提升Windows 系統(tǒng)安全性的組策略設(shè)置

1、升Winndowws 系系統(tǒng)安全全性的組組策略設(shè)設(shè)置有人將組組策略比比作深藏藏在系統(tǒng)統(tǒng)中的“大內(nèi)高高手”，筆者覺覺得這個個比喻的的非常恰恰當(dāng)?shù)摹＝M策略略確實(shí)有有其他第第三方安全軟件件所無法法比擬的的優(yōu)勢，這不僅僅是其與與 HYPERLINK / Winndowws系統(tǒng)統(tǒng)的密切切“關(guān)系系”，更更在于它它強(qiáng)大的的 HYPERLINK / 安全功能能。除了了可通過過其進(jìn)行行系統(tǒng)配配置，而而且可對對系統(tǒng)中中幾乎所所有的軟軟硬件實(shí)實(shí)施管理理，全方方位地提提升系統(tǒng)統(tǒng)安全。到目前前為止，似乎沒沒有任何何一款第第三方軟軟件可提提供如果果多的配配置項(xiàng)。何況隨隨著 HYPERLINK / Wiindoows系系統(tǒng)

2、的更更新?lián)Q代代，組策策略也是是越來越越強(qiáng)大了了，比如如在Wiindoows 7中就就增加了了許多VVistta沒有有的安全全項(xiàng)。本本文就以以當(dāng)前主主流的VVistta系統(tǒng)統(tǒng)為例，就Wiindoows組組策略的的安全特特性進(jìn)行行一番比比較深入入的解析析。 為了了便于說說明，筆筆者依據(jù)據(jù)組策略略的安全全配置功功能將其其劃分為為三部分分：系統(tǒng)統(tǒng)核心安安全配置置、應(yīng)用用程序和和設(shè)備限限制、IInteerneet EExplloreer(IIE)安安全。下下面就以以此為線線索，分分別談?wù)務(wù)劷M策略略的安全全特性。1、系統(tǒng)核核心安全全配置與系系統(tǒng)核心心安全相相關(guān)的組組策略設(shè)設(shè)置項(xiàng)主主要在“計(jì)算機(jī)機(jī)配置Win

3、ndowws配置置安全全配置”節(jié)點(diǎn)下下。(11).賬賬戶策略略對于于組策略略的這一一部分大大家應(yīng)該該非常熟熟悉，因因?yàn)樵谶@這里可以以設(shè)置密密碼和賬賬戶的鎖鎖定策略略。例如如，在這這部分組組策略中中，我們們可以設(shè)設(shè)置密碼碼最小長長度或者者密碼需需要包含含復(fù)雜字字符。如如果在鏈鏈接到域域(如默默認(rèn)域策策略)的的組策略略對象(GPOO)中定定義這些些策略，域中的的所有域域控制器器(DCC)都會會處理密密碼策略略，并且且組策略略對象會會控制域域用戶賬賬戶的密密碼策略略。當(dāng)在在鏈接到到域的組組策略對對象中定定義密碼碼策略時時，域中中的所有有工作站站和成員員 HYPERLINK / 服務(wù)器器也會進(jìn)進(jìn)行處理

4、理，并為為這些系系統(tǒng)中定定義的本本地賬戶戶設(shè)置賬賬戶策略略。(圖圖1) 圖1 安全設(shè)設(shè)置賬戶戶策略大家家知道，通過組組策略只只能定義義一個域域密碼策策略，不不過，WWinddowss Seerveer 220088支持一一套新的的密碼策策略對象象，這些些在活動動目錄(AD)中定義義的密碼碼策略對對象為單單一域提提供了更更加細(xì)化化的密碼碼策略控控制。 (2).本地地策略“本本地策略略” 下下有三個個安全策策略項(xiàng)，通過配配置可以以實(shí)現(xiàn)WWinddowss系統(tǒng)的的各種安安全需求求。例如如，其中中的“審審計(jì)策略略”用于于配置 HYPERLINK / 服服務(wù)器的的Winndowws安全全事件日日志收集集

