提升windows系統(tǒng)安全性的組策略設(shè)置

1、有人將組策略比作深藏在系統(tǒng)中的“大內(nèi)高手”，筆者覺得這個(gè)比喻的非常恰當(dāng)?shù)摹＝M策略確實(shí)有其他第三方安全軟件所無法比擬的優(yōu)勢(shì)，這不僅是其與Windows系統(tǒng)的密切“關(guān)系”，更在于它強(qiáng)大的安全功能。除了可通過其進(jìn)行系統(tǒng)配置，而且可對(duì)系統(tǒng)中幾乎所有的軟硬件實(shí)施管理，全方位地提升系統(tǒng)安全。到目前為止，似乎沒有任何一款第三方軟件可提供如果多的配置項(xiàng)。何況隨著Windows系統(tǒng)的更新?lián)Q代，組策略也是越來越強(qiáng)大了，比如在Windows 7中就增加了許多Vista沒有的安全項(xiàng)。本文就以當(dāng)前主流的Vista系統(tǒng)為例，就Windows組策略的安全特性進(jìn)行一番比較深入的解析。 為了便于說明，筆者依據(jù)組策略的安全配置功

2、能將其劃分為三部分：系統(tǒng)核心安全配置、應(yīng)用程序和設(shè)備限制、Internet Explorer(IE)安全。下面就以此為線索，分別談?wù)劷M策略的安全特性。1、系統(tǒng)核心安全配置與系統(tǒng)統(tǒng)核心安安全相關(guān)關(guān)的組策策略設(shè)置置項(xiàng)主要要在“計(jì)算機(jī)機(jī)配置Winndowws配置置安全配配置”節(jié)點(diǎn)下下。(1).賬戶戶策略對(duì)于組組策略的的這一部部分大家家應(yīng)該非非常熟悉悉，因?yàn)闉樵谶@里里可以設(shè)設(shè)置密碼碼和賬戶戶的鎖定定策略。例例如，在在這部分分組策略略中，我我們可以以設(shè)置密密碼最小小長(zhǎng)度或或者密碼碼需要包包含復(fù)雜雜字符。如如果在鏈鏈接到域域(如默默認(rèn)域策策略)的的組策略略對(duì)象(GPOO)中定定義這些些策略，域域中的所所有

3、域控控制器(DC)都會(huì)處處理密碼碼策略，并并且組策策略對(duì)象象會(huì)控制制域用戶戶賬戶的的密碼策策略。當(dāng)當(dāng)在鏈接接到域的的組策略略對(duì)象中中定義密密碼策略略時(shí)，域域中的所所有工作作站和成成員服務(wù)務(wù)器也會(huì)會(huì)進(jìn)行處處理，并并為這些些系統(tǒng)中中定義的的本地賬賬戶設(shè)置置賬戶策策略。(圖1) 圖圖1 安安全設(shè)置置賬戶策策略大家知知道，通通過組策策略只能能定義一一個(gè)域密密碼策略略，不過過，Wiindoows Serrverr 20008支支持一套套新的密密碼策略略對(duì)象，這這些在活活動(dòng)目錄錄(ADD)中定定義的密密碼策略略對(duì)象為為單一域域提供了了更加細(xì)細(xì)化的密密碼策略略控制。(2).本本地策略略“本地地策略” 下有有

4、三個(gè)安安全策略略項(xiàng)，通通過配置置可以實(shí)實(shí)現(xiàn)Wiindoows系系統(tǒng)的各各種安全全需求。例例如，其其中的“審計(jì)策策略”用于配配置服務(wù)務(wù)器的WWinddowss安全事事件日志志收集哪哪些事件件;“用戶權(quán)權(quán)限分配配”用于配配置哪些些用戶能能通過“遠(yuǎn)程桌桌面”訪問指指定的服服務(wù)器或或工作站站;使用用“安全選選項(xiàng)”配置以以確定是是否激活活指定系系統(tǒng)上的的“管理員員” 賬戶戶以及重重命名“管理員員”賬戶?！皩徲?jì)計(jì)策略”相當(dāng)直直接，允允許我們們控制WWinddowss安全事事件日志志能收集集哪些事事件類型型，在此此指定成成功或失失敗的事事件，用用于審計(jì)計(jì)從活動(dòng)動(dòng)目錄訪訪問到系系統(tǒng)對(duì)象象訪問(如文件件和注冊(cè)冊(cè)

