 服务结构用于讲明“Windows Server 2003 更换和配置治理”如何与Active Directory 配合使用。不能将其作为任何组织进行Active Directory 配置的模型。 概述 Microsoft 组策略治理操纵台(GPMC) 是一个用于组策略治理的新工具,它通过改进易治理性和提升效率关心治理员更经济有效地治理企业。它包含一个新的Microsoft 治理操纵台(MMC) 治理单元和一组可编程接口。
W i n d o w s操作系统组策略应用全攻略 公司内部编号:(GOOD-TMMT-MMUT-UUPTY-UUYY-DTTI-
Windows操作系统组策略应用全攻略 一、什么是组策略 (一)组策略有什么用 说到组策略,就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库,随着Windows功能的越来越丰富,注册表里的配置项目也越来越多。很多配置都是可以自定义设置的,但这些配置发布在注册表的各个角落,如果是手工配置,可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供管理人员直接使用,从而达到方便管理计算机的目的。 简单点说,组策略就是修改注册表中的配置。当然,组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。 (二)组策略的版本 大部分Windows 9X/NT用户可能听过“系统策略”的概念,而我们现在大部分听到的则是“组策略”这个名字。其实组策略是系统策略的更高级扩展,它是由Windows 9X/NT的“系统策略”发展而来的,具有更多的管理模板和更灵活的设置对象及更多的功能,目前主要应用于Windows 2000/XP/2003系统。 早期系统策略的运行机制是通过策略管理模板,定义特定的.POL(通常是文件。当用户登录的时候,它会重写注册表中的设置值。当然,系统策略编辑器也
支持对当前注册表的修改,另外也支持连接网络计算机并对其注册表进行设置。而组策略及其工具,则是对当前注册表进行直接修改。显然,Windows 2000/XP/2003系统的网络功能是其最大的特色之处,其网络功能自然是不可少的,因此组策略工具还可以打开网络上的计算机进行配置,甚至可以打开某个Active Directory 对象(即站点、域或组织单位)并对它进行设置。这是以前“系统策略编辑器”工具无法做到的。 无论是系统策略还是组策略,它们的基本原理都是修改注册表中相应的配置项目,从而达到配置计算机的目的,只是它们的一些运行机制发生了变化和扩展而已。 二、组策略中的管理模板 在Windows 2000/XP/2003目录中包含了几个 .adm 文件。这些文件是文本文件,称为“管理模板”,它们为组策略管理模板项目提供策略信息。 在Windows 9X系统中,默认的管理模板即保存在策略编辑器同一个文件夹中。而在Windows 2000/XP/2003的系统文件夹的inf文件夹中,包含了默认安装下的4个模板文件,分别为: 1):默认情况下安装在“组策略”中,用于系统设置。 2):默认情况下安装在“组策略”中;用于Internet Explorer策略设置。 3):用于Windows Media Player 设置。 4):用于NetMeeting 设置。
电话:(0371)65706336 65706337 65706339 传真:(0371)65706367 地址:郑州市丰产路81号思达数码大厦C座5楼邮编:450002 1 通过组策略修改客户端登录的方式 场景 某企业的管理员为了方便用户的登录及只允许登录到域,希望能够达到以下目的: z不使用安全键序列Ctrl+Alt+Del,直接输入用户名及密码 z在登录时,登录对话框中只显示域,而不显示本机,从而达到只能登录到域的目的z个别的计算机(如展厅的PC)开机就自动登录到域,而且使用的是有密码的权限受限的账户 原理 在Windows NT开始,在登录的时候就需要Ctrl-Alt-Delete组合键才能出现登录对话框,这三个键叫Secure Attention Sequence(SAS)。