5、哪些事事件;“用戶權(quán)權(quán)限分配配”用于于配置哪哪些用戶戶能通過過“遠(yuǎn)程程桌面”訪問指指定的服服務(wù)器或或工作站站;使用用“安全全選項(xiàng)”配置以以確定是是否激活活指定系系統(tǒng)上的的“管理理員” 賬戶以以及重命命名“管管理員”賬戶?！皩弻徲?jì)策略略”相當(dāng)當(dāng)直接，允許我我們控制制Winndowws安全全事件日日志能收收集哪些些事件類類型，在在此指定定成功或或失敗的的事件，用于審審計(jì)從活活動目錄錄訪問到到系統(tǒng)對對象訪問問(如文文件和注注冊表鍵鍵)的各各種事件件類型。根據(jù)組組策略對對象定義義審計(jì)事事件的鏈鏈接位置置，能激激活對域域控制器器或成員員服務(wù)器器和工作作站的審審計(jì)。例例如，如如果將包包含激活活目錄服服務(wù)訪

6、問問審計(jì)的的組策略略對象鏈鏈接到“域控制制器”組組織單元元，則域域中所有有域控制制器都將將執(zhí)行該該策略，因此，所有對對活動目目錄的訪訪問都會會作為訪訪問請求求被記錄錄到域控控制器的的日志中中。(圖圖2)圖22 安全全設(shè)置本本地策略略“用用戶權(quán)限限分配”是組策策略中另另一個強(qiáng)強(qiáng)大的安安全工具具，能用用于控制制誰能在在指定系系統(tǒng)上做做什么事事情。用用戶權(quán)限限的例子子包括“本地登登錄”權(quán)權(quán)限，用用于控制制誰能交交互式登登錄服務(wù)務(wù)器或工工作站的的控制臺臺;“加加載和卸卸載設(shè)備備驅(qū)動”權(quán)限，用于賦賦予組或或用戶安安裝設(shè)備備驅(qū)動的的權(quán)限。例如安安裝打印印機(jī)和顯顯示驅(qū)動動 通過過創(chuàng)建鏈鏈接到域域級別的的組策

7、略略對象，并為“認(rèn)證用用戶”組組賦予“拒絕本本地登錄錄”權(quán)限限，能有有效防止止活動目目錄域中中的所有有用戶登登錄自己己的工作作站。當(dāng)當(dāng)然，這這個例子子不是為為了說明明如何進(jìn)進(jìn)行破壞壞，而是是要說明明“用戶戶權(quán)限分分配”是是如何強(qiáng)強(qiáng)大，并并在需要要使用時時必須小小心謹(jǐn)慎慎。同其其它策略略設(shè)置一一樣，我我們只需需確保設(shè)設(shè)置用戶戶權(quán)限的的組策略略對象只只被應(yīng)用用到所希希望使用用的計(jì)算算機(jī)上就就可以了了，但要要針對正正確的用用戶組賦賦予或撤撤銷權(quán)限限。需要要說明的的是，“用戶權(quán)權(quán)限分配配”的權(quán)權(quán)限列表表會因WWinddowss版本的的不同而而喲變化化。有時時候，運(yùn)運(yùn)行在WWincctowws VVis

8、tta上的的組策略略對象定定義用戶戶權(quán)限，該組策策略對象象被應(yīng)用用到Wiindoows XP系系統(tǒng)上時時，由于于WinndowwsPP可能并并不了解解該用戶戶權(quán)限，所以將將在執(zhí)行行策略時時忽略該該策略。(圖33)圖33 本地地策略有有戶權(quán)限限分配“本地策策略”的的最后一一部分是是“安全全選項(xiàng)”，位于于“本地地策略安安全選項(xiàng)項(xiàng)”中，由于這這些策略略定義了了控制與與系統(tǒng)安安全相關(guān)關(guān)的配置置行為，因此與與系統(tǒng)安安全攸關(guān)關(guān)。比如如，在此此我們可可以配置置Winndowws VVistta的“用戶賬賬戶控制制(UAAC)”?！鞍舶踩x項(xiàng)項(xiàng)”中最最有意思思的應(yīng)該該是其中中出現(xiàn)的的安全選選項(xiàng)列表表。它是是由

