提升Windows 系统安全性的组策略设置.docVIP

升Windows 系统安全性的组策略设置 有人将组策略比作深藏在系统中的“大内高手”，笔者觉得这个比喻的非常恰当的。组策略确实有其他第三软件所无法比拟的优势，这不仅是其与Windows系统的密切“关系”，更在于它强大的安全功能。除了可通过其进行系统配置，而且可对系统中几乎所有的软硬件实施管理，全方位地提升系统安全。到目前为止，似乎没有任何一款第三方软件可提供如果多的配置项。何况随着Windows系统的更新换代，组策略也是越来越强大了，比如在Windows 7中就增加了许多Vista没有的安全项。本文就以当前主流的Vista系统为例，就Windows组策略的安全特性进行一番比较深入的解析。 　　为了便于说明，笔者依据组策略的安全配置功能将其划分为三部分：系统核心安全配置、应用程序和设备限制、Internet Explorer(IE)安全。下面就以此为线索，分别谈谈组策略的安全特性。 　　1、系统核心安全配置 　　与系统核心安全相关的组策略设置项主要在“计算机配置→Windows配置→安全配置”节点下。 　　(1).账户策略 　　对于组策略的这一部分大家应该非常熟悉，因为在这里可以设置密码和账户的锁定策略。例如，在这部分组策略中，我们可以设置密码最小长度或者密码需要包含复杂字符。如果在链接到域(如默认域策略)的组策略对象(GPO)中定义这些策略，域中的所有域控制器(DC)都会处理密码策略，并且组策略对象会控制域用户账户的密码策略。当在链接到域的组策略对象中定义密码策略时，域中的所有工作站和成员服务器也会进行处理，并为这些系统中定义的本地账户设置账户策略。(图1) ??? 图1 安全设置账户策略 　　大家知道，通过组策略只能定义一个域密码策略，不过，Windows Server 2008支持一套新的密码策略对象，这些在活动目录(AD)中定义的密码策略对象为单一域提供了更加细化的密码策略控制。 ??? (2).本地策略 　　“本地策略” 下有三个安全策略项，通过配置可以实现Windows系统的各种安全需求。例如，其中的“审计策略”用于配置服务器的Windows安全事件日志收集哪些事件;“用户权限分配”用于配置哪些用户能通过“远程桌面”访问指定的服务器或工作站;使用“安全选项”配置以确定是否激活指定系统上的“管理员” 账户以及重命名“管理员”账户。 　　“审计策略”相当直接，允许我们控制Windows安全事件日志能收集哪些事件类型，在此指定成功或失败的事件，用于审计从活动目录访问到系统对象访问(如文件和注册表键)的各种事件类型。根据组策略对象定义审计事件的链接位置，能激活对域控制器或成员服务器和工作站的审计。例如，如果将包含激活目录服务访问审计的组策略对象链接到“域控制器”组织单元，则域中所有域控制器都将执行该策略，因此，所有对活动目录的访问都会作为访问请求被记录到域控制器的日志中。(图2)　 　　图2 安全设置本地策略 　　“用户权限分配”是组策略中另一个强大的安全工具，能用于控制谁能在指定系统上做什么事情。用户权限的例子包括“本地登录”权限，用于控制谁能交互式登录服务器或工作站的控制台;“加载和卸载设备驱动”权限，用于赋予组或用户安装设备驱动的权限。例如安装打印机和显示驱动 通过创建链接到域级别的组策略对象，并为“认证用户”组赋予“拒绝本地登录”权限，能有效防止活动目录域中的所有用户登录自己的工作站。当然，这个例子不是为了说明如何进行破坏，而是要说明“用户权限分配”是如何强大，并在需要使用时必须小心谨慎。同其它策略设置一样，我们只需确保设置用户权限的组策略对象只被应用到所希望使用的计算机上就可以了，但要针对正确的用户组赋予或撤销权限。需要说明的是，“用户权限分配”的权限列表会因Windows版本的不同而哟变化。有时候，运行在Winctows Vista上的组策略对象定义用户权限，该组策略对象被应用到Windows XP系统上时，由于Windows×P可能并不了解该用户权限，所以将在执行策略时忽略该策略。(图3) 　　 　　图3 本地策略有户权限分配 “本地策略”的最后一部分是“安全选项”，位于“本地策略安全选项”中，由于这些策略定义了控制与系统安全相关的配置行为，因此与系统安全攸关。比如，在此我们可以配置Windows Vista的“用户账户控制(UAC)”。“安全选项”中最有意思的应该是其中出现的安全选项列表。它是由一个名为sceregvl.inf的文件进行配置的，该文件位于%windir%\inf文件夹中。打开该文件后，可以看到“安全选项”中定义的每一条 　　 　　图4 增加希望组策略进行控制的设置 　　策略，并且可以编辑这个文件，增加希望组策略进行控制的设置。(图4) (3).受限制组的策略 　　“受限制组”策略的目的