用HI和应用程序策略强化终端的本地安全策略
问题
在工作组的环境中,我们没有办法通过一个类似 AD 的组策略模式,将所有终端上的本地安全策略(主要针对密码策略)设置为强密码要求等,但是,我们可以通过 SEP 来实现这个管理需求。
我们可以通过设置 SEP 中的 HI 策略,来强化终端上的本地安全策略,比如,设置 密码为:密码必须满足复杂度要求、密码长度至少为 8 位、密码有效期为 30 天。 并且还可以通过设置 SEP 中的应用程序策略,来阻止终端用户修改这些策略。
环境
本文档中,我们使用的软件版本分别为:
SEP/SEPM: RU6MP1 (11.0.6100.645)
SEP 客户端操作系统平台:Windows XP Professional SP3, Windows 7 Enterprise Edition
SEPM 操作系统平台:Windows Server 2003 R2 Enterprise SP2
解决方案
配置 HI 策略
下面介绍如何配置HI 策略:
1. 新建一个 HI 策略,并添加“自定义要求”。
2. 添加“IF...THEN…”循环:
■ 首先,检查注册表键值: HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\PasswordCheck
如果键值为 1,则说明客户端之前已经收到过这个 HI 策略,如果键值为 0,则说明客户端之前从未收到过这个 HI 策略。
■ 如果检查结果为注册表键值等于 1,则弹出一个消息窗口,通知用户已经 更新过 HI 策略:
■ 否则,我们运行一个 bat 脚本,将终端上的本地安全策略更新,并设置注 册表键值HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\PasswordCheck 为 1:
完整的脚本内容如下:
Set CreateFile = CreateObject("scripting.FileSystemObject")
Set WriteFile = CreateFile.CreateTextFile
("C:\Windows\PasswordCheck.inf", True)
WriteFile.WriteLine("[Unicode]")
WriteFile.WriteLine("Unicode=yes")
WriteFile.WriteLine("[Version]")
WriteFile.WriteLine("signature=""$CHICAGO$""")
WriteFile.WriteLine("Revision=1")
WriteFile.WriteLine("[System Access]")
WriteFile.WriteLine("MinimumPasswordAge = 0")
WriteFile.WriteLine("MaximumPasswordAge = 30")
WriteFile.WriteLine("MinimumPasswordLength = 8")
WriteFile.WriteLine("PasswordComplexity = 1")
WriteFile.Close
Set RunPasswordCheck=wscript.createObject("wscript.shell")
Const RegPasswordCheck = "HKLM\SOFTWARE\Symantec\PasswordCheck"
RunPasswordCheck.Run("secedit /configure /cfg
c:\windows\PasswordCheck.inf /db
%windir%\security\Database\secsetup.sdb
/log %windir%\security\logs\PasswordCheck.log")
RunPasswordCheck.RegWrite RegPasswordCheck, "1"
wscript.quit
■ 在终端提出一个消息框,通知终端用户已经被修改了本地安全策略:
■ 最后设置 HI 检查结果为 PASS:
策略下发之后,如果终端是第一次收到这条 HI 策略,终端用户会看到一 个如下的通知消息:
如果终端用户之前已经应用过这条 HI 策略,则通知消息为:
配置应用程序控制策略
下面介绍如何配置应用程序控制策略。
1. 新建应用程序控制策略。
2. 将此策略应用到所有进程:
3. 添加两个“文件和文件夹访问尝试”条件。将第一个条件的作用文件设置为:
C:\Windows\System32\secpol.msc,作用是禁止用户更改本地安全策略。
4. 将第二个条件的作用文件夹设置为: C:\Windows\System32\GroupPolicy\*, 作用是禁止用户更改组策略。
策略下发到终端之后,如果终端用户试图打开本地安全策略来进行修改,会看 到一个如下的警告窗口:
如果终端用户试图打开组策略进行修改,会看到一个如下的警告窗口:
From Symantec
专家点评:
HI是Symantec Network Access Control(SNAC)中的Host Integrity(主机完整性)。它可以通过自定义(甚至自我编程),来检查系统或完善修正系统。现在SNAC只作为SEP的一个Option,而不是单独的产品来销售。通过上例,众位看官应该已经发现此功能及其强大。
SEP与LiveUpdate及病毒库升级