9、一個個名為sscerregvvl.iinf的的文件進(jìn)進(jìn)行配置置的，該該文件位位于%wwinddir%innf文件件夾中。打開該該文件后后，可以以看到“安全選選項(xiàng)”中中定義的的每一條條圖44 增加加希望組組策略進(jìn)進(jìn)行控制制的設(shè)置置策略略，并且且可以編編輯這個個文件，增加希希望組策策略進(jìn)行行控制的的設(shè)置。(圖44)(3).受限制制組的策策略“受受限制組組”策略略的目的的是提供供一種控控制機(jī)制制，控制制成員服服務(wù)器和和工作站站上的本本地組成成員。“受限制制組”有有兩種操操作模式式：“成成員”和和“作為為成員”。“成成員”模模式是最最嚴(yán)格的的模式，只有列列出的用用戶和組組是其中中的成員員，所有有其他組

10、組或用戶戶都被移移除。與與之相反反，“作作為成員員”模式式允許為為其他組組添加用用戶和組組，也就就是說，我們能能在任何何計(jì)算機(jī)機(jī)上創(chuàng)建建一條策策略，“總是將將桌面管管理員組組作為本本地管理理員組的的成員”，并加加以執(zhí)行行，在這這種情況況下，“桌面管管理員”會被添添加到本本地“管管理員”組，但但是不會會影響其其他的組組成員。(44).系系統(tǒng)服務(wù)務(wù)策略“系系統(tǒng)服務(wù)務(wù)”策略略允許我我們控制制在指定定計(jì)算機(jī)機(jī)上啟動動哪些WWinddowss服務(wù)，還可以以控制服服務(wù)的權(quán)權(quán)限。例例如，能能夠使用用這些策策略只允允許服務(wù)務(wù)器管理理員停止止和啟動動所有作作為打印印服務(wù)器器的Wiindoows服服務(wù)器上上的“打

11、打印池”服務(wù)，并能使使用“系系統(tǒng)服務(wù)務(wù)”策略略賦予指指定用戶戶組執(zhí)行行某些任任務(wù)的權(quán)權(quán)限，而而不必需需要成為為系統(tǒng)的的管理員員才能進(jìn)進(jìn)行訪問問。此外外，位于于“計(jì)算算機(jī)配置置選項(xiàng)項(xiàng)服務(wù)務(wù)”中的的“組策策略選項(xiàng)項(xiàng)”也提提供了控控制系統(tǒng)統(tǒng)服務(wù)的的策略。這個功功能還提提供了對對于服務(wù)務(wù)配置的的更多控控制，包包括能夠夠修改一一系列系系統(tǒng)上的的服務(wù)賬賬戶和服服務(wù)賬戶戶密碼。(55).注注冊表和和文件系系統(tǒng)策略略這些些策略能能夠集中中分別管管理文件件系統(tǒng)和和注冊表表鍵的權(quán)權(quán)限。例例如，如如果想鎖鎖定所有有桌面系系統(tǒng)中的的某個文文件或文文件夾，比如為為了避免免惡意軟軟件輕易易進(jìn)行修修改，需需要鎖定定工作站站

