提升windows系統(tǒng)安全性的組策略設置

1、有人將組策略比作深藏在系統(tǒng)中的“大內高手”，筆者覺得這個比喻的非常恰當?shù)摹＝M策略確實有其他第三方安全軟件所無法比擬的優(yōu)勢，這不僅是其與Windows系統(tǒng)的密切“關系”，更在于它強大的安全功能。除了可通過其進行系統(tǒng)配置，而且可對系統(tǒng)中幾乎所有的軟硬件實施管理，全方位地提升系統(tǒng)安全。到目前為止，似乎沒有任何一款第三方軟件可提供如果多的配置項。何況隨著Windows系統(tǒng)的更新?lián)Q代，組策略也是越來越強大了，比如在Windows 7中就增加了許多Vista沒有的安全項。本文就以當前主流的Vista系統(tǒng)為例，就Windows組策略的安全特性進行一番比較深入的解析。 為了便于說明，筆者依據(jù)組策略的安全配置功

2、能將其劃分為三部分：系統(tǒng)核心安全配置、應用程序和設備限制、Internet Explorer(IE)安全。下面就以此為線索，分別談談組策略的安全特性。1、系統(tǒng)核心安全配置與系統(tǒng)統(tǒng)核心安安全相關關的組策策略設置置項主要要在“計算機機配置Winndowws配置置安全配配置”節(jié)點下下。(1).賬戶戶策略對于組組策略的的這一部部分大家家應該非非常熟悉悉，因為為在這里里可以設設置密碼碼和賬戶戶的鎖定定策略。例例如，在在這部分分組策略略中，我我們可以以設置密密碼最小小長度或或者密碼碼需要包包含復雜雜字符。如如果在鏈鏈接到域域(如默默認域策策略)的的組策略略對象(GPOO)中定定義這些些策略，域域中的所所有

3、域控控制器(DC)都會處處理密碼碼策略，并并且組策策略對象象會控制制域用戶戶賬戶的的密碼策策略。當當在鏈接接到域的的組策略略對象中中定義密密碼策略略時，域域中的所所有工作作站和成成員服務務器也會會進行處處理，并并為這些些系統(tǒng)中中定義的的本地賬賬戶設置置賬戶策策略。(圖1) 圖圖1 安安全設置置賬戶策策略大家知知道，通通過組策策略只能能定義一一個域密密碼策略略，不過過，Wiindoows Serrverr 20008支支持一套套新的密密碼策略略對象，這這些在活活動目錄錄(ADD)中定定義的密密碼策略略對象為為單一域域提供了了更加細細化的密密碼策略略控制。(2).本本地策略略“本地地策略” 下有有

4、三個安安全策略略項，通通過配置置可以實實現(xiàn)Wiindoows系系統(tǒng)的各各種安全全需求。例例如，其其中的“審計策策略”用于配配置服務務器的WWinddowss安全事事件日志志收集哪哪些事件件;“用戶權權限分配配”用于配配置哪些些用戶能能通過“遠程桌桌面”訪問指指定的服服務器或或工作站站;使用用“安全選選項”配置以以確定是是否激活活指定系系統(tǒng)上的的“管理員員” 賬戶戶以及重重命名“管理員員”賬戶?！皩徲嬘嫴呗浴毕喈斨敝苯樱试试S我們們控制WWinddowss安全事事件日志志能收集集哪些事事件類型型，在此此指定成成功或失失敗的事事件，用用于審計計從活動動目錄訪訪問到系系統(tǒng)對象象訪問(如文件件和注冊冊

5、表鍵)的各種種事件類類型。根根據(jù)組策策略對象象定義審審計事件件的鏈接接位置，能能激活對對域控制制器或成成員服務務器和工工作站的的審計。例例如，如如果將包包含激活活目錄服服務訪問問審計的的組策略略對象鏈鏈接到“域控制制器”組織單單元，則則域中所所有域控控制器都都將執(zhí)行行該策略略，因此此，所有有對活動動目錄的的訪問都都會作為為訪問請請求被記記錄到域域控制器器的日志志中。(圖2)圖2 安全設設置本地地策略“用戶戶權限分分配”是組策策略中另另一個強強大的安安全工具具，能用用于控制制誰能在在指定系系統(tǒng)上做做什么事事情。用用戶權限限的例子子包括“本地登登錄”權限，用用于控制制誰能交交互式登登錄服務務器或工

