资深网管秘笈:防黑客也要留一手

　　作为公司负责安全的网络管理员需要随时注意包括操作系统在内的各个软件，程序的安全隐患，及时扫描漏洞将危机弥补。不过采取的安全防范措施也不能过头。最近笔者在实际工作中就遇到了一个因为安全防卫过当而造成的画蛇添足事件。　　　　众所周知组策略作为一个系统设置工具，他容许系统管理员对系统进行很多高级的设置，这些设置的权限和优先级都要大大高于通过控制面板进行的设置。特别对于域用户来说，在域控制器上可以通过设置组策略轻松实现对整个域中计算机的权限分配，大大减少了网络管理员要做的工作。　　　　小提示：　　　　为什么说组策略中设置的参数权限和优先级都要大大高于控制面板呢？因为我们通过组策略对某一项目进行了权限设置后，再通过控制面板对这个项目设置进行更改将不起任何效果。事实证明组策略高于控制面板的权限。　　　　笔者常常通过设置组策略来加强服务器或客户机系统的安全，不过正因为组策略的设置具有上面提到的强制性，所以如果在组策略中进行了不合适的策略设置，将会产生以外的后果。　　　　作为公司负责安全的网络管理员需要随时注意包括操作系统在内的各个软件，程序的安全隐患，及时扫描漏洞将危机弥补。不过采取的安全防范措施也不能过头。最近笔者在实际工作中就遇到了一个因为安全防卫过当而造成的画蛇添足事件。　　　　众所周知组策略作为一个系统设置工具，他容许系统管理员对系统进行很多高级的设置，这些设置的权限和优先级都要大大高于通过控制面板进行的设置。特别对于域用户来说，在域控制器上可以通过设置组策略轻松实现对整个域中计算机的权限分配，大大减少了网络管理员要做的工作。　　　　小提示：　　　　为什么说组策略中设置的参数权限和优先级都要大大高于控制面板呢？因为我们通过组策略对某一项目进行了权限设置后，再通过控制面板对这个项目设置进行更改将不起任何效果。事实证明组策略高于控制面板的权限。　　　　笔者常常通过设置组策略来加强服务器或客户机系统的安全，不过正因为组策略的设置具有上面提到的强制性，所以如果在组策略中进行了不合适的策略设置，将会产生以外的后果。　　　　最近笔者为了防止黑客入侵服务器后随意的使用组策略而将组策略的管理单元进行了设置，步骤如下：　　　　第一步：以管理员administrator的身份登录系统。　　　　第二步：通过任务栏的“开始->运行->输入gpedit.msc”,启动组策略编辑器。　　　　第三步：依次展开“本地计算机策略->用户设置->管理模板->windows组件->Microsoft management Console->受限的/许可的管理单元->组策略”。　　　　第四步：在右边找到“组策略对象编辑器”。（如图1）　　　　　图1 点击看大图　　　　第五步：双击“组策略对象编辑器”项，在弹出的窗口中选择“已禁用”。（如图2）　　　　　图2　　　　第六步：确定后退出组策略编辑器。　　　　笔者本来认为这样就彻底防范了黑客使用组策略修改本地服务器或域的统一配置，并且按照常规思路来说只要我们将管理员administrator帐户密码设置的足够强大，要恢复修改组策略时通过他来启动组策略编辑器即可。谁知道修改后使用administrator帐户再次登录系统准备启动组策略时却出现了“下面在该文档中引用的管理单元受到策略限制。请与您的系统管理员联系，获得详细信息。组策略对象编辑器”的提示。（如图3）确定后显示“创建管理单元失败，用户策略不容许MMC创建管理单元”。（如图4）　　　　　图3　　　　　图4 点击看大图　　　　看来按照我们常规的思路administrator作为内建的管理员帐户，他的权限应该是最大的，对于任何设置来说他都是应该有足够的权限进行修改的，其他具有管理员权限的帐户对系统的改动都不应该在administrator上生效。然而事实却与理论相反，一旦对“组策略对象编辑器”设置了“已禁用”，所有用户都失去了访问组策略的能力。也就是说任何一个用户禁用了组策略都将会对administrators组产生影响，当然也包括administrator。　　　　如何解决这个组策略锁定的问题呢？我们总不能重新安装操作系统吧？其实可以使用下面两种方法来弥补。　　　　一、注册表恢复法：　　　　对于本地计算机的组策略，其设置是基于注册表的，也就是说在组策略中修改的任何设置都会在注册表中显示出来。“计算机设置”和注册表中的hkey_local_machine项是对应的，“用户设置”和hkey_current_user项是对应的。所以要想恢复刚刚进行的设置我们也只能通过注册表来解决。　　　　第一步：通过任务栏的“开始->运行->输入regedit”启动注册表编辑器。　　　　第二步：选择hkey_current_user\software\policies\microsoft\mms\{8fc0b734-a0e1-11d1-a7d3-0000f87571e3}项。　　　　第三步：在上面注册表项中的右侧列表中可以看到一个名为Restrict_run的数值，目前他的数据为1。（如图5）　　 　　图5 点击看大图　　　　第四步：双击该数值，将数据修改为0即可取消刚刚不慎的设置。设置完毕后我们就可以像平常一样通过输入gpedit.msc访问组策略编辑器了。 　　　　二、安全模式加载法：　　　　我们也可以通过进入安全模式来恢复刚刚的错误设置。　　　　第一步：重新启动计算机，在启动菜单出现时按F8键，在Windows高级选项菜单中选择“带命令行提示的安全模式”选项。　　　　第二步：进入“带命令行提示的安全模式”后在命令提示符下运行mmc.exe。　　　　第三步：在打开的“控制台”窗口中，依次单击“文件->添加/删除管理单元->添加->组策略->添加->完成->关闭->确定”。　　　　第四步：按照上面的方法已经添加了一个组策略控制台，接下来进入windows系统的正常模式把原来的设置改回来即可。　　　　小提示：其实组策略中还有一个“只允许运行Windows应用程序”的策略，你只要启用并添加只允许系统运行的程序名称，那么用户将只能运行“允许运行的应用程序列表”中的程序。不过，无论你有没有在“只允许运行程序列表”中添加gpedit.msc（组策略），一旦启用了这项策略，就再也不能运行“gpedit.exe”（组策略）了，出现的问题和本文一样。我们也是可以通过文章介绍的两种方法来恢复的。方法基本类似，这里就不详细讲解了。　　　　总结：从这次笔者自锁组策略的事件可以得出两点心得。一是很多系统设置并不是如想象一样，本以为系统帐号administrator是万能的，但最终还是被小小的组策略所操纵。二是防黑客攻击确实很重要，但所做的防护措施也要得当，如果顾虑太多，就会出现文章中的画蛇添足的问题。当然如果我们非要使用限制组策略编辑的功能，可以事先编辑一个注册表文件，每次希望解除组策略锁定时运行下这个解锁注册表文件即可。