桌面檔案透過 Windows SteadyState 管理公用電腦
Wes Miller
如果您在過去 10 年來曾到過電腦室,我知道您對這個問題一定不陌生。我是在大學的時候第一次親眼目睹。當時的電腦室是全天候開放 (用學生證出入),而且到了圖書館室之後,就無人看管。那個時代的學生電腦玩家,
都會到這兒來修改重要的 Windows® 和 MS-DOS® 檔案,好執行他們的遊戲。結果變成電腦可能執行他們的遊戲沒問題,卻無法順利執行 Windows (如果沒當掉的話)。我們都曾碰過這種情形 — 公用電腦被蹂躪至極,使用它簡直是浪費自己的時間。
我最近在德州這邊的南帕德烈島渡假,我下榻的旅館在房客電腦室裡面擺了三台執行 Windows XP 的電腦。在這些 Windows 系統上執行的使用者個個是系統管理員,而且什麼原則都沒有設定 — 表示這些可憐的電腦曾被安裝惡意軟體、移除或修改核心應用程式,慘不忍睹 — 怎麼說也不是旅館想要提供的住房經驗。事實上,不管是在電腦室還是旅館,公開環境中的公用電腦命運多舛,不是一些家用電腦可以想像的。
解決問題的辦法
取得及使用 SteadyState
Windows SteadyState 可免費自 go.microsoft.com/fwlink/?LinkId=104721 下載。有關 SteadyState 的詳細資訊,可從 microsoft.com/windows/products/winfamily/sharedaccess 取得。
Windows SteadyState 可以在任何能夠執行 Windows XP 的系統上執行。SteadyState 優於 SCT 最明顯的改進是,它並不像 SCT 一樣需要有第二個磁碟分割用於 Windows 磁碟保護才能運作。
下表提供了 SteadyState 的系統需求概觀。請注意,SteadyState 雖然支援任一種 Windows XP 版本,但是需要 NTFS 格式化的檔案系統。SteadyState 目前並不適用於 Windows Vista®。
| 元件 | 需求 |
| 處理器 | 300 MHz 或更快的速度 (至少 233 MHz)。 |
| 記憶體 | 128MB 或以上的 RAM (至少 64MB;可能會限制效能和一些功能)。 |
| 硬碟 | 若沒有 Windows 磁碟保護,至少須有 1.5GB 的可用硬碟空間,或者在有 Windows 磁碟保護時至少須有 4.0GB 的可用硬碟空間。 |
| 作業系統 | Windows XP Home Edition、Windows XP Professional 或 Windows XP Tablet PC Edition。必須安裝 Windows XP SP2。 |
| 支援的當地語系化語言 | 英文、荷蘭文、法文、義大利文、日文、巴西葡萄牙文、簡體中文以及西班牙文。 |
| 檔案系統 | NTFS 格式化的檔案系統。 |
| 存取 | 系統管理員層級存取。 |
如果您去年讀過我的專欄,或者您對於 Windows 的一般部署工作還蠻熟悉的,您可能會想:「有什麼了不起,大不了重新製作系統的映像就得了」。但是只要過過那種生活的人都知道,情況不一定都這麼簡單。每天或每週按下那個重新製作映像的紅色大按鈕不是解決之道。
幾年前,我和一名朋友考慮開家網咖。這在 1995 年當時還算是個蠻新潮的構想。我最大的顧慮其實在於如何確保系統穩定性和可用性。不幸的是,當時的選擇大多是重新製作映像或是稍微比較強固的解決方案,並沒有所謂的隨插即用可以解決問題。
仔細分析下來,在保護公用電腦的安全時,您應該要能夠做三件事:
- 確保使用者只以非系統管理員身分執行。這在公用電腦上應該徹底厲行。
- 設定原則,讓系統盡可能安全。如此一來,使用者就比較不可能獲權操控他們不應該存取的系統區域。
- 能夠復原使用者所作的任何隨機變更。即使使用者是以非系統管理員的身分執行,他們還是能夠對功能表、我的最愛等等進行惡意的變更。
所幸,Microsoft 投入許多年的功夫,設計出一套專門解決這種案例的工具組。
SteadyState 的歷史
Microsoft 在一年多前發行了 Windows Shared Computing Toolkit (SCT),供免費下載用於 Windows Genuine Advantage 認證的系統,該工具組是特別針對圖書館、網咖、電腦室和其他公用電腦環境而設計的。您可能在 2006 年 7 月號的《TechNet Magazine》看過關於 SCT 的文章 (technetmagazine.com/issues/2006/07/UtilitySpotlight)。
