提升windows系統(tǒng)安全性的組策略設(shè)置

1有人將組策略比作深藏在系統(tǒng)中的“大內(nèi)高手〞，筆者覺得這個比喻的非常恰當(dāng)?shù)?。組策略確實有其他第三方平安軟件所無法比較的優(yōu)勢，這不僅是其與Windows系統(tǒng)的密切“關(guān)系〞，更在于它強大的平安功能。除了可通過其進行系統(tǒng)配置，而且可對系統(tǒng)中幾乎所有的軟硬件實施管理，全方位地提升系統(tǒng)平安。到目前為止，似乎沒有任何一款第三方軟件可提供如果多的配置項。何況隨著Windows系統(tǒng)的更新?lián)Q代，組策略也是越來越強大了，比方在Windows7中就增加了許多Vista沒有的平安項。本文就以當(dāng)前主流的Vista系統(tǒng)為例，就Windows組策略的平安特性進行一番比較深入的解析。為了便于說明，筆者依據(jù)組策略的平安配置功能將其劃分為三局部：系統(tǒng)核心平安配置、應(yīng)用程序和設(shè)備限制、InternetExplorer(IE)平安。下面就以此為線索，分別談?wù)劷M策略的平安特性。1、系統(tǒng)核心平安配置與系統(tǒng)核心平安相關(guān)的組策略設(shè)置項主要在“計算機配置→Windows配置→平安配置〞節(jié)點下。(1).賬戶策略對于組策略的這一局部大家應(yīng)該非常熟悉，因為在這里可以設(shè)置密碼和賬戶的鎖定策略。例如，在這局部組策略中，我們可以設(shè)置密碼最小長度或者密碼需要包含復(fù)雜字符。如果在鏈接到域(如默認(rèn)域策略)的組策略對象(GPO)中定義這些策略，域中的所有域控制器(DC)都會處理密碼策略，并且組策略對象會控制域用戶賬戶的密碼策略。當(dāng)在鏈接到域的組策略對象中定義密碼策略時，域中的所有工作站和成員效勞器也會進行處理，并為這些系統(tǒng)中定義的本地賬戶設(shè)置賬戶策略。(圖1)圖1平安設(shè)置賬戶策略大家知道，通過組策略只能定義一個域密碼策略，不過，WindowsServer2021支持一套新的密碼策略對象，這些在活動目錄(AD)中定義的密碼策略對象為單一域提供了更加細(xì)化的密碼策略控制。粥(2溝).攝本地糊策略卻“售本地佛策略壩〞文下喜有三寺個安床全策瞎略項陣，通渠過配賽置可乞以實籌現(xiàn)W滔in薪do依ws高系統(tǒng)駕的各駛種安給全需錦求。猴例如寨，其拆中的醫(yī)“撕審計耀策略指〞瞇用于賤配置遇效勞廟器的羅Wi糠nd喘ow增s安績?nèi)履郊盏渲臼帐姆残┦掳准?普“獅用戶塞權(quán)限次分配敢〞訴用于四配置累哪些商用戶末能通疤過嘆“壩遠(yuǎn)程聞桌面批〞默訪問毅指定機的服匠務(wù)器懷或工分作站廳;使我用屬“興平安站選項陽〞巴配置叫以確例定是種否激醋活指烘定系犯統(tǒng)上轉(zhuǎn)的先“君管理級員平〞西賬廊戶以慘及重狠命名鳳“堅管理陡員貍〞蠢賬戶山。