基于WindowsServer2012R2域的安全管理任务3限制软件的运行

1、基于Windows Server 2012 R2域的安全管理Windows Server 2008 R2是微软最新的服务器操作系统，该操作系统秉承“按需定制” 的原则，可以根据需要选择安装组件。网络中常用的基础服务以“角色”的方式体现，更多 的管理任务以“功能”的方式体现。由于系统安装的服务少，因而能够减少网络攻击面，提 升网络安全。其中的 AD DS域服务是 Windows网络的基础网络服务，是 Windows系列应用 型产品的核心平台，是用户管理、计算机管理的基础。一、项目简介本项目实现计算机系 OU中若干计算机账号和用户账号（见表1-1）的统一的管理。表1-1网络环境描述名称作用备注Se

2、rver1服务器DC域控制器Server2、Server3 服务器文件服务器等域的成员服务器PC1客户端计算机1用户登录的计算机OU内PC2客户端计算机2用户登录的计算机OU内User1、user2、user3用户账号普通账号域内用户图1-1基于域的网络拓扑图图1-1是网络拓扑图。二、实训环境1、软件环境Windows Server 2012 R2、Windows 7等镜像文件光盘、VMware 7.1以上版本的虚拟机软件。2、学院域,计算机系是域中的一个OU。任务3限制软件的运行通过软件限制策略所提供的多种规则，可以限制或允许用户运行相应的程序。安全管理需求利用软件限制策略中的各种规则，拒绝

3、用户运行指定的程序。任务描述设置软件限制策略，完成：1、通过配置路径规则， 使windir%system32calc.exe （计算器）程序不能在计算机系中 的机器上运行。2、通过为用户设置哈希规则，使用户无法运行某软件。比如 QQ软件的安装。3、通过为用户设置证书规则，使用户可以运行某个软件，比如QQ软件的安装。步骤提示1、设置路径规则如图1-32所示，可以设置计算器程序的运行，当用户登录计算机后，将出现图1-33所示的效果。图1-32设置软件路径规则图1-33软件路径规则效果图2、设置哈希规则哈希规则的设置如图1-34所示。效果如图1-35所示。图1-34设置哈希规则示意图Mm9 FS *

4、> irflH .tw(«F&&F| -算:£j£i *r岫. ffMhlMVKfl.UfltknA.sA-al *>!,.口除，S3jniiufjdl1-35哈希规则设置效果图3、设置证书规则(1)为客户端启用证书规则略”略”在DC上通过“计算机配置”-“安全选项”，在右边启用如图1-36所示。匡融姑修惘击胃雌OH用EJO集柳100££血ss盘制鬻附盘嚼 同 HFlFIMFlFIH H RH HR-H ET RIZ 可同同札皋，札.¥$-"策略"-"Windows 设置”-“

5、安全设置”-> “本地策Windows可执行文件中的证书规则用于软件限制策5 j产介®己自用，耳己蚪用Iit-h | -iflti) Il IGJ xj312L仃*I & S*|看电蚓小七花i ®图1-36启用客户端的证书规则示意图(2)架设CACA,如图1-38所如图1-37所示。架设企业 CA并选择web注册功能，同时创建独立zK o图1-37架设企业CA示意图图1-38创建独立CA(3)向CA申请程序代码签署证书在DC上，将IE浏览器中的“对未标记为可安全执行脚本的ActiveX控件初始化并执行脚本”启用，如图1-39所示。通过http:/192.168

6、.102/certsrv/向证书服务器申请程序代码 签署证书。Q1图 1-39 启用 ActiveX第一步，申请证书，如图 1-40所示。图1-40申请证书第二步，填写申请表（记住要勾选标记密钥为可导出）。如图1-41所示。图1-41申请代码签名证书示意图第三步，颁发证书，下载和安装证书。在证书服务器上颁发证书，然后查看和下载安装证书。第四步，导出证书。通过浏览器下载证书（在工具菜章 -Internet选项-证书-选择证书-导出）。如图1-4 2所示。至此完成了程序代码签署证书的申请工作。(4)设置组策略，将计算机系单元内的默认的安全级别设置为不允许。如图1-43所图1-43设置默认安全级别示

7、意图(5)设置证书规则，新建证书规则将导出的证书通过“浏览”添加进去，安全级别选 择不受限。如图1-44所示。(5)验证测试。第一步，如果软件没有经过签名，则会出现如图1-45所示的提示。图1-45域用户运行软件受到证书规则的限制第二步，接下来，给软件进行签名。签名需要用到SignCode.exe软件，在cmd命令提示符下运行，会启动数字签名向导。如图 1-46所示。第三步，根据向导的提示，直到给软件签名成功。号I熔 w清点=曷/七气二的一学心MMm.叱包率止日期羽51工5|川刖工闸日厂|j|irr 1n+#抒”(:科事科,/空府R，蛔白布证朴加IfB芸白；粗直的时睁丽或融文件，-IE用LJf 5 Lgitl t>» B >n i git无吱.<i«rl3 &y< oe- 中好工却 ),屯立 *MEEB,EKE riMih)e<dirt, e Be11. e nt：片白后HB交片11mli 什 i 9?7/03M “打 MT?才H前簟i Z&rS7Z7 /3日总算-tli fl-EjGI证书冲眦:31用闲科PIk*WIH>1厘MB "11 WE4 3* 加IS H8 M