摘要:根据信息系统安全管理的需要,IT管理人员一般都会将PC客户端的用户权限限制于USERS组,在保护系统不受破坏的同时,也给管理员在客户端安装、运行应用系统带来不便。该文分析了比较通用的四种应用系统安装、使用方法,比较它们的优缺点,根据不同情况使用。
关键词:组策略;域;桌面管理系统
中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)13-3399-02
Discussion ofSoftware Installation in a PC With Low Privileges
CHEN Xin-biao
(Guangdong Electric Power Co., Ltd., Meizhou 514032, China)
Abstract: According to the information system security management needs, IT managers will generally be PC client user rights restrictions in the USERS group, to protect the system from damage, but also to the administrator on the client install, run applications inconvenience . This paper analyzes the more common of the four applications to install, use, compare their advantages and disadvantages, depending on the circumstances used.
Key words: Group Policy; Domain; Desktop Management System
随着企业网络不断扩大,企业PC数量越来越多,越来越分散,客户端pc机不断增加,IT应用环境日益复杂,病毒、木马、流氓软件层出不穷,顽固病毒难以根除,时刻威胁着业务的稳定运行,IT管理人员四处奔波、穷于应付频发故障,PC管理已成为企业必须面对的难题。IT管理人员都会将网络内的pc机加入域,接受域控制器的管理,并将普通员工的账户只授予普通USER的标准权限,使普通用户无法安装一些需修改注册表、系统文件等的软件,在保护了系统不受破坏的同时也给管理带来不便和增加了IT 管理人员的工作。
1 Windows操作系统的USER权限组特点
在Windows操作系统中(Windows 2000以上版本),Users 组是最安全的组,因为分配给该组的默认权限不允许成员修改操作系统的设置或其他用户的数据。Users组提供了一个最安全的程序运行环境。在使用 NTFS 文件系统格式化的卷上,全新安装系统(不是升级的系统)上的默认安全设置用于禁止该组的成员损害操作系统和已安装程序的完整性。Users不能修改整个系统的注册表设置、操作系统文件或程序文件。Users 对自己的所有数据文件(存储在 %userprofile% 下)和注册表中有关他们自己的那一部分(位于 HKEY_CURRENT_USER 中)具有完全的控制权。
微软操作系统服务器版本从Windows NT4.0到Windows 2000、Windows 2003、Windows 2008都提出了计算机网络域的概念,域(domain)是网络计算机的逻辑分组,它们共享集中的目录数据库,目录数据库包括用户账户和域的安全性信息。利用域的强大功能集中管理较大型的计算机网络资源是IT管理人员常用的做法。当IT管理人员将网络中的PC机加入域,并将用户登陆的帐号只授予USER组的权限。此时,此用户下运行各种程序对系统的破坏较少,同时也不能安装需修改注册表或操作系统文件的应用程序,对防止病毒、木马等程序的安装和运行有一定的免疫作用。但同时对IT管理人员部署需要在客户端安装的应用程序也增加了一些约束和不便。
2 只有USER权限的pc客户端应用程序的安装和使用
根据Windows操作系统USERS权限组的特点,一般可以采用以下的软件分发和安装方法:
2.1 利用域的组策略进行软件分发。
使用“组策略软件安装”在企业计算机域内管理程序,可以将程序指派给计算机或用户,也可以将程序发布给用户。主要有以下几种方式:
2.1.1 指派给用户
将应用程序指派给用户后,在用户下次登录到工作站时,应用程序将公布给用户。应用程序的公布取决于该用户,而不管用户实际使用哪台物理计算机。用户在任何一台计算机登陆域,都可以在开始菜单或桌面上看到软件的快捷方式。同时,计算机中也会注册该软件的相关信息,如关联的文件等。用户只要点击“开始菜单”或桌面上的快捷方式时,计算机就会自动下载安装此软件。