5、表鍵)的各種種事件類類型。根根據(jù)組策策略對(duì)象象定義審審計(jì)事件件的鏈接接位置，能能激活對(duì)對(duì)域控制制器或成成員服務(wù)務(wù)器和工工作站的的審計(jì)。例例如，如如果將包包含激活活目錄服服務(wù)訪問問審計(jì)的的組策略略對(duì)象鏈鏈接到“域控制制器”組織單單元，則則域中所所有域控控制器都都將執(zhí)行行該策略略，因此此，所有有對(duì)活動(dòng)動(dòng)目錄的的訪問都都會(huì)作為為訪問請(qǐng)請(qǐng)求被記記錄到域域控制器器的日志志中。(圖2)圖2 安全設(shè)設(shè)置本地地策略“用戶戶權(quán)限分分配”是組策策略中另另一個(gè)強(qiáng)強(qiáng)大的安安全工具具，能用用于控制制誰(shuí)能在在指定系系統(tǒng)上做做什么事事情。用用戶權(quán)限限的例子子包括“本地登登錄”權(quán)限，用用于控制制誰(shuí)能交交互式登登錄服務(wù)務(wù)器或工

6、工作站的的控制臺(tái)臺(tái);“加載和和卸載設(shè)設(shè)備驅(qū)動(dòng)動(dòng)”權(quán)限，用用于賦予予組或用用戶安裝裝設(shè)備驅(qū)驅(qū)動(dòng)的權(quán)權(quán)限。例例如安裝裝打印機(jī)機(jī)和顯示示驅(qū)動(dòng) 通過創(chuàng)創(chuàng)建鏈接接到域級(jí)級(jí)別的組組策略對(duì)對(duì)象，并并為“認(rèn)證用用戶”組賦予予“拒絕本本地登錄錄”權(quán)限，能能有效防防止活動(dòng)動(dòng)目錄域域中的所所有用戶戶登錄自自己的工工作站。當(dāng)當(dāng)然，這這個(gè)例子子不是為為了說明明如何進(jìn)進(jìn)行破壞壞，而是是要說明明“用戶權(quán)權(quán)限分配配”是如何何強(qiáng)大，并并在需要要使用時(shí)時(shí)必須小小心謹(jǐn)慎慎。同其其它策略略設(shè)置一一樣，我我們只需需確保設(shè)設(shè)置用戶戶權(quán)限的的組策略略對(duì)象只只被應(yīng)用用到所希希望使用用的計(jì)算算機(jī)上就就可以了了，但要要針對(duì)正正確的用用戶組賦賦予

7、或撤撤銷權(quán)限限。需要要說明的的是，“用戶權(quán)權(quán)限分配配”的權(quán)限限列表會(huì)會(huì)因Wiindoows版版本的不不同而喲喲變化。有有時(shí)候，運(yùn)運(yùn)行在WWincctowws VVistta上的的組策略略對(duì)象定定義用戶戶權(quán)限，該該組策略略對(duì)象被被應(yīng)用到到Winndowws XXP系統(tǒng)統(tǒng)上時(shí)，由由于WiindoowsP可能能并不了了解該用用戶權(quán)限限，所以以將在執(zhí)執(zhí)行策略略時(shí)忽略略該策略略。(圖圖3)圖3 本地策策略有戶戶權(quán)限分分配“本地策略略”的最后后一部分分是“安全選選項(xiàng)”，位于于“本地策策略安全全選項(xiàng)”中，由由于這些些策略定定義了控控制與系系統(tǒng)安全全相關(guān)的的配置行行為，因因此與系系統(tǒng)安全全攸關(guān)。比比如，在在此

