IPGUARD基本策略详解

通过基本策略可以规范网络内计算机的操作权限,限制客户端机器对计算机系统设置的任意修改,防止恶意或无意的破坏,增强计算机的使用安全性。

基本策略主要是通过修改注册表值来实现的。基本策略和设备控制策略与其他的策略不同,是一种状态维持的策略,而不是实时的触发策略;因此对策略的修改,删除等处理和其他的策略不同。

基本策略支持的项目包括:控制面板,计算机管理,系统,网络,IP/MAC绑定,ActiveX控件。

控制面板包括以下5项:

基本策略项

说明

控制面板

包括控制面板上的各个功能;

设置屏幕属性

限制客户端设置桌面,屏幕保护程序以及桌面外观等;

添加打印机

限制客户端添加打印机;

删除打印机

限制客户端删除打印机;

快速切换用户

禁止在Windows系统里通过切换用户的方式同时登录多个用户(仅XP系统有效);

修改计算机名称

禁止客户端修改计算机名称。

计算机管理包括以下5项:

基本策略项

说明

设备管理器

限制客户端机器使用设备管理器;

磁盘管理

限制客户端机器使用磁盘管理;

本地用户和组

限制客户端机器使用本地用户和组的控制面板管理项;

系统服务管理

限制客户端机器使用系统服务管理;

其它计算机管理

限制包括:电脑管理、事件查看器、磁盘碎片整理和共享文件夹。

系统包括以下5项:

基本策略项

说明

任务管理器

限制客户端使用任务管理器;

注册表编辑器

限制客户端使用注册表;

命令提示符

限制客户端使用命令提示符,9x系统下是command程序,NT及以后版本操作系统下是cmd程序;

运行注册表中Run下的程序

如果模式为禁止,Run下的程序会在系统开机的时候不会启动,需注销或重启计算机生效;

运行注册表中RunOnce下的程序

RunOnce是指在开机的时候启动一次,下次开机就不会运行了,如果模式为禁止,则RunOnce下的程序不会启动,需注销或重启计算机生效。

网络包括以下6项:

基本策略项

说明

修改网络属性

限制客户端修改网络属性;

显示“网络邻居”

模式为禁止时,桌面上的网上邻居会隐藏,需要注销或重启生效;

修改Internet选项

限制客户端修改Internet选项设置;

默认网络共享

如果模式为禁止,客户端上的默认共享被禁止;

使用网络共享

如果模式为禁止,客户端不能共享本机文档;

增加网络共享

如果模式为禁止,客户端新增的网络共享会被禁止。

IP/MAC绑定

基本策略项

说明

修改网络IP/MAC配置

限制客户端修改网络属性;
为了禁止用户随意修改IP,可使用该功能禁止修改网络IP/MAC配置。设置策略后,客户端会保存当前的IP和MAC信息,一旦发现用户有修改,立即会改回保存的IP/MAC。
如果用户需要修改IP,需要先去掉该策略。

ActiveX控件包括以下4种控件:

基本策略项

说明

聊天类ActiveX控件

限制客户端使用聊天类ActiveX控件,用户使用聊天控件时会被禁止;

影音类ActiveX控件

限制客户端使用影音类ActiveX控件,一般在互联网上听歌或看视频文件会用到该类控件,禁止该项,用户无法听歌或播放视频;

游戏类ActiveX控件

互联网上的一些小游戏可能需要安装游戏类控件,禁止该项,此类小游戏无法正常运行;

FLASH类ActiveX控件

播放FLASH文件会用到该类控件,禁止该项,FLASH文件无法正常播放。

其它

基本策略项

说明

系统还原

为了防止客户端机器通过系统还原来卸载客户端,可以禁止该项,则系统还原功能被禁止。

使用Print Screen键复制屏幕

为了防止客户端机器通过使用Print Screen键复制屏幕,发现泄密风险,可以禁止该项,则Print Screen键无法使用

Windows自动更新

禁止该项,则Windows自动更新功能被禁止;

策略示例

假如您的需求是:在公司时禁止修改IP地址,但是允许回家或出差的时候修改IP。管理员可以对目标计算机(如整个网络)设置基本策略:

① 先设置一条策略,禁止 修改IP/MAC属性;
② 再设置一条离线策略,允许 修改IP/MAC属性 仅离线生效。

按照策略匹配原则,后设置的策略在上面,因此策略②优先于策略①,当离线状态时,策略匹配,允许修改IP/MAC;当在线状态时,与策略②不匹配,接着向下匹配策略①,条件满足,执行策略禁止修改IP/MAC属性。

注意 基本策略的修改网络IP/Mac配置,系统还原,网络共享对计算机有效,对用户是无效的。

你可能感兴趣的:(IPGuard专题专栏,IP-Guard技术分享专题)