新版本現在改名為 Windows SteadyStateTM (microsoft.com/windows/products/winfamily/sharedaccess),它是在 2007 年 6 月推出。新版本改名的原因有部分是因為工具組在版本間經過了大幅的變更。它還是會執行相同的工作,這我稍後就會深入討論,但是開發小組把重點放在新版本整體的方便使用性上。也就是說 SteadyState 已緊密整合至新的主控台,而且更容易安裝和管理。它的功能更強大也更具彈性,而且支援它其中一個主要元件與 Active Directory® 整合 — 表示在幾種全新的企業案例中更具有彈性。SteadyState 現在也支援 Windows Update 整合,所以具備相關的智慧知道何時要關閉 Windows 磁碟保護來自行套用更新。如此一來,便降低了為 SteadState 管理的系統投入的管理負荷。
SteadyState 的功能
Windows SteadyState 包含四大元件:「電腦限制」會鎖定每部電腦的安全性和設定選項;「Windows 磁碟保護」會快取 (和還原) 對 Windows 系統磁碟分割的變更;「使用者帳戶管理員」會建立、編輯、匯入或匯出使用者;還有最後的「使用者限制和設定」會鎖定每名使用者的安全性和設定選項。
您會注意到,跟 Shared Computing Toolkit 比起來,這個版本最直接的改進是使用者說明,提供了入門指南輔助執行 SteadyState,而 SteadyState 也提供四項可深入探索的重要工作 (跟我上面提到的主要功能互相呼應):
- 設定電腦限制 (電腦限制)。
- 排定軟體更新 (讓您指定 SteadyState 是否自動套用 Windows Updates。這是建議的選項,因為它會幫您操作 Windows 磁碟保護的處理事宜,也會更新幾個常見防毒程式的簽名)。
- 保護硬碟 (Windows 磁碟保護)。
- 新增使用者 (使用者帳戶管理員)。
您可以在 [新增使用者] 找到 [使用者限制和設定],它會提供您每名使用者的設定選項。
電腦與使用者限制和設定
如果您已經熟悉 Windows 群組原則,想必對 SteadyState 的「設定電腦限制」和「使用者限制和設定」並不陌生。SteadyState 會顯示在公用電腦案例中常見的幾項重要的安全性和設定選項,而不會強迫 SteadyState 系統管理員必須使用群組原則物件編輯器 (GPEdit.msc),雖然 Windows XP Home Edition 上有支援 SteadyState,但不提供此功能。
[圖 1] 顯示了設定電腦限制的設定畫面。請注意,這些全都是通用設定,會套用到整部電腦。選取這些設定主要是為了將系統的安全性風險降至最低 — 以及在進行 USB 磁碟存取的情況下,可以從系統移除項目 (當您查看每名使用者的設定時,也會看到可以封鎖部分或所有磁碟的讀取存取的方法)。
![[圖 1] SteadyState 中的電腦限制](images/cc137731.fig01.gif)
[圖 1]** SteadyState 中的電腦限制 **(按影像可放大)
值得注意的一點是,USB 設定只在實際有設定 SteadyState 的 Windows 安裝下執行才有效。為了防禦離線攻擊,您應該適當設定 BIOS 來封鎖從 USB 或 CD 裝置開機,並且以密碼保護 BIOS 本身。
不用說,這並非萬無一失的做法。請記住《安全性十大定律》(microsoft.com/technet/archive/community/columns/security/essays/10imlaws.mspx) 裡面的第三定律:「倘若不肖份子能夠毫無阻礙地存取您的實體電腦,您的電腦就淪陷了。」只要有足夠時間和適當工具,有心人往往可以繞過 BIOS 密碼。
Windows 磁碟保護
如果您曾從 CD 使用過 Windows XP Embedded,或使用過 Windows PE 2.0,接下來的說明您一定不生疏,因為它們同出一源。Windows 磁碟保護的運作方式是透過把對系統磁碟分割所作的全部變更都儲存到相同磁碟分割上的快取中,藉此提供 Windows 系統磁碟分割完整的「復原」。SteadyState 的這個層面非常重要,因為容許您復原系統使用者隨著時間所作的變更的,正是這個元件。
如果您想要確保您可以隨著時間迅速復原 (不管是在未預期的重新開機之後,或是排定的間隔內),回到系統最初的部署狀態,Windows 磁碟保護就很實用。在 [圖 2] 顯示的對話方塊中,有四個節點可供您設定:
![[圖 2] 設定 Windows 磁碟保護](images/cc137731.fig02.gif)