8、我們們可以配配置Wiindoows Vissta的的“用戶賬賬戶控制制(UAAC)”?！鞍踩x選項(xiàng)”中最有有意思的的應(yīng)該是是其中出出現(xiàn)的安安全選項(xiàng)項(xiàng)列表。它它是由一一個(gè)名為為sceereggvl.inff的文件件進(jìn)行配配置的，該該文件位位于%wwinddir%innf文件件夾中。打打開該文文件后，可可以看到到“安全選選項(xiàng)”中定義義的每一一條圖4 增加希希望組策策略進(jìn)行行控制的的設(shè)置策略，并并且可以以編輯這這個(gè)文件件，增加加希望組組策略進(jìn)進(jìn)行控制制的設(shè)置置。(圖圖4)(3).受受限制組組的策略略“受限限制組”策略的的目的是是提供一一種控制制機(jī)制，控控制成員員服務(wù)器器和工作作站上的的本地組組成員。

9、“受限制組”有兩種操作模式：“成員”和“作為成員”?！俺蓡T”模式是最嚴(yán)格的模式，只有列出的用戶和組是其中的成員，所有其他組或用戶都被移除。與之相反，“作為成員”模式允許為其他組添加用戶和組，也就是說，我們能在任何計(jì)算機(jī)上創(chuàng)建一條策略，“總是將桌面管理員組作為本地管理員組的成員”，并加以執(zhí)行，在這種情況下，“桌面管理員”會(huì)被添加到本地“管理員”組，但是不會(huì)影響其他的組成員。(4).系統(tǒng)統(tǒng)服務(wù)策策略“系統(tǒng)統(tǒng)服務(wù)”策略允允許我們們控制在在指定計(jì)計(jì)算機(jī)上上啟動(dòng)哪哪些Wiindoows服服務(wù)，還還可以控控制服務(wù)務(wù)的權(quán)限限。例如如，能夠夠使用這這些策略略只允許許服務(wù)器器管理員員停止和和啟動(dòng)所所有作為為打印

10、服服務(wù)器的的Winndowws服務(wù)務(wù)器上的的“打印池池”服務(wù)，并并能使用用“系統(tǒng)服服務(wù)”策略賦賦予指定定用戶組組執(zhí)行某某些任務(wù)務(wù)的權(quán)限限，而不不必需要要成為系系統(tǒng)的管管理員才才能進(jìn)行行訪問。此此外，位位于“計(jì)算機(jī)機(jī)配置選項(xiàng)服務(wù)”中的“組策略略選項(xiàng)”也提供供了控制制系統(tǒng)服服務(wù)的策策略。這這個(gè)功能能還提供供了對(duì)于于服務(wù)配配置的更更多控制制，包括括能夠修修改一系系列系統(tǒng)統(tǒng)上的服服務(wù)賬戶戶和服務(wù)務(wù)賬戶密密碼。(5).注冊(cè)表表和文件件系統(tǒng)策策略這些策策略能夠夠集中分分別管理理文件系系統(tǒng)和注注冊(cè)表鍵鍵的權(quán)限限。例如如，如果果想鎖定定所有桌桌面系統(tǒng)統(tǒng)中的某某個(gè)文件件或文件件夾，比比如為了了避免惡惡意軟件件輕

11、易進(jìn)進(jìn)行修改改，需要要鎖定工工作站的的HOSSTS文文件，在在這種情情況，可可以使用用“文件系系統(tǒng)”策略集集中定義義所有計(jì)計(jì)算機(jī)上上執(zhí)行該該策略的的文件權(quán)權(quán)限和權(quán)權(quán)限繼承承。但是是一般來來說，文文件系統(tǒng)統(tǒng)和注冊(cè)冊(cè)表安全全策略作作為一種種集中管管理文件件系統(tǒng)和和注冊(cè)表表安全的的方式并并不常用用，而且且如果誤誤用會(huì)造造成問題題。這些些策略對(duì)對(duì)于大型型的文件件和文件件夾樹結(jié)結(jié)構(gòu)或注注冊(cè)表鍵鍵的重新新分配權(quán)權(quán)限并不不適用，在在組策略略處理過過程中并并不能很很好地執(zhí)執(zhí)行，并并且在執(zhí)執(zhí)行過程程中已知知會(huì)降低低系統(tǒng)性性能。由由于默認(rèn)認(rèn)情況下下，即使使沒有發(fā)發(fā)生策略略變更，安安全策略略每166個(gè)小時(shí)時(shí)也會(huì)自自