碎“板審計捐策略目〞代相當(dāng)跡直接離，允儲許我蜂們控厲制W位in扮do設(shè)ws災(zāi)平安冷事件辭日志忍能收掛集哪壯些事塌件類矛型，建在此撐指定病成功戰(zhàn)或失濟敗的弟事件肥，用飲于審泥計從枝活動杰目錄松訪問寸到系樂統(tǒng)對蛾象訪樂問(沉如文巨件和局注冊兼表鍵么)的韻各種趨事件迎類型敵。根險據(jù)組源策略廉對象映定義隆審計高事件屈的鏈昨接位亂置，篇能激走活對諒域控刮制器吉或成奧員服泛務(wù)器道和工攪作站富的審津計。羨例如淘，如諷果將名包含固激活打目錄龍效勞鴨訪問取審計供的組貪策略價對象雞鏈接慌到浸“漢域控能制器讓〞關(guān)組織爭單元跳，那么行域中慚所有沈域控文制器藥都將果執(zhí)行寧該策溜略，籃因此貪，所庫有對膊活動框目錄甚的訪違問都大會作載為訪惡問請翠求被稍記錄尿到域站控制丈器的吼日志坐中。掃(圖斜2)敘防圖2轉(zhuǎn)安遲全設(shè)另置本軌地策吼略天“吧用戶雁權(quán)限少分配運〞掏是組夫策略猶中另代一個尋強大年的安蹄全工濁具，命能用志于控皇制誰隔能在膨指定扯系統(tǒng)殃上做暫什么靠事情股。用脖戶權(quán)銀限的咸例子閘包括超“卷本地膝登錄悉〞良權(quán)限次，用抽于控汗制誰積能交伶互式濫登錄珍效勞血器或炎工作么站的斬控制皆臺;愧“慎加載緩和卸傾載設(shè)天備驅(qū)扮動乘〞漁權(quán)限果，用桂于賦谷予組戒或用概戶安風(fēng)裝設(shè)瘦備驅(qū)料動的騙權(quán)限降。例燦如安掛裝打賓印機鞭和顯遣示驅(qū)命動露通過圍創(chuàng)立償鏈接柏到域斜級別捕的組勿策略丑對象合，并崗為惹“兼認(rèn)證禮用戶吹〞那組賦控予炕“脹拒絕弟本地尺登錄虛〞州權(quán)限鵲，能辯有效典防止件活動癢目錄榮域中術(shù)的所哀有用您戶登笑錄自費己的踩工作零站。赤當(dāng)然福，這尸個例厭子不離是為離了說額明如變何進盤行破車壞，究而是鍋要說桐明罪“昆用戶暴權(quán)限斧分配鉆〞姓是如枕何強雷大，磚并在徒需要哄使用搞時必遠(yuǎn)須小勒心謹(jǐn)區(qū)慎。絕同其贈它策鍋略設(shè)漏置一慕樣，渴我們平只需仍確保固設(shè)置堤用戶解權(quán)限貼的組片策略為對象拍只被啊應(yīng)用曾到所衛(wèi)希望翠使用劣的計冬算機旦上就檢可以屆了，矩但要睛針對常正確宏的用撞戶組侄賦予溜或撤測銷權(quán)共限。凡需要挪說明爪的是槳，擴“脾用戶迷權(quán)限無分配南〞日的權(quán)舊限列巨表會酸因W撫in捏do密ws捏版本隔的不隨同而獸喲變傲化。氣有時及候，馬運行赴在W示in望ct呢ow冊s順Vi飼st隔a上蠅的組淺策略吼對象途定義滅用戶色權(quán)限繼，該握組策掏略對墨象被死應(yīng)用仙到W笨in賴do姨ws特X未P系脅統(tǒng)上墊時，趁由于滲Wi柄nd灑ow你s滅×式P可鵝能并帽不了監(jiān)解該壞用戶激權(quán)限原，所地以將賞在執(zhí)意行策顯略時循忽略座該策尖略。也(圖稱3)抓釘圖3箏本拳地策豐略有予戶權(quán)炊限分撞配伴“程本地病策略音〞屢的最賄后一柴局部石是番“惹平安亭選項恥〞城，位霉于機“嗚本地精策略運平安剝選項吩〞朵中，碌由于卵這些小策略宴定義威了控霸制與練系統(tǒng)皆平安杜相關(guān)酬的配捷置行悠為，飯因此碧與系爽統(tǒng)安儉全攸糕關(guān)。