[圖 2]** 設定 Windows 磁碟保護 **(按影像可放大)
關閉 完全停用 Windows 磁碟保護,而且所有變更會正常寫入磁碟。
開啟 — 重新開機時捨棄變更 啟用 Windows 磁碟保護,而且每次重新啟動電腦時,將捨棄所有變更。這基本上是指系統會還原成當您勾選和儲存這個選項時的狀態。
開啟 — 在指定時間捨棄變更 與前一個選項幾乎一模一樣,差別在於變更是在指定時間,而不是在下一次重新開機時捨棄。如果您希望捨棄每天或每週的變更,這將是合理的選項。
開啟 — 永久保留變更 這在概念上容易與「關閉」相混淆,但此處的差別是,這是暫時模式。例如,您可以在想要套用應用程式更新、安裝新應用程式,或設定系統時使用此模式。這個模式不適合執行過長的時間。
請注意 Windows 磁碟保護在當中這些模式之間變換時需要重新開機。
排定軟體更新
[排定軟體更新] 設定好用的地方在於 SteadyState 現在可以自動為您關閉或開啟 Windows 磁碟保護。如果您容許 SteadyState 處理更新,它會設定 Windows 磁碟保護在更新期間保留變更,之後再將 Windows 磁碟保護還原到之前設定的狀態。我非常建議使用這個設定,因為這樣一來管理工作清單上就少了一項差事。
透過軟體更新的更新功能,支援下列安全性軟體:Computer Associates eTrust 7.0、McAfee VirusScan、Windows Defender,以及 TrendMicro 7.0。
使用者帳戶管理員
[新增使用者] 選項可讓您設定系統的新使用者。[圖 3] 顯示了新使用者可用的選項:名稱、密碼、呈現給使用者的影像,以及使用者設定檔的位置。建立好使用者之後,您就可以為這些本機帳戶一一設定「使用者限制和設定」。優點是您在系統上新增和設定好帳戶後,就可以匯出它,然後在必要時把它匯入到其他系統 (或將它保存起來)。
![[圖 3] 新增使用者帳戶](images/cc137731.fig03.gif)
[圖 3]** 新增使用者帳戶 **(按影像可放大)
使用者帳戶管理員便利的一點是,您可以透過 [圖 3] 所示的 [使用者位置] 功能表在次要磁碟分割上建立使用者設定檔。除非您在安裝期間透過 unattend.txt 檔案手動指定不同的 Documents and Settings 位置,否則設定檔必須建立在 Windows 磁碟分割上。這種方法在 SteadyState 特別受用,因為它會在啟用 Windows 磁碟保護時捨棄對 Windows 系統磁碟分割所作的變更。如果您希望使用者的設定檔在 Windows 磁碟保護快取清除後繼續保持一致,只要在透過使用者帳戶管理員建立使用者時,指定將使用者的設定檔存放到不同的本機磁碟分割就行了。
這個程序的運作方式是透過重新開機清除 Windows 磁碟保護快取,套用更新後再次重新開機,以重新啟動 Windows 磁碟保護。除了 Windows Update 之外,SteadyState 也會更新它所支援的幾個常見防毒應用程式的簽名檔 (請參閱「取得和使用 SteadyState」資訊看板)。如果您的應用程式沒有受到支援,或是您需要執行其他更新程式,可以手動處理更新 — 只要確定您在進行這個動作時已經停用 Windows 磁碟保護就行了,否則簽名更新將會遺失。
使用者限制和設定
一旦選好使用者之後,SteadyState 就會將使用者限制分成四大類。這些是衍生自群組原則的設定,而且您可能似曾相識。
[一般] 設定控制著使用者設定檔,以及強制登出設定。這包括設定鎖定設定檔,以及設定在過了一段設定的使用時間或閒置時間後,登出的逾時間隔。
[圖 4] 所示的 [Windows 限制] 設定,則控制著 Windows 特定的設定項目。範例包括移除對 Windows 使用者介面項目的存取,例如開始功能表的元件和 Windows 檔案總管的功能等。另外還可以依磁碟機代號封鎖對特定磁碟機的存取,以及停用 CD 燒錄功能。
![[圖 4] Windows 特定的使用者限制](images/cc137731.fig04.gif)
[圖 4]** Windows 特定的使用者限制 **(按影像可放大)
[圖 5] 所示的 [功能限制] 索引標籤控制著對大部分 Internet Explorer® 功能的細微存取,容許您設定 Internet Explorer 首頁,以及以某種程度控制 Microsoft® Office 功能 — 主要是指控制執行 Visual Basic® for Applications (VBA) 指令碼的能力。