12、動(dòng)刷新新， 因因此這個(gè)個(gè)問題就就更加嚴(yán)嚴(yán)重。如如果需要要加強(qiáng)文文件系統(tǒng)統(tǒng)或注冊(cè)冊(cè)表權(quán)限限，筆者者建議使使用其他他方法，例例如腳本本、Wiindoows安安全模板板或是第第三方安安全工具具。也就就是說，如如果只是是修改少少量文件件、文件件夾或注注冊(cè)表鍵鍵的權(quán)限限，確保保這些關(guān)關(guān)鍵資源源受到保保護(hù)。2、應(yīng)用程程序和設(shè)設(shè)備限制制(1).應(yīng)用用程序限限制應(yīng)用程程序限制制相對(duì)應(yīng)應(yīng)組策略略來說就就是“軟件限限制策略略(SRRP)”，這些些策略位位于“計(jì)算機(jī)機(jī)和用戶戶配置Winnd0wws設(shè)置置安全設(shè)設(shè)置軟件限限制策略略”節(jié)點(diǎn)。SRPP可以有有三種不不同的運(yùn)運(yùn)行模式式：默認(rèn)認(rèn)模式允允許所有有代碼執(zhí)執(zhí)行，管管

13、理員只只對(duì)那些些明惡意意的程序序或腳本本進(jìn)行限限制，俗俗稱“黑名單單”。這種種方式雖雖然對(duì)于于管理來來說非常常容易，但但是并不不安全，因因?yàn)閷?duì)于于一些未未知的程程序或者者腳本管管理員無無法進(jìn)行行判斷和和處理。第第二種模模式稱為為“白名單單”，是使使用SRRP最安安全的方方式，但但是需要要管理員員做更多多的管理理工作，因因?yàn)橐獎(jiǎng)?chuàng)創(chuàng)建各種種規(guī)則。最最后一種種模式，稱稱為“基本用用戶”，在WWinddowss Viistaa中首先先出現(xiàn)。，當(dāng)當(dāng)設(shè)置基基本用戶戶的默認(rèn)認(rèn)級(jí)別時(shí)時(shí)，管理理員運(yùn)行行的所有有進(jìn)程會(huì)會(huì)被剝離離管理令令牌，強(qiáng)強(qiáng)制這些些進(jìn)程作作為非管管理員用用戶運(yùn)行行。當(dāng)我我們不希希望管理理員使用

14、用其管理理賬戶運(yùn)運(yùn)行某些些進(jìn)程時(shí)時(shí)，這種種方式非非常有用用。(圖圖5)對(duì)于這一部部分內(nèi)容容，如果果大家感感興趣可可以參考考詳解解Winndowws 77下的程程序運(yùn)行行控制(htttp:/n/Loonghhornn/3440/8897778400_1.shttml)。該文文以Wiindoows 7系統(tǒng)統(tǒng)為例介介紹了通通過其組組策略對(duì)對(duì)應(yīng)用程程序的安安裝和運(yùn)運(yùn)行進(jìn)行行限制，策策略方法法和Viistaa下的類類似，筆筆者就不不贅述了了。(2).設(shè)備備限制所謂設(shè)設(shè)備限制制，主要要指存儲(chǔ)儲(chǔ)限制即即對(duì)移動(dòng)動(dòng)存儲(chǔ)設(shè)設(shè)備的限限制。我我們知道道，在企企業(yè)環(huán)境境中，通通過移動(dòng)動(dòng)設(shè)備進(jìn)進(jìn)行竊密密是比較較普遍的的。

15、從VVistta開始始，微軟軟在組策策略中提提供了對(duì)對(duì)移動(dòng)設(shè)設(shè)備的限限制。其其組策略略項(xiàng)位于于“計(jì)算機(jī)機(jī)(或用用戶配置置)管理模模板系統(tǒng)可移動(dòng)動(dòng)存儲(chǔ)訪訪問”節(jié)點(diǎn)下下，在此此我們可可以設(shè)置置對(duì)任何何可移動(dòng)動(dòng)存儲(chǔ)設(shè)設(shè)備的拒拒絕讀或或?qū)?或或可讀寫寫)訪問問，支持的的可移動(dòng)動(dòng)存儲(chǔ)設(shè)設(shè)備包括括U盤、可可寫CDD和DVVD以及及可移動(dòng)動(dòng)硬盤。此此外，與與設(shè)備限限制相關(guān)關(guān)，我們們?cè)捘憧煽梢酝ㄟ^過組策略略隱藏磁磁盤或者者限制用用戶對(duì)磁磁盤分區(qū)區(qū)的訪問問，以保保護(hù)磁盤盤數(shù)據(jù)，其其設(shè)置項(xiàng)項(xiàng)在“本地計(jì)計(jì)算機(jī)策策略用戶配配置管理模模板Winndowws組件件Winndowws資源源管理器器”節(jié)點(diǎn)下下。至于于如何設(shè)設(shè)

