全方位掌控Windows 7/10 系統

■ 北京 許詠利

編者按：筆者在進行企業網絡管理時發現有很多難以管理系統的情況，經過實際摸索，解決了系統問題并提高了企業網絡管理能力。

現在面臨兩個問題：1.防止非管理員修改系統設置；2.禁止非允許的程序運行安裝和聯網。

筆者的有辦法是：使用Windows 多賬戶分級管理功能和本地安全策略中applocker、高級防火墻策略（第三方插件輔助）和純第三方USB 管控插件。以一臺新裝完Windows 系統的辦公電腦為例：

第一步：防止非管理員修改系統設置。開機進內置Ad 管理員賬戶，為使用電腦的員工新建來賓用戶，命令格式為：

新建一個名為officeus er 的賬戶，并將它歸入來賓組。

在計算機管理→本地用戶賬戶的圖形界面里設置其密碼”永不過期”。

注銷進入新建的賬戶，大部分系統設置被固定無法修改：網卡休眠項直接消失，但網卡雙工模式和速度還能修改，設置不當又會導致斷網。看來設備管理器的根節點程序mmc.exe 必須禁用。

但來賓賬戶下無法禁止軟件的安裝。

特別注意的是：網管在內置Ad 下，要正確的安裝軟件。因為軟件安裝路徑會影響到applocker 策略的部署。大型辦公軟件安裝在C:Program Files (x86) 下，但某些有寫入需要的軟件則應該裝在C:userpublic (AppData) 目錄下，因為非管理員賬戶無權對Program Files(x86) 目錄進行寫入操作，會造成軟件運行異常。而安裝在C:userpublic(AppData)目錄下通用性好，一次安裝各個賬戶都能使用(公用)，在目錄安全屬性中給officeuser 增加對其修改和寫入的權限也很順利。(如果想把軟件安裝到C:userofficeuser (AppData) 下還需要切換到officeuser 賬戶下操作，操作繁瑣)。

第二步：禁止非允許程序的運行。

回到內置Ad 賬戶：運行→secpol.msc →應用程序控制策略→applocker。下面至少有三個類型的規則，每個大項目下分別創建默認規則并稍加修改來構建我們自己的規則。

1.可執行規則針對exe和com 文件

（1）ad 允許運行一切程序。(在三個類型下都有這一項，簡稱公共項)

（2）允許officeuser 運行位于Windows 文件夾中的所有應用程序，但在Windows目錄內例外拒絕以下“路徑名稱的程序”添加。如果你是用瀏覽文件按鈕來尋找程序，最后程序的路徑中會有系統變量出現，若直接復制程序絕對路徑和名稱，并確定，最后只顯示程序絕對路徑。Guests 對Windows 目錄無權寫入，改不了程序名稱，所以放心用路徑條件。

以下程序應該被例外拒絕：計算機管理的根節點程序c:windowssystem32mmc.exe

注冊表編輯器c:windo ws egedit.exe 或regedt3 2.exe

命令行c:windowssyst em32cmd.exe 及c:window ssystem32 WindowsPowerS hell*

像mmc.exe 雖然在系統目錄中有多個，但只要添加完c:windowssystem32下這個后再添加其他不同路徑但同名的程序時系統會提示已重復。

（3）允許officeuser 運行位于程序文件，程序文件(x86)目錄下的程序。

（4）別忘了安裝在C:us erpublic (AppData) 下的殺軟程序，右擊空白處點新建規則：允許officeuser運行“數字簽名為騰訊并且產品名稱為電腦管家的程序”(騰訊電腦管家安裝目錄里有眾多exe 文件，好在它們有相同的產品名稱)。

具體操作是在新建規則中的權限那選發布者，點瀏覽選中電腦管家的主程序(QQPCTray.exe,) 把縱軸上的指針向上推到“產品名稱的位置”，指針下的兩項內容都變成“*”。

當然也有產品名是電腦管家權限雷達的，在多建一個規則就行。

在這個路徑下officeus er 已被授予寫入和修改權限(這些軟件運行需要寫入數據到它的安裝目錄)，用路徑名稱來控制已不安全：它可以先把合法程序放入回收站，再把非授權程序改為合法程序名，從而突破封鎖。而“發布者”則可以精準檢查數字簽名、產品名稱、文件名和版本號。這樣更有效杜絕了非授權程序的運行。

2.Windows 安裝規則：只留公共項這一條。

3.腳本規則：只留公共項這一條。

4.Windows 10 中多了個封裝規則：也只留公共項。

5.啟用規則

右擊applocker →屬性→三個“已配置強制規則”都勾選，“確定”。

開啟相關服務：sc con fig AppIDSvc start= auto注意=與 auto 之間有一個空格，否則報錯。

sc start AppIDSvc

但到Windows 10 下就只能修改注冊表來更改服務的狀態：HK-LMsystemcurren tcontrolsetservicesAppIDSvc 找到右側start項，“=2”表示自動啟動，“3”手動啟動，“4”禁用停止，“0,1”無意義。

6.備份和部署規則

右擊applocker，導出策略，另存為擴展名為XML 的文件。

備份完的策略導入到其它電腦后首先要修改各個規則所針對的用戶，改成新電腦上的來賓用戶和管理員。規則內路徑項使用系統變量通用性就較強，使用絕對路徑的就要看看能否符合新電腦的實際情況了。