微软之所以这样设计,是因为CTRL+ALT+DEL 三键直接调出的程序只有任务管理器和登录窗口,而其它的一些骗取密码的木马类程序是无法通过的,从而提高了安全性。 一般建议用户使用这个安全键序列。但是有些不了解的用户却认为这样不方便。 SAS热键的注册使得Winlogon成为第一个处理CTRL+ALT+DEL的进程,所以保证了没有其他应用程序能够处理这个热键。 在Windows NT/Windows 2000/Windows XP中, WinSta0 是表示物理屏幕、鼠标和键盘的Windows系统对象的名字。Winlogon在WinSta0 Windows系统中创建了SAS窗口(窗口标题是"SAS Window")和如下三个桌面。 z Winlogon 桌面 z应用程序桌面 z屏幕保护桌面 当用户按下Ctrl-Alt-Delete组合键时,Winlogon桌面上的SAS窗口收到它注册的系统热键消息(WM_HOTKEY) SAS Window窗口处理这个消息调用Graphical Identification and Authentication(GINA)动态连接库中的相关函数。
关于选拔优秀文艺骨干组建朝阳区职工艺术团的通知各局、公司、街道、乡及直属基层工会: 为进一步活跃我区广大职工的文化生活,提升职工艺术品位和艺术鉴赏能力,推动我区群众性文化活动的发展,也为迎接全国文明城区的评估,经区总工会研究决定成立朝阳区职工艺术团(以下简称艺术团)。为了组建一支“业余团队,专业水平”的艺术团队,现向全区招纳艺术人才,具体事项通知如下: 一、艺术团宗旨 艺术团服务我区的精神文明建设,繁荣群众文化生活,提高职工文化艺术素质,促进对外文化交流,向社会各界展示我区职工的精神面貌和综合素质,树立朝阳职工文明向上的社会公共形象。 二、艺术团的任务 艺术团以繁荣群众文化生活和提高职工文化艺术素质为宗旨,将承担以下任务: 1、积极参与策划我区的重大文艺演出和其他艺术活动,例如慰问职工演出、各传统节日的庆祝活动及职工艺术节活动等; 2、代表朝阳区参加全国、省、市级的工会系统文艺演出和比赛; 3、完成区总工会交给的临时演出任务; 4、积极营造职工文化活动的氛围,带动各基层工会的文艺骨干开展各种丰富多彩的群众性文化活动。 三、艺术团入团条件 凡朝阳区工会系统内的企事业单位及机关的在册职工,具备一定的艺术特长,能吃苦耐劳,坚持长期专项训练,能遵守艺术团各项规章制度,经考核合格者,均可成为艺术团成员。 四、艺术团组织机构 艺术团实行团长负责制,在朝阳区总工会的直接领导下开展日常工作。 艺术团下设办公室和五支专业团队(合唱队、舞蹈队、曲艺队、器乐队、戏曲队)。 艺术团由区总工会主管副主席任团长,常务副团长、副团长、各队队长由艺术团成员担任。办公室设在区总工会组宣部。区总工会将为各队聘请专业教师,负责指导日常授课与排练,并根据特定需要制定计划,进行艺术指导和组织排练。
组策略对象可以应用到的容器包括:站点、域、和OU中。 默认的域策略、域控制器策略尽量不要去修改。 默认的域策略会影响到所有的域内的用户,计算机以及DC,默认的域控制器策略只会影响到域内的所有的域控制器。 组策略(group policy)对象包括组策略容器(GPC)和组策略模板(GPT) 组策略是AD集中管理的工具。GPC存放在AD用户和计算机中。存放位置如下:高级功能-选择域-system-policies对应的UID中,单击属性可以查看版本号等信息,CPT存放于sysvol\域名\polilcies\ID number下的文件夹下,包含计算机和用户的配置,以及版本号。 多个GPO可以链接到一个容器,一个GPO可以链接到多个容器。 计算机如何知道组策略是否更改过?如何获取适合自己的组策略? 计算机在登录时首先查看GPlink(adsiedit.msc中域-属性-属性编辑器),查看ID和对应的版本号是否更改过,以便登录的时候实施对应的组策略。 计算机和用户如果要应用组策略对象的设定: 计算机和用户必须位于GPO有链接的SDOU容器内。 必须对GPO要有读取和应用组策略的权限。 组策略对象冲突时: 1:计算机策略覆盖用户策略。 2:不同层次的策略产生冲突时,子容器上的GPO优先级高 3:同一容器上多个GPO产生冲突时,处于GPO列表最高位置的GPO优先级最高。