6、工作站的的控制臺臺;“加載和和卸載設設備驅動動”權限，用用于賦予予組或用用戶安裝裝設備驅驅動的權權限。例例如安裝裝打印機機和顯示示驅動 通過創(chuàng)創(chuàng)建鏈接接到域級級別的組組策略對對象，并并為“認證用用戶”組賦予予“拒絕本本地登錄錄”權限，能能有效防防止活動動目錄域域中的所所有用戶戶登錄自自己的工工作站。當當然，這這個例子子不是為為了說明明如何進進行破壞壞，而是是要說明明“用戶權權限分配配”是如何何強大，并并在需要要使用時時必須小小心謹慎慎。同其其它策略略設置一一樣，我我們只需需確保設設置用戶戶權限的的組策略略對象只只被應用用到所希希望使用用的計算算機上就就可以了了，但要要針對正正確的用用戶組賦賦予

7、或撤撤銷權限限。需要要說明的的是，“用戶權權限分配配”的權限限列表會會因Wiindoows版版本的不不同而喲喲變化。有有時候，運運行在WWincctowws VVistta上的的組策略略對象定定義用戶戶權限，該該組策略略對象被被應用到到Winndowws XXP系統(tǒng)統(tǒng)上時，由由于WiindoowsP可能能并不了了解該用用戶權限限，所以以將在執(zhí)執(zhí)行策略略時忽略略該策略略。(圖圖3)圖3 本地策策略有戶戶權限分分配“本地策略略”的最后后一部分分是“安全選選項”，位于于“本地策策略安全全選項”中，由由于這些些策略定定義了控控制與系系統(tǒng)安全全相關的的配置行行為，因因此與系系統(tǒng)安全全攸關。比比如，在在此

8、我們們可以配配置Wiindoows Vissta的的“用戶賬賬戶控制制(UAAC)”?！鞍踩x選項”中最有有意思的的應該是是其中出出現(xiàn)的安安全選項項列表。它它是由一一個名為為sceereggvl.inff的文件件進行配配置的，該該文件位位于%wwinddir%innf文件件夾中。打打開該文文件后，可可以看到到“安全選選項”中定義義的每一一條圖4 增加希希望組策策略進行行控制的的設置策略，并并且可以以編輯這這個文件件，增加加希望組組策略進進行控制制的設置置。(圖圖4)(3).受受限制組組的策略略“受限限制組”策略的的目的是是提供一一種控制制機制，控控制成員員服務器器和工作作站上的的本地組組成員。

9、“受限制組”有兩種操作模式：“成員”和“作為成員”。“成員”模式是最嚴格的模式，只有列出的用戶和組是其中的成員，所有其他組或用戶都被移除。與之相反，“作為成員”模式允許為其他組添加用戶和組，也就是說，我們能在任何計算機上創(chuàng)建一條策略，“總是將桌面管理員組作為本地管理員組的成員”，并加以執(zhí)行，在這種情況下，“桌面管理員”會被添加到本地“管理員”組，但是不會影響其他的組成員。(4).系統(tǒng)統(tǒng)服務策策略“系統(tǒng)統(tǒng)服務”策略允允許我們們控制在在指定計計算機上上啟動哪哪些Wiindoows服服務，還還可以控控制服務務的權限限。例如如，能夠夠使用這這些策略略只允許許服務器器管理員員停止和和啟動所所有作為為打印