16、置大家家可以參參考文章章Viistaa 組策策略深度度挖掘 實(shí)現(xiàn)非非常任務(wù)務(wù)(hhttpp:/vissta/2200/822147720.shttml)。(圖圖6)3、IE安安全 之所以以把IEE的組策策略項(xiàng)單單獨(dú)拿出出來分析析，不僅僅僅因?yàn)闉镮E是是Winndowws系統(tǒng)統(tǒng)集成的的瀏覽器器，更主主要是因因?yàn)樗故褂米顝V廣泛的瀏瀏覽器軟軟件，同同時(shí)也是是Winndowws系統(tǒng)統(tǒng)中面臨臨安全威威脅最大大的系統(tǒng)統(tǒng)組件。在在Vissta的的組策略略中，我我們可以以在三個(gè)個(gè)不同的的組策略略節(jié)點(diǎn)來來配置IIE。這這三個(gè)節(jié)節(jié)點(diǎn)分別別是：“用戶配配置Winndowws設(shè)置置IE維維護(hù)策略略”即“IE維維護(hù)策

17、略略”;“計(jì)算機(jī)機(jī)或用戶戶配置管理模模板Winndowws組件件Intternnet Expplorrer”即“管理模模板策略略”;“用戶配配置選項(xiàng)管理控控制面板板Intternnet設(shè)設(shè)置”即“組策略略選項(xiàng)”功能。其實(shí)，上上述每種種方式在在配置IIE時(shí)都都各有優(yōu)優(yōu)缺點(diǎn)。例例如，要要配置IIE代理理或者首首頁(yè)，可可以使用用“IE維維護(hù)策略略”或“組策略略選項(xiàng)”。筆者者建議大大家盡量量使用“組策略略選項(xiàng)”，因?yàn)闉樵谟颦h(huán)環(huán)境下“IE維維護(hù)”在向客客戶端分分發(fā)策略略時(shí)并不不可靠。需需要說明明的是，通通過“組策略略選項(xiàng)”或者“IE維維護(hù)”修改IIE配置置，并不不能防止止用戶更更改。所所以，我我們一般般

18、要使用用“管理模模板”策略選選項(xiàng)禁止止用戶訪訪問IEE設(shè)置頁(yè)頁(yè)面。通通常情況況下，使使用“管理模模板”策略鎖鎖定某些些IE設(shè)設(shè)置，就就能夠防防止用戶戶修改IIE配置置來繞過過限制。如果我我們要設(shè)設(shè)置IEE的區(qū)域域安全或或者設(shè)置置彈出屏屏蔽網(wǎng)址址類表，可可以同時(shí)時(shí)使用這這三種方方式進(jìn)行行控制，因因?yàn)槊恳灰环N方式式具有不不同的行行為，支支持不同同的選項(xiàng)項(xiàng)。例如如，使用用“計(jì)算機(jī)機(jī)或用戶戶配置管理模模板Winndowws組件件Intternnet ExpplorrerIntternnet控控制面板板安全全頁(yè)面”下的策策略對(duì)每每個(gè)IEE區(qū)域進(jìn)進(jìn)行安全全配置，并并使用區(qū)區(qū)域站點(diǎn)點(diǎn)分配類類表為用用戶在每每個(gè)安全全區(qū)域中中添加指指定網(wǎng)站站。使用用這種方方式，用用戶就不不能自行行修改這這些IEE設(shè)置了了，但如如果使用用“IE維維護(hù)”策略，雖雖然也可可以進(jìn)行行想要的的配置，但但是用戶戶可以修修改配置置。使用用“組策略略選項(xiàng)”，我