(按照链接的组策略对象的顺序执行) 总体原册:后执行的优先级高。 变更组策略管理顺序:阻止继承,强制。设为强制的GPO优先级最高。阻止继承:就是在父策略的对象不在子策略中实施。不要轻易设置强制和阻止继承。方便排错。 安全策略:删除默认的authenticated user组,按照GPO设定创建安全组,为安全组分配权限。 问题:如何实现OU内的GPO只对OU内特定人员生效?(GPO只对财务部OU和销售部OU的经理生效) 使用安全过滤;在AD用户和计算机上新建一个安全组,将需要生效的成员(经理)添加进来,在所要生效的GPO中右击属性-委派-高级,删除默认的authenticated user组,将新建的安全组添加进来,权限中设置读取和应用组策略权限即可。(尽量不要使用,方便排错) 如何使其他用户具有编辑组策略的权限? 在所设置的组策略上点击添加,将用户添加进来,给予相应的权限,给定的用户即可编辑对应的组策略。 如何设置域中用户具有修改域的所有组策略(不包含给定权限的用户自己编辑的组策略)的权限?单击AD用户和计算机,单击group policy creator owners-属性,将需要添加的成员添加进来即可。 如何设置域中GPO的链接的权限?(将设置的组策略对象链接到相应的容器中的权限) 在AD用户和计算机上单击域,右击委派控制-添加,将要添加的用户添加进来,然后给予相应的权限即可。 如何查看当前系统新增的组策略功能? GPedit中单击管理模板-查看-筛选器选项,勾选相应选项即可查看。 组策略结果集RSoP的用处? MMC中添加策略的结果集即可以打开RSoP 可以选择记录模式和计划模式,记录模式显示当期应用的组策略结果,计划模式显示模拟的即将应用的组策略结果,单击更改查询切换,进行查询。
组策略完全使用手册 对于大部分计算机用户来说,管理计算机基本上是借助某些第三方工具,甚至是自己手工修改注册表来实现。其实Windows XP组策略已经把这些功能集于一体,通过组策略及相关工具完全可以实现我们所需要的功能。 一、组策略基础 1.什么是组策略 注册表是Windows系统中保存系统软件和应用软件配置的数据库,而随着Windows功能越来越丰富,注册表里的配置项目也越来越多,很多配置都可以自定义设置,但这些配置分布在注册表的各个角落,如果是手工配置,可以想像是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供用户直接使用,从而达到方便管理计算机的目的。 其实简单地说,组策略设置就是在修改注册表中的配置。当然,组策略使用了更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。 2.组策略的版本 对于Windows 9X/NT用户来说,都知道“系统策略”的概念,其实组策略就是系统策略的高级扩展,它是自Windows 9X/NT的“系统策略”发展而来的,具有更多的管理模板、更灵活的设置对象及更多的功能,目前主要应用于Windows 2000/XP/2003操作系统中。 早期系统策略的运行机制是通过策略管理模板,定义特定的POL(通常是Config.pol)文件。当用户登录时,它会重写注册表中的设置值。当然,系统策略编辑器也支持对当前注册表的修改,另外也支持连接网络计算机并对其注册表进行设置。 而组策略及其工具,则是对当前注册表进行直接修改。显然,Windows 2000/XP/2003系统的网络功能是其最大的特色之处,所以其网络功能自然是不可少的,因此组策略工具还可以打开网络上的计算机进行配置,甚至可以打开某个Active Directory(活动目录)对象(即站点、域或组织单位)并对其进行设置。这是以前“系统策略编辑器”工具无法做到的。 当然,无论是“系统策略”还是“组策略”,它们的基本原理都是修改注册表中相应的配置项目,从而达到配置计算机的目的,只是它们的一些运行机制发生了变化和扩展而已。 3.在Windows XP中运行组策略 在Windows 2000/XP/2003系统中,系统默认已经安装了组策略程序,在“开始”菜单中,单击“运行”选项,在打开的对话框中输入“gpedit.msc”并确定,即可运行组策略。