在企業網絡管理中,我們很重要的一塊工作,就是對企業員工的網絡行為的管理。如不允許他們使用QQ、MSN等聊天工具,或者不允許他們在上班時間看電影等等。要實現這些方面的控制,現在已經有不少好的工具。利用域控制器,來實現對某些軟件的限制,也是其中一種比較流行的方式之一。
域環境中的軟件限制策略,也就是說,當用戶利用域帳戶登陸到本機電腦的時候,系統會根據這個域帳戶的訪問權限,來判斷其是否有某個應用軟件的使用權限。當其沒有相關權限的時候,則操作系統就會拒絕用戶訪問某個應用軟件,從而來管理企業員工的操作行為。
在這篇文章中,筆者將對軟件限制策略的一些常識進行一些簡短的介紹,然后在后續的文章中,筆者會結合自己公司的設置,來講解一些具體的應用。希望這一系列的文章能夠對各位讀者有所幫助。
一、 應用軟件與數據文件獨立
在應用軟件限制策略的時候,需要明白的第一個原則就是“應用軟件與數據文件獨立”獨立原則。也就是說,你即使具有數據文件的訪問權限,但是,若其沒有其關聯軟件的訪問權限的話,則仍然不能夠打開這個文件。如現在某個用戶從網上私自下載了一部電影,其作為所有者人,當然具有對這個數據文件進行訪問的權限。但是,我們在軟件限制策略設置的時候,這個用戶帳戶無法訪問任何的視頻播放軟件。如此的話,這個用戶仍然無法播放這部電影。
這就是應用軟件與數據文件獨立的原則。這個原則在實際應用中非常有用。因為我們很難控制用戶從網絡上下載文件。如用戶若從網絡上下載歌曲,甚至通過U盤等工具從企業外部把文件拷貝到電腦上去。這些行為我們很難控制。但是,我們對于用戶電腦上應用程序的控制來說,則相對簡單許多。我們只需要把這些應用程序控制好,則即使用戶私自下載受限制的文件,則用戶最終也沒有軟件可以打開它。這也就可以控制他們的相關不正當行為。
二、 軟件限制策略的沖突處理原則
軟件限制策略跟其他組策略一樣,可以在多個級別上進行設置。或者說,軟件限制策略是組策略中的一個特殊分支也未嘗不可。所以,軟件限制策略可以在本地計算機、站點、域與組織單元等多個環節進行設置。每個級別又可以針對用戶與計算機進行設置。而就是因為如此,所以也就產生了沖突的可能性。當在各個設置級別上的軟件限制策略發生沖突的時候,其優先性如何呢?
一般來說,其優先性的級別從高到低如下:
第一,組織單元策略;第二,域策略;第三,站點策略;第四,本地計算機策略。這里特別要注意一點,就是組織單元的策略要比域策略的優先性級別要高。也就是說,在域策略中,限制用戶使用視頻播放器;而在一個培訓組織單元中,則允許這個單元中的賬戶具有視頻軟件的訪問權限。則即使這個組織單元在這個域中,則只要帳戶屬于這個組織單元,則其仍然可以使用視頻軟件,因為組織單元級別的優先性要高于域中的設置。
不過,筆者建議最好把軟件限制策略利用在域中與組織單元中,而不要放在其他的兩個級別中。在域中,實現一些共有的配置,如限制企業員工使用QQ或者Msn聊天工具等等。而在OU中,一般情況下繼承域的相關配置。當這個組具有特殊的權限時,如現在有一個培訓組,這個組中的賬戶需要有視頻軟件的播放權限,則就可以在這個組織單元的級別上進行配置。如此的話,就可以保證有一個比較統一的軟件權限策略管理平臺。若牽涉的級別太多,特別是在本地計算機上配置的話,則會破壞這個統一平臺,雖然其優先級比較低。
三、 軟件限制的規則
默認情況下,軟件限制策略提供了兩種軟件限制的規則。
一是不受限制的。也就是說,所有登陸的用戶都可以運行指定的軟件。只要用戶具有數據文件的訪問權限,就可以利用軟件打開這個文件。這也可以看出,應用軟件的訪問權限跟數據文件的訪問權限是獨立的。用戶只具有應用軟件或者數據文件的訪問權限,往往還不夠。需要兩者權限都有,才能夠打開相關的文件。