10、服服務器的的Winndowws服務務器上的的“打印池池”服務，并并能使用用“系統(tǒng)服服務”策略賦賦予指定定用戶組組執(zhí)行某某些任務務的權限限，而不不必需要要成為系系統(tǒng)的管管理員才才能進行行訪問。此此外，位位于“計算機機配置選項服務”中的“組策略略選項”也提供供了控制制系統(tǒng)服服務的策策略。這這個功能能還提供供了對于于服務配配置的更更多控制制，包括括能夠修修改一系系列系統(tǒng)統(tǒng)上的服服務賬戶戶和服務務賬戶密密碼。(5).注冊表表和文件件系統(tǒng)策策略這些策策略能夠夠集中分分別管理理文件系系統(tǒng)和注注冊表鍵鍵的權限限。例如如，如果果想鎖定定所有桌桌面系統(tǒng)統(tǒng)中的某某個文件件或文件件夾，比比如為了了避免惡惡意軟件件輕

11、易進進行修改改，需要要鎖定工工作站的的HOSSTS文文件，在在這種情情況，可可以使用用“文件系系統(tǒng)”策略集集中定義義所有計計算機上上執(zhí)行該該策略的的文件權權限和權權限繼承承。但是是一般來來說，文文件系統(tǒng)統(tǒng)和注冊冊表安全全策略作作為一種種集中管管理文件件系統(tǒng)和和注冊表表安全的的方式并并不常用用，而且且如果誤誤用會造造成問題題。這些些策略對對于大型型的文件件和文件件夾樹結結構或注注冊表鍵鍵的重新新分配權權限并不不適用，在在組策略略處理過過程中并并不能很很好地執(zhí)執(zhí)行，并并且在執(zhí)執(zhí)行過程程中已知知會降低低系統(tǒng)性性能。由由于默認認情況下下，即使使沒有發(fā)發(fā)生策略略變更，安安全策略略每166個小時時也會自自

12、動刷新新， 因因此這個個問題就就更加嚴嚴重。如如果需要要加強文文件系統(tǒng)統(tǒng)或注冊冊表權限限，筆者者建議使使用其他他方法，例例如腳本本、Wiindoows安安全模板板或是第第三方安安全工具具。也就就是說，如如果只是是修改少少量文件件、文件件夾或注注冊表鍵鍵的權限限，確保保這些關關鍵資源源受到保保護。2、應用程程序和設設備限制制(1).應用用程序限限制應用程程序限制制相對應應組策略略來說就就是“軟件限限制策略略(SRRP)”，這些些策略位位于“計算機機和用戶戶配置Winnd0wws設置置安全設設置軟件限限制策略略”節(jié)點。SRPP可以有有三種不不同的運運行模式式：默認認模式允允許所有有代碼執(zhí)執(zhí)行，管管

13、理員只只對那些些明惡意意的程序序或腳本本進行限限制，俗俗稱“黑名單單”。這種種方式雖雖然對于于管理來來說非常常容易，但但是并不不安全，因因為對于于一些未未知的程程序或者者腳本管管理員無無法進行行判斷和和處理。第第二種模模式稱為為“白名單單”，是使使用SRRP最安安全的方方式，但但是需要要管理員員做更多多的管理理工作，因因為要創(chuàng)創(chuàng)建各種種規(guī)則。最最后一種種模式，稱稱為“基本用用戶”，在WWinddowss Viistaa中首先先出現(xiàn)。，當當設置基基本用戶戶的默認認級別時時，管理理員運行行的所有有進程會會被剝離離管理令令牌，強強制這些些進程作作為非管管理員用用戶運行行。當我我們不希希望管理理員使用

14、用其管理理賬戶運運行某些些進程時時，這種種方式非非常有用用。(圖圖5)對于這一部部分內容容，如果果大家感感興趣可可以參考考詳解解Winndowws 77下的程程序運行行控制(htttp:/n/Loonghhornn/3440/8897778400_1.shttml)。該文文以Wiindoows 7系統(tǒng)統(tǒng)為例介介紹了通通過其組組策略對對應用程程序的安安裝和運運行進行行限制，策策略方法法和Viistaa下的類類似，筆筆者就不不贅述了了。(2).設備備限制所謂設設備限制制，主要要指存儲儲限制即即對移動動存儲設設備的限限制。我我們知道道，在企企業(yè)環(huán)境境中，通通過移動動設備進進行竊密密是比較較普遍的的。

