您的位置: 首页  >  文章  >  用HI和应用程序策略强化终端的本地安全策略

用HI和应用程序策略强化终端的本地安全策略

分类: 文章 2024-02-29 18:25:40

问题

在工作组的环境中,我们没有办法通过一个类似 AD 的组策略模式,将所有终端上的本地安全策略(主要针对密码策略)设置为强密码要求等,但是,我们可以通过 SEP 来实现这个管理需求。

我们可以通过设置 SEP 中的 HI 策略,来强化终端上的本地安全策略,比如,设置 密码为:密码必须满足复杂度要求、密码长度至少为 8 位、密码有效期为 30 天。 并且还可以通过设置 SEP 中的应用程序策略,来阻止终端用户修改这些策略。

环境

本文档中,我们使用的软件版本分别为:

SEP/SEPM RU6MP1 (11.0.6100.645)

SEP 客户端操作系统平台:Windows XP Professional SP3, Windows 7 Enterprise Edition

SEPM 操作系统平台:Windows Server 2003 R2 Enterprise SP2

解决方案

配置 HI 策略

下面介绍如何配置HI 策略:

1. 新建一个 HI 策略,并添加“自定义要求”。

2. 添加“IF...THEN…”循环:

用HI和应用程序策略强化终端的本地安全策略

 

 首先,检查注册表键值: HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\PasswordCheck

用HI和应用程序策略强化终端的本地安全策略

 

如果键值为 1,则说明客户端之前已经收到过这个 HI 策略,如果键值为 0,则说明客户端之前从未收到过这个 HI 策略。

 如果检查结果为注册表键值等于 1,则弹出一个消息窗口,通知用户已经 更新过 HI 策略:

用HI和应用程序策略强化终端的本地安全策略

 

 否则,我们运行一个 bat 脚本,将终端上的本地安全策略更新,并设置注 册表键值HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\PasswordCheck  1

用HI和应用程序策略强化终端的本地安全策略

 

完整的脚本内容如下:

Set CreateFile = CreateObject("scripting.FileSystemObject")

Set WriteFile = CreateFile.CreateTextFile

("C:\Windows\PasswordCheck.inf", True)

WriteFile.WriteLine("[Unicode]")

WriteFile.WriteLine("Unicode=yes")

WriteFile.WriteLine("[Version]")

WriteFile.WriteLine("signature=""$CHICAGO$""")

WriteFile.WriteLine("Revision=1")

WriteFile.WriteLine("[System Access]")

WriteFile.WriteLine("MinimumPasswordAge = 0")

WriteFile.WriteLine("MaximumPasswordAge = 30")

WriteFile.WriteLine("MinimumPasswordLength = 8")

WriteFile.WriteLine("PasswordComplexity = 1")

WriteFile.Close

Set RunPasswordCheck=wscript.createObject("wscript.shell")

Const RegPasswordCheck = "HKLM\SOFTWARE\Symantec\PasswordCheck"

RunPasswordCheck.Run("secedit /configure /cfg

c:\windows\PasswordCheck.inf /db

%windir%\security\Database\secsetup.sdb

/log %windir%\security\logs\PasswordCheck.log")

RunPasswordCheck.RegWrite RegPasswordCheck, "1"

wscript.quit

 在终端提出一个消息框,通知终端用户已经被修改了本地安全策略:

用HI和应用程序策略强化终端的本地安全策略

 

 最后设置 HI 检查结果为 PASS

用HI和应用程序策略强化终端的本地安全策略

 

策略下发之后,如果终端是第一次收到这条 HI 策略,终端用户会看到一 个如下的通知消息:

用HI和应用程序策略强化终端的本地安全策略

 

如果终端用户之前已经应用过这条 HI 策略,则通知消息为:

用HI和应用程序策略强化终端的本地安全策略

 

配置应用程序控制策略

下面介绍如何配置应用程序控制策略。

1. 新建应用程序控制策略。

2. 将此策略应用到所有进程:

用HI和应用程序策略强化终端的本地安全策略

 

3. 添加两个“文件和文件夹访问尝试”条件。将第一个条件的作用文件设置为:

C:\Windows\System32\secpol.msc,作用是禁止用户更改本地安全策略。

用HI和应用程序策略强化终端的本地安全策略

 

4. 将第二个条件的作用文件夹设置为: C:\Windows\System32\GroupPolicy\* 作用是禁止用户更改组策略。

用HI和应用程序策略强化终端的本地安全策略

 

策略下发到终端之后,如果终端用户试图打开本地安全策略来进行修改,会看 到一个如下的警告窗口:

用HI和应用程序策略强化终端的本地安全策略

 

如果终端用户试图打开组策略进行修改,会看到一个如下的警告窗口:

用HI和应用程序策略强化终端的本地安全策略

 

 

From Symantec

 

专家点评:

HISymantec Network Access ControlSNAC)中的Host Integrity(主机完整性)。它可以通过自定义(甚至自我编程),来检查系统或完善修正系统。现在SNAC只作为SEP的一个Option,而不是单独的产品来销售。通过上例,众位看官应该已经发现此功能及其强大。

SEPLiveUpdate及病毒库升级

 

相关推荐