12、的HOOSTSS文件，在這種種情況，可以使使用“文文件系統(tǒng)統(tǒng)”策略略集中定定義所有有計(jì)算機(jī)機(jī)上執(zhí)行行該策略略的文件件權(quán)限和和權(quán)限繼繼承。但但是一般般來說，文件系系統(tǒng)和注注冊表安安全策略略作為一一種集中中管理文文件系統(tǒng)統(tǒng)和注冊冊表安全全的方式式并不常常用，而而且如果果誤用會會造成問問題。這這些策略略對于大大型的文文件和文文件夾樹樹結(jié)構(gòu)或或注冊表表鍵的重重新分配配權(quán)限并并不適用用，在組組策略處處理過程程中并不不能很好好地執(zhí)行行，并且且在執(zhí)行行過程中中已知會會降低系系統(tǒng)性能能。由于于默認(rèn)情情況下，即使沒沒有發(fā)生生策略變變更，安安全策略略每166個小時時也會自自動刷新新， 因因此這個個問題就就更加嚴(yán)嚴(yán)

13、重。如如果需要要加強(qiáng)文文件系統(tǒng)統(tǒng)或注冊冊表權(quán)限限，筆者者建議使使用其他他方法，例如腳腳本、WWinddowss安全模模板或是是第三方方安全工工具。也也就是說說，如果果只是修修改少量量文件、文件夾夾或注冊冊表鍵的的權(quán)限，確保這這些關(guān)鍵鍵資源受受到保護(hù)護(hù)。2、應(yīng)用用程序和和設(shè)備限限制(11).應(yīng)應(yīng)用程序序限制應(yīng)用用程序限限制相對對應(yīng)組策策略來說說就是“軟件限限制策略略(SRRP)”，這些些策略位位于“計(jì)計(jì)算機(jī)和和用戶配配置WWindd0wss設(shè)置安安全設(shè)置置軟件件限制策策略”節(jié)節(jié)點(diǎn)。SRRP可以以有三種種不同的的運(yùn)行模模式：默默認(rèn)模式式允許所所有代碼碼執(zhí)行，管理員員只對那那些明惡惡意的程程序或腳腳

14、本進(jìn)行行限制，俗稱“黑名單單”。這這種方式式雖然對對于管理理來說非非常容易易，但是是并不安安全，因因?yàn)閷τ谟谝恍┪次粗某坛绦蚧蛘哒吣_本管管理員無無法進(jìn)行行判斷和和處理。第二種種模式稱稱為“白白名單”，是使使用SRRP最安安全的方方式，但但是需要要管理員員做更多多的管理理工作，因?yàn)橐獎?chuàng)建各各種規(guī)則則。最后后一種模模式，稱稱為“基基本用戶戶”，在在Winndowws VVistta中首首先出現(xiàn)現(xiàn)。，當(dāng)當(dāng)設(shè)置基基本用戶戶的默認(rèn)認(rèn)級別時時，管理理員運(yùn)行行的所有有進(jìn)程會會被剝離離管理令令牌，強(qiáng)強(qiáng)制這些些進(jìn)程作作為非管管理員用用戶運(yùn)行行。當(dāng)我我們不希希望管理理員使用用其管理理賬戶運(yùn)運(yùn)行某些些進(jìn)程時時，

15、這種種方式非非常有用用。(圖圖5) 圖5 應(yīng)用程程序限制制對于于這一部部分內(nèi)容容，如果果大家感感興趣可可以參考考詳解解Winndowws 77下的程程序運(yùn)行行控制( HYPERLINK /Longhorn/340/8977840_1.shtml htttp:/wwinssysttem.ctoocioo.coom.ccn/LLongghorrn/3340/897778440_11.shhtmll)。該該文以WWinddowss 7系系統(tǒng)為例例介紹了了通過其其組策略略對應(yīng)用用程序的的安裝和和運(yùn)行進(jìn)進(jìn)行限制制，策略略方法和和Vissta下下的類似似，筆者者就不贅贅述了。(22).設(shè)設(shè)備限制制所謂謂設(shè)