15、從VVistta開始始，微軟軟在組策策略中提提供了對對移動設設備的限限制。其其組策略略項位于于“計算機機(或用用戶配置置)管理模模板系統(tǒng)可移動動存儲訪訪問”節(jié)點下下，在此此我們可可以設置置對任何何可移動動存儲設設備的拒拒絕讀或或寫(或或可讀寫寫)訪問問，支持的的可移動動存儲設設備包括括U盤、可可寫CDD和DVVD以及及可移動動硬盤。此此外，與與設備限限制相關關，我們們話你可可以通過過組策略略隱藏磁磁盤或者者限制用用戶對磁磁盤分區(qū)區(qū)的訪問問，以保保護磁盤盤數(shù)據(jù)，其其設置項項在“本地計計算機策策略用戶配配置管理模模板Winndowws組件件Winndowws資源源管理器器”節(jié)點下下。至于于如何設設

16、置大家家可以參參考文章章Viistaa 組策策略深度度挖掘 實現(xiàn)非非常任務務(hhttpp:/vissta/2200/822147720.shttml)。(圖圖6)3、IE安安全 之所以以把IEE的組策策略項單單獨拿出出來分析析，不僅僅僅因為為IE是是Winndowws系統(tǒng)統(tǒng)集成的的瀏覽器器，更主主要是因因為它使使用最廣廣泛的瀏瀏覽器軟軟件，同同時也是是Winndowws系統(tǒng)統(tǒng)中面臨臨安全威威脅最大大的系統(tǒng)統(tǒng)組件。在在Vissta的的組策略略中，我我們可以以在三個個不同的的組策略略節(jié)點來來配置IIE。這這三個節(jié)節(jié)點分別別是：“用戶配配置Winndowws設置置IE維維護策略略”即“IE維維護策

17、略略”;“計算機機或用戶戶配置管理模模板Winndowws組件件Intternnet Expplorrer”即“管理模模板策略略”;“用戶配配置選項管理控控制面板板Intternnet設設置”即“組策略略選項”功能。其實，上上述每種種方式在在配置IIE時都都各有優(yōu)優(yōu)缺點。例例如，要要配置IIE代理理或者首首頁，可可以使用用“IE維維護策略略”或“組策略略選項”。筆者者建議大大家盡量量使用“組策略略選項”，因為為在域環(huán)環(huán)境下“IE維維護”在向客客戶端分分發(fā)策略略時并不不可靠。需需要說明明的是，通通過“組策略略選項”或者“IE維維護”修改IIE配置置，并不不能防止止用戶更更改。所所以，我我們一般般

18、要使用用“管理模模板”策略選選項禁止止用戶訪訪問IEE設置頁頁面。通通常情況況下，使使用“管理模模板”策略鎖鎖定某些些IE設設置，就就能夠防防止用戶戶修改IIE配置置來繞過過限制。如果我我們要設設置IEE的區(qū)域域安全或或者設置置彈出屏屏蔽網(wǎng)址址類表，可可以同時時使用這這三種方方式進行行控制，因因為每一一種方式式具有不不同的行行為，支支持不同同的選項項。例如如，使用用“計算機機或用戶戶配置管理模模板Winndowws組件件Intternnet ExpplorrerIntternnet控控制面板板安全全頁面”下的策策略對每每個IEE區(qū)域進進行安全全配置，并并使用區(qū)區(qū)域站點點分配類類表為用用戶在每每個安全全區(qū)域中中添加指指定網(wǎng)站站。使用用這種方方式，用用戶就不不能自行行修改這這些IEE設置了了，但如如果使用用“IE維維護”策略，雖雖然也可可以進行行想要的的配置，但但是用戶戶可以修修改配置置。使用用“組策略略選項”，我