第三步：禁止非允許程序聯網（內置Ad 下）：Windows 系統自帶防火墻( 簡稱wfw) 對非允許程序只禁止入站，而出站卻放行，存在隱患。所以我們使用一個第三方增強插件來提高它的安全性和易用性，插件名為”Malwarebytes Windows Firewall control6.1”，下文簡稱為“(wfw-c)”。

筆者用的是綠色版，存放在Windows 目錄下即可(特別提醒：applocker 可執行規則中也要禁止officeuser運行這個插件，否則來賓用戶就能關閉防火墻。具體操作是在Windows 目錄中例外拒絕并且新建一條發布者的規則來拒絕其運行。)

wfw-c 設置項目全在左側的一豎列上。

配置文件項中過濾(阻止非允許程序的出站數據)并勾選“自動還原為中過濾在一分鐘后”。

通知項選禁用。 選項下空置自動啟動，防止officeuser 修改防火墻設置。

規則項下選擇“同時創建出站和入站規則，以方便操作”。

最重要的是左下角的“管理防火墻規則”：在這里選擇“增加允許的程序”。這個功能的優點是exe 文件和dll 文件都能支持，還能一次性多選。這點對網絡打印機驅動尤其重要，惠普網打驅動就全是dll 文件。

一部分網打驅動會安裝在C:Windowssystem32spoolDRIVERSx643 目錄下，全選并確定。

查找方法：設備和打印機→選中打印機→打印服務器→驅動→屬性。

還有一部分在C:Progr am Files (x86) 或Program Files 或ProgramData 這三個目錄下，在這三個目錄里找與打印機品牌名相同的子文件夾，其下也有exe 和dll文件，這些文件也要歸入“允許程序列表”中，這樣才能正常的打印和掃描。

第二部分具體位置可從網打驅動在桌面或開始→所有程序中新建快捷方式的屬性中找到線索。

接著用此功能給其他應用軟件配置出入站的權力。只不過對應用程序一般只添加其安裝目錄下的exe 文件即可(一定包含主程序exe文件)。dll 忽略不計，大量針對dll 的審核會嚴重影響速度。這點和applocker 是一樣的。應用軟件的卸載，報錯，更新程序也可以考慮禁止其聯網。

瀏覽器插件也要重視，比如OA 網站的office 和flash 插件用友金蝶的JAVA插件和網銀插件以IE 為例→internet 選項→管理加載項→顯示所有加載項：右擊加載項詳細信息中會有路徑和文件名信息。

一般安裝在Windows 目錄的syswow64 或system32下或者C:program file(x8 6)下的某個目錄，有的還安裝在c:user 具體用戶名appdate下。

有時officeuser 還要訪問一些內網的共享文件夾，共享打印機。需要接受網管的遠程協助。這類系統功能首先要確保網卡屬性中勾選了“MS 網絡客戶端和MS 文件和打印機共享”。

其次在控制面板→Wind ows 防火墻→允許列表中勾選“文件和打印機共享、遠程協助、遠程桌面”這三項并且只勾選這三項下屬的公用位置（wfw 與wfw-c 兩者是雙向同步的）。然后在wfw-c 規則列表中刪除這三項“非公用位置”的條目。

最后配置的結果是wfw啟用，入站出站狀態都是“禁止非允許”網絡位置是公用。

該插件也支持配置后策略的導出，可以方便部署到其他電腦。

wfw-c 插件正常工作的基礎是其目錄下“wfcs.exe 文件運行后所生成的顯示名為Windows Firewall Control 的服務”。

網管在內置Ad 下為方便調試時可禁用該服務來徹底關閉wfw-c 插件。

因為即使把它調為無過濾+取消自動還原，有時它還是會自動變為中過濾，從而影響調試。

結束調試后再開啟該服務并重啟電腦即可。

另外，對于存有保密資料的電腦還可以使用“USB Flash Drives Control”對U 盤進行限制(由usbc.exe和usbcs.exe 構成，和wfw-c同屬一個開發商)。

它支持三種模式：

1.識別U 盤并讀取文件；

2.寫入數據到U 盤；

3.允許U 盤上的exe 文件被執行。

這三種模式可以同時生效(不限制)，也可以只啟用你需要的功能。

該程序也應禁止office user使用。（和wfw-c放一起，Windows 目錄例外拒絕-瀏覽文件夾）。

最后是加固和保護步驟：完成設置后再確認一下內置AD 有密碼保護，并且永不過期。

運行命令Start netpl wiz 設置兩個賬戶登錄時都必須輸入密碼才行。

然后運行系統還原制作還原點( 運行前請確認Windows 更新服務已停禁，電腦管家自保護+自啟動都關閉，再右擊小圖標退出電腦管家)。制作還原點成功之后禁用相關服務來防止該還原點被覆蓋。

還要清除“開機啟動順序菜單中的USB 選項”防止對win-Ad 密碼的破解，在BIOS 設置中找到USB 支持設為部分初始化(只認鍵盤、鼠標) 或將USB Emulation改為disable 再設置一個BIOS-Ad 密碼，防止員工更改BIOS 選項，如果可能的話機箱加鎖防止摳電池。

至此使用logoff 命令注銷Ad，可以將電腦交給員工使用了。