2.1.2 指派给计算机
应用程序指派给计算机后,系统将公布该应用程序,一般是当计算机重启时自动安装分发的软件,计算机中的每一个用户都可以使用此应用程序。
2.1.3 发布给用户
在向用户发布应用程序时,应用程序并不在用户的计算机上显示为已安装的程序。桌面或“开始”菜单中没有可见的快捷方式,用户计算机的本地注册表也未发生更改。发布的应用程序将在 Active Directory 中存储公布属性,如应用程序名称以及文件关联等信息将显示给 Active Directory 容器中的用户。用户通过使用控制面板中的“添加或删除程序”或者通过单击与应用程序关联的文件(例如 Microsoft Excel 支持的 .xls 文件)来激活此程序的安装。
使用组策略分发应用程序主要是.MSI格式的软件,而且安装都是使用system权限,如果管理员指定了该程序分发给某些用户账户,那么该程序执行的时候,将使用相应用户账户的权限,这就可能导致部分应用程序虽然安装成功,但因账户无权访问某些目录或注册表键值而不能正常使用。如果在部署软件的组策略中选择“用高权限安装”,则用户账户在执行该应用程序的时候,也将使用system权限。当然,这个策略势必会给系统带来安全性风险。另外软件分发是否成功还需要用户重新登录或计算机重启才能获得结果,对于一些长时间不启动的计算机,还需要通知用户进行系统重启或重新登录。而且最大的不足是不能监测各台客户端软件的安装状态。
2.2 提升登录用户的权限进行软件的安装
就是先将只有user权限组的登录用户加入本地“Administrators”组,重新登录后进行软件的安装,此时就能获得修改注册表和系统文件的权限。顺利安装完毕后,再将此用户从本地“Administrators”组中剔除。虽然此帐户被剥夺去管理员权限,但此账户依然对安装程序添加或修改的注册表和程序的数据目录等具有读写权限,能保证应用软件的正常运行。
此种方法适合于某些软件在安装的时候对软件目录和注册表项目赋予安装用户特别权限的场合,不适合批量安装,也不是对所有软件都适用,需经过测试才能推行。因此方法不能有效减轻IT管理人员的工作量,只适合于个别计算机用户特殊需要。
2.3 利用桌面管理系统进行软件的分发
现在业界流行多套桌面管理系统,如微软的SMS、CA Unicenter、Landesk等应用软件的分发是他们的标准功能,技术也比较成熟。 桌面管理软件能够自动给指定的或全部终端计算机批量分发及安装应用软件包,保证终端计算机始终处于最佳工作状态,大大减轻了管理员批量部署程序的负担。而且支持的格式较多,可以分发msi、exe、bat等多种格式文件,支持可控的软件分发方式(推、策略、支持策略的推以及多播),并且拥有动态带宽调节的功能,以保证公司网络环境不受到任何影响。软件分发满足了大型分布式网络软件统一和数据更新的需求,每一个分发都有明晰的过程跟踪和记录,管理员可实时查询分发的即时状态。在使用过程中,有部分软件出现不能正常使用的情况,因此在系统分发前进行充分的测试。
2.4 利用Windows系统的RUNAS功能
在Windows2000以上的操作系统中,runas命令可以实现在当前用户以另一个账户的权限运行指定的工具和程序,且不需要经过注销当前用户并重新登录。因此可以利用Windows系统的RUNAS功能,以管理员的身份来安装和运行软件。一种方式是直接在运行应用程序时用鼠标右键选择“运行方式”,输入具有管理员权限的用户名和密码,但一般用户是不可能有管理身份的帐户;一种方式是VBSCRIPT 脚本写一段程序指定用管理员身份执行程序,但注意管理员帐号和密码不能以明文的方式在脚本中显示,很容易被人获取,存在极大的隐患,需要对脚本进行加密。另一种方式就是采用第三方的程序来运行。如免费软件AUTOIT就是一个很不错的脚本程。autoit 是一个脚本自动化执行的工具,可以完成很多自动化的任务,并且可以将脚本编译成 exe 文件来直接运行,从而达到了隐藏密码信息的目的。写好脚本后可编译成二进制文件,跟原应用程序一起打包分发,在不提供和不泄露管理员帐号密码的情况下就可以实现在普通USER组用户下以管理员身份运行应用系统。
3 结束语
应用系统的部署有多种方法,也有各自的优缺点,我们可以结合实际情况,使用其中一种或几种混合使用,最终达到只给计算机用户最恰当、最小权限,又能满足业务系统的正常运行,同时也最大限度减轻IT管理者的工作量。
参考文献:
[1] 王隆杰.Windows server 2003网络管理实训教程[M]. 北京:清华大学出版社,2006.
[2] 戴有炜.Windows server 2003用户管理指南[M]. 北京:清华大学出版社,2004.
[3] 张志宏,王强. Windows2000技术指南[M]. 北京:电子工业出版社,2002.