16、備限限制，主主要指 HYPERLINK / 存存儲限制制即對移移動 HYPERLINK / 存儲儲設(shè)備的的限制。我們知知道，在在企業(yè)環(huán)環(huán)境中，通過移移動設(shè)備備進(jìn)行竊竊密是比比較普遍遍的。從從Vissta開開始，微微軟在組組策略中中提供了了對移動動設(shè)備的的限制。其組策策略項(xiàng)位位于“計(jì)計(jì)算機(jī)(或用戶戶配置)管理理模板系統(tǒng)可移動動存儲訪訪問”節(jié)節(jié)點(diǎn)下，在此我我們可以以設(shè)置對對任何可可移動存存儲設(shè)備備的拒絕絕讀或?qū)憣?或可可讀寫)訪問，支持持的可移移動存儲儲設(shè)備包包括U盤盤、可寫寫CD和和DVDD以及可可移動硬硬盤。此此外，與與設(shè)備限限制相關(guān)關(guān)，我們們話你可可以通過過組策略略隱藏磁磁盤或者者限制用用戶

17、對磁磁盤分區(qū)區(qū)的訪問問，以保保護(hù)磁盤盤數(shù)據(jù)，其設(shè)置置項(xiàng)在“本地計(jì)計(jì)算機(jī)策策略用用戶配置置管理理模板Winndowws組件件Wiindoows資資源管理理器”節(jié)節(jié)點(diǎn)下。至于如如何設(shè)置置大家可可以參考考文章Vissta 組策略略深度挖挖掘 實(shí)實(shí)現(xiàn)非常常任務(wù)( HYPERLINK /vista/220/8214720.shtml htttp:/wwinssysttem.ctoocioo.coom.ccn/vvistta/2220/821147220.sshtmml)。(圖66)圖66 設(shè)備備限制 33、IEE安全之所所以把IIE的組組策略項(xiàng)項(xiàng)單獨(dú)拿拿出來分分析，不不僅僅因因?yàn)镮EE是Wiindoow

18、s系系統(tǒng)集成成的瀏覽覽器，更更主要是是因?yàn)樗褂米钭顝V泛的的瀏覽器器軟件，同時也也是Wiindoows系系統(tǒng)中面面臨安全全威脅最最大的系系統(tǒng)組件件。在VVistta的組組策略中中，我們們可以在在三個不不同的組組策略節(jié)節(jié)點(diǎn)來配配置IEE。這三三個節(jié)點(diǎn)點(diǎn)分別是是：“用用戶配置置Wiindoows設(shè)設(shè)置IIE維護(hù)護(hù)策略”即“IIE維護(hù)護(hù)策略”;“計(jì)計(jì)算機(jī)或或用戶配配置管管理模板板Wiindoows組組件IInteerneet EExplloreer”即即“管理理模板策策略”;“用戶戶配置選項(xiàng)管理控控制面板板Innterrnett設(shè)置”即“組組策略選選項(xiàng)”功功能。其實(shí)實(shí)，上述述每種方方式在配配置IEE時都各各有優(yōu)缺缺點(diǎn)。例例如，要要配置IIE代理理或者首首頁，可可以使用用“IEE維護(hù)策策略”或或“組策策略選項(xiàng)項(xiàng)”。筆筆者建議議大家盡盡量使用用“組策策略選項(xiàng)項(xiàng)”，因因?yàn)樵谟蛴颦h(huán)境下下“IEE維護(hù)”在向客客戶端分分發(fā)策略略時并不不可靠。需要說說明的是是，通過過“組策策略選項(xiàng)項(xiàng)”或者者“IEE維護(hù)”修改IIE配置置，并不不能防止止用戶更更改。所所以，我我們一般般要使用用“管理理模板”策略選選項(xiàng)禁止止用戶訪訪問IEE設(shè)置頁頁面。通通常情況況下，使使用“管管理模板板”策略略鎖定某某些IEE設(shè)置，就能夠夠防止用用戶修改改IE配配置來繞繞過限制制。如果果我們要