![[圖 5] 功能限制](images/cc137731.fig05.gif)
[圖 5]** 功能限制 **(按影像可放大)
[封鎖程式] 設定 (見 [圖 6]) 控制著執行特定應用程式的能力 — 基本上是建立一份黑名單,裡頭已經列出幾個常見的應用程式,您可以另外添加。要注意的是,這些應用程式的封鎖是以其的路徑定義為準。如果使用者獲准將應用程式挪到系統的其他地方,那麼路徑規則就不再適用。不過,只要正確套用檔案和目錄 ACL、並採用其他方式限制系統存取,就能夠避免使用者輕易挪動應用程式。
![[圖 6] 封鎖程式免於執行](images/cc137731.fig06.gif)
[圖 6]** 封鎖程式免於執行 **(按影像可放大)
SteadyState 另外一項重要的新功能是藉由預先定義的範本,指定與 Windows 限制及功能限制這兩者有關的限制層級。使用範本的好處是令基準設定按您所需的功能鎖定層級運作,不過您當然可以建置自訂範本。
SteadyState 的限制
SteadyState 在協助組織保持其公用電腦系統穩定方面表現傑出。這就商用工具來說,還算不賴。而對免費工具而言,可說是相當了不起。但是別忘了,它不是萬能的。
公用電腦系統很容易成為攻擊的標靶,甚至也很容易遭到無意的濫用。您應該確實將這些系統與它們不需要存取的資訊相隔離。雖然 SteadyState 也能夠封鎖對應用程式的存取,但是這些強制作業是透過軟體限制原則來處理。就像 Mark Russinovich 幾年前曾說過,精通門道的使用者可以利用各種管道,製作出看似無害的應用程式,結果就連限制權限的使用者也可能敞開大門讓他們通過這些原則 (blogs.technet.com/markrussinovich/archive/2005/12/12/circumventing-group-policy-as-a-limited-user.aspx)。若不封鎖所有裝置存取和網際網路存取,您就需要切記這項弱點。永遠將第 3 定律謹記在心 ...
SteadyState 很顯然只是設定完善的公用電腦系統當中的一個小環節。重要的是定期透過 Windows Update 套用更新,並適當設定 Windows 防火牆 (或其他防火牆)。另外,也要確實安裝和設定防毒軟體、防間諜軟體和其他安全性因應措施,這些都是分析電腦潛在風險不可少的工具。同樣地,也要控制對電腦的存取 — 如果您控制不了這一點,就控制電腦可以查看的內容。而且別把機密資料存在本機上。
最後,當您的平台進行測試取得合格認證前,確定測試當中包括了使用 SteadyState (啟用 Windows 磁碟保護,除非您不打算使用它),以及所有您打算在系統上執行的其他軟體。您應當確保軟體和 SteadyState 搭配運作無間。
SteadyState 的支援
我看到使用者對 SteadyState 所持的意見都相當地正面。我到目前為止只有聽到幾個小問題,有些是關於新增使用者必須遵守的順序。當中許多小問題 (以及其他使用秘訣和訣竅) 在活躍的 Windows SteadyState 社群 (SteadyState 應用程式和說明文件中提供好幾個方便的連結) 中都有討論到,網址是 forums.microsoft.com/windowstoolsandutilities。
我也建議在開始前先檢閱 SteadyState 手冊,您可從 go.microsoft.com/fwlink/?LinkId=104722 取得此手冊。其中提供了好幾個成功使用 SteadyState 的秘訣和訣竅。
總結
SteadyState 為您需要控制存取的 Windows XP 系統提供了絕佳的功能組合 — 而且它是免費的!經過大幅改進的 Windows 磁碟保護功能和使用者介面的增強,都意謂著它更容易部署,而且公用存取系統整體管理起來也更簡單。
無論您是為了滿足電腦室系統、訪客或員工公用存取資訊站、教育訓練室,或任何其他公用電腦的需要,SteadyState 都可以幫助您更輕鬆地讓系統順利運作。有了它之後,您每個禮拜就不用再為了助推啟動系統而需要重新製作映像傷腦筋。這在我的標準下可是一大改進。
Wes Miller在位於德州奧斯丁的 Initiate Systems (InitiateSystems.com) 擔任技術產品經理。他之前任職於 Winternals Software,並且曾在 Microsoft 擔任專案經理一職。您可以透過電子郵件與 Wes 聯絡:technet@getwired.com。
© 2008 Microsoft Corporation and CMP Media, LLC. 保留所有權利;未經允許,嚴禁部分或全部複製.