如图1所示。 使用上面的方法,打开的组策略对象是当前的计算机,而如果需要配置其他的计算机组策略对象,则需要将组策略作为独立的MMC管理单元打开: (1)打开Microsoft管理控制台(可在“开始”菜单的“运行”对话框中直接输入“MMC”并确定)。 (2)单击“文件→添加/删除管理单元”菜单命令,在打开的对话框中单击“添加”按钮。 (3)在“可用的独立管理单元”对话框中,单击“组策略”选项,然后单击“添加”按钮。 (4)在“选择组策略对象”对话框中,单击“本地计算机”选项编辑本地计算机对象,或通过单击“浏览”查找所需的组策略对象。
“蚂蚁队”的兴起 对于一个新的学科——营销策划,我们要有更好的认识,追求的不仅仅是一个人的创新,我们更应要的是一个团队的发奋,求新创异。所以我们以弱小的蚂蚁作为对象。一、组建宗旨 为了让学习更加贴近社会,为以后融入社会打造坚实的基础。为了培养同学们的团队协作能力。争取小力量办大事。 二、组建目标 1、成员见“互赖”“双赢”观点深入人心。 2、培养自信,敢与不断超越自己。 3、有效的团体会议,共同参与团队事务。 三、团队组建过程 A.时间:2个工作日 目标:拟定完整的团队组建计划,包括团队精神建设、团队行为规范、设计团队名片(PPT),体现团队精神及管理理念。 操作步骤:(1)建团初步方案草稿 (2)资料的收集与整理 主要包括: 团队精神建设 ①团队标志 ●团队命名 ●标识设计 ●团队文本(WORD及PPT)模板设计 ②团队理念的提炼 ●团队的使命 ●团队的基本理念
●团队的管理哲学 ●①团队行为规范 ②设计团队名片 四.团队介绍 1、团队名称:蚂蚁队 2、意义:小小的蚂蚁虽然微不足道,你用两根手指轻轻一掐,就能使它粉身碎骨,可是,成千上万只蚂蚁团结起来,却能做出惊天动地的事情。 五.团队的管理哲学 没有完美的个人,只有完美的团队,一个完美的团队需要沟通,需要学会分享。没有完美的个人,只有完美的团队!只有将和谐沟通做团队的基石,将互相分享做团队的砖瓦,我们的团队才真正具有强大的生命力,才能在激烈的竞中取胜,才是一支具有凝聚力、执行力、竞争力的完美团队! 七.团队成员的奖惩 不以规矩,何以成方圆”。根据团队成员的表现,给于不同的等级评测。 1.考勤 A—全勤;B—迟到早退;C—上课违纪;D—缺勤 2.工作态度 A—积极主动、出色完成任务、在团队中发挥骨干作用;B —积极认真、较好完成任务;C—认真参与、基本完成任务;D—表现一般。 八.结论
什么是组策略:所谓组策略就是配置计算机中某一些用户组策略的程序,由系统管理员操作控制计算机程序、访问网络资源、操作行为、各种软件设置的最主要工具,在组策略中管理员可以管控诸如:禁止运行指定程序、锁定注册表编辑器、阻止访问命令提示符、禁止修改系统还原配置、修改用户组密码等等; 组策略编辑器命令是什么,组策略怎么打开: 点击“开始”菜单——>选择“运行”——>输入“gpedit.msc”(不含引号)——>点击确定即可打开组策略; 假如您在网吧或局域网中权限受限,导致无法打开组策略,您还可以这样操作,在桌面新建一个文本文档TXT——>打开文本文档,输入“gpedit.msc”(不含引号)——>点击左上角“文件”——>选择“另存为”——>将“保存类型”设置为“所有文件”——>将“文件名”设置为“组策略.bat”——>点击“保存”——>在桌面上双击“组策略.b at” 程序,弹出cmd命令提示符后即可自动启动“组策略”; 假如您在运行中输入“gpedit.msc”后,系统提示“Windows找不到文件xxxxx。请确定文件名是否正确后....”;您可以这样操作,首先点击“开始”菜单——>选择“运行”——>输入“mmc”——>点击确定,打开“控制台1”窗口——>点击“文件”—— >选择“添加\删除管理单元”——>点击下方的“添加”按钮——>在“可用的独立管理单元”中找到并选中“组策略对象编辑器”—— >点击“添加”——>点击“完成”即可——>再通过在运行中输入“gpedit.msc”打开组策略;
组策略怎么打开——>通过在运行窗口中输入“gpedit.msc”;组策略编辑器命令——>gpedit.msc;假如组策略运行异常,请使用上述方法尝试打开组策略。