杜绝劫持 组策略控制用户随意更新(1)

杜绝劫持 组策略控制用户随意更新(1)

任何一个有生命力的软件都免不了经常更新。微软的Windows系统也不例外，事实证明，许多用户为了安全的目的经常需要更新。不可否认，Windows Update也确实是一个实用的功能。特别是在Windows Server 2003中，它允许系统实施集中管理并自动安装更新。也许有人说，现在还有其它的方案可以完成这项功能，但在多数情况下，Windows更新和Windows服务器更新服务(即所谓的WSUS)是一个低成本高效益的解决方案，而且运行平滑，成为管理员的首选。

但是，管理员有时并不允许一般用户随意更新其软件。自从发生黑客劫持Windows更新后台服务的安全事件之后，情况尤其如此。虽然管理员们采取的限制方法不限于我们讨论的内容，但今天我们实施的组策略设置，可以允许我们控制用户的更新过程，并确保用户不能用Windows Update上传更新文件。

我们认为，为安全起见，管理员们应该是能够使用WindowsUpdate上传更新文件的唯一人员。我们可以通过管理Windows Update访问设置来防止用户访问Windows Update;这就必然需要我们配置组策略。如果你想给某些用户访问Windows Update的访问权，你可以设置谁可以访问这些设置。

我们可以用几种独立的措施移除对Windows Update 特性的访问，可以用一些措施防止使用Windows Update进行更新，另外一些措施清除对Windows Update项目的链接，再用另外一些措施禁用或配置自动更新。使用本文中所讨论的组策略会禁用用户或计算机的自动更新。为了防止Windows Update更新操作系统，需要如下的步骤：

1. 打开组策略编辑器(方法是单击“开始”/“运行”，输入gpedit.msc，单击“确定”。)

2. 创建一个新的组策略对象，例如，forbidUpdates

3. 选择“计算机配置”

4. 单击“管理模板”

5. 单击“系统”

6. 单击“Internet通信管理”

7. 选择“Internet通信设置”

8. 在组策略编辑器的右侧的窗格中，双击“关闭访问所有的Windows更新特性”, 单击“已启用”单选按钮，单击“确定”。如图1和图2：

图1

图2