二是不允許的。即所有登陸系統的帳戶,都不能夠運行這個應用軟件,無論其是否對數據文件具有訪問權限。
系統默認的策略是所有軟件運行都是“不受限制的”。也就是說,只要用戶對于數據文件有訪問權限,就可以運行對應的應用軟件。
四、 哪些軟件不能夠運行
筆者在前面的文章中,也談到過如何利用組策略來限制某些軟件的運行。但是,如利用前面的方法,則有一個不好缺陷,當用戶修改了應用軟件的名字的時候,如把QQ改為“liaotian”,則原有的組策略限制就會失效。也就是說,前面談到的方法是防小人,不妨君子。而利用軟件限制策略的相關規則,則可以實現更加精確的控制。
如可以使用哈希規則來確定哪些軟件可以運行,哪些軟件不可以運行。
哈希是根據軟件程序的內容根據一定的規則計算出來的一連串固定數目的字節。因為它是根據軟件的內容計算出來的,而不是純粹的根據軟件的名字來進行判斷,所以,即使用戶修改了應用軟件的名字,其仍然必須受到這個軟件策略的限制。當然,不同的應用軟件,由于其應用程序的內容不同,所以其計算出來的哈希值也是不同的。當我們在為某個應用軟件建立哈希規則,限制用戶不允許運行此軟件時,域控制器就會為該軟件計算出一個哈希值,判斷是否與軟件限制策略中的哈希值相同。如果相同的話,操作系統就會拒絕這個軟件的運行。所以,當用戶人為的修改應用程序的名字或者移動位置的話,因為應用程序的本質內容沒有改變,所以其哈希值也不會改變,固其仍然要受到軟件策略的限制。但是,如果應用程序中毒了,則可能就會影響到哈希值,從而使得軟件策略不起作用。哈希規則是我們比較常用的規則,因為其方便、容易控制。
除了哈希規則,我們還可以通過其他規則來控制軟件是否運行。
如可以通過路徑規則來判斷。軟件限制策略可以用軟件所在的路徑來辨別軟件是否需要受到軟件運行策略的限制。例如可以限制某個文件夾下的軟件禁止運行等等。不過,由于這是純粹的根據應用軟件的路徑來判斷,當應用軟件被移動的時候,則這個軟件將不再受軟件限制策略的約束。很明顯,這比起上面講的哈希規則的話,作用要小得多。
在軟件限制策略中,一共提供了四種規則來辨識是否允許運行某種軟件。除了上面的兩種規則之外,還有證書規則與internet區域規則等等。這里要注意一點,有些人可能認為還有一個注冊了表規則。其實,注冊表規則在官方的資料中,認為其只是路徑規則中的一個內容,或者說,其包含在路徑規則中。所以,其只有四種規則,可以來進行判斷是否允許某個軟件來運行。
但是,這四個軟件的優先級別如何呢?如現在對于QQ這個軟件,我們利用哈希原則,定義這個軟件是不可以運行的;而在路徑規則與證書規則中,我們設置其為不受限制的。此時,最終的結果會是如何呢?根據規則的優先級原則,其優先級從高到低依次為哈希規則、證書規則、路徑規則與Internet區域規則。從上面的例子看,哈西原則的優先性最高,其用戶最終是無法運行QQ這個軟件,雖然其他兩個規則都允許他運行。
故,筆者建議,在采用這些規則的時候,為了避免一些不必要的沖突,還是采用哈希規則為好。個人認為,哈希規則是一個必要好用的規則,而且,其漏洞也比較少,如不會因為員工惡意更改應用程序名字或者移動應用程序的位置而導致軟件限制策略失效。
所以,在考慮采用軟件限制策略的時候,最好不要在多個級別上采用多個不同的判斷規則,否則的話,在這些因素的多重作用下,出來的結果可能連我們自己都弄不明白。筆者現在在配置軟件限制策略的時候,一般只在域與組織單元的級別上進行配置;采用的也是哈希單一規則。筆者認為,這無論在設計還是后續維護上面,都是比較方便的。