窄比方旦，在負(fù)此我定們可冬以配詳置W旁in離do詳ws滅V肆is信ta踐的盟“彼用戶草賬戶翠控制旨(U狹AC死)侵〞膽。培“插平安拜選項弊〞階中最件有意孝思的獻應(yīng)該歷是其糖中出慘現(xiàn)的廊平安央選項風(fēng)列表輛。它邊是由化一個棍名為當(dāng)sc偽er懂eg掏vl媽.i蹤nf網(wǎng)的文刊件進裕行配熔置的達(dá)，該漫文件理位于嗚%w笨in液di過r%照\i潔nf畢文件約夾中廈。打賠開該昏文件頸后，六可以柳看到槽“漆平安抖選項服〞目中定出義的字每一服條磨墨圖4軋增建加希瓦望組蠶策略川進行救控制毫的設(shè)課置溫京策略瀉，并失且可向以編畢輯這渴個文影件，載增加串希望介組策茶略進泡行控蠅制的園設(shè)置蘇。(團圖4座)罷(3磚).物受限劃制組笑的策飽略堪“棚受限子制組癥〞峽策略拖的目株的是也提供累一種夢控制逃機制暖，控牌制成訪員服鄙務(wù)器安和工功作站窗上的候本地獻組成葉員。經(jīng)“痰受限蝦制組攝〞狹有兩陪種操辜作模抄式：錘“粒成員繭〞磚和劈“瓣作為罵成員術(shù)〞撥。研“憂成員壯〞寺模式骨是最降嚴(yán)格右的模述式，厚只有足列出鳳的用雖戶和勞組是彼其中典的成喂員，塵所有續(xù)其他余組或生用戶膛都被播移除造。與頸之相成反，異“吉作為恭成員拒〞這模式城允許鍬為其誼他組詞添加坑用戶雕和組宰，也殼就是導(dǎo)說，任我們班能在焦任何相計算弟機上宣創(chuàng)立賢一條舊策略禁，牙“娘總是嗚將桌幫面管泄理員斷組作般為本推地管含理員慨組的礦成員排〞根，并疾加以乒執(zhí)行需，在濁這種套情況渣下，勁“盯桌面周管理胃員飽〞陽會被陵添加闊到本礎(chǔ)地膠“罪管理眠員罵〞蛾組，躍但是抓不會稈影響她其他融的組亮成員盾。佛轉(zhuǎn)(4疾).障系統(tǒng)述效勞朵策略叫“尚系統(tǒng)敬效勞思〞樂策略爆允許鎖我們級控制刃在指旱定計繡算機秒上啟鍋動哪經(jīng)些W趁in亭do吊ws強效勞寬，還躍可以鼻控制墾效勞夠的權(quán)森限。傘例如充，能溉夠使挖用這夢些策蝦略只屢允許島效勞旋器管敬理員圣停止旗和啟券動所首有作藍(lán)為打語印服造務(wù)器慣的W擱in腰do眼ws裹效勞攔器上憤的任“雀打印管池抗〞餅效勞辭，并止能使媽用懷“決系統(tǒng)口效勞暴〞覺策略房賦予踢指定輩用戶西組執(zhí)采行某屈些任在務(wù)的免權(quán)限鼻，而均不必平需要撲成為爭系統(tǒng)原的管稼理員悼才能飛進行僻訪問冰。此灰外，迫位于概“浙計算岔機配籃置燙→華選項截→朋效勞榆〞倍中的蚊“舞組策偷略選買項銀〞閥也提纏供了冤控制必系統(tǒng)歪效勞走的策木略。賢這個孫功能階還提危供了兇對于撕效勞逗配置朱的更喘多控鈴制，罩包括作能夠俯修改談一系環(huán)列系什統(tǒng)上鳳的服濁務(wù)賬轎戶和骨效勞震賬戶捉密碼龜。于(甜5)山.注某冊表僑和文堅件系曲統(tǒng)策告略稅置這些橫策略倆能夠貼集中心分別檢管理城文件合系統(tǒng)剪和注吊冊表償鍵的并權(quán)限標(biāo)。例腳如，綢如果芒想鎖災(zāi)定所泊有桌即面系恒統(tǒng)中融的某諒個文休件或權(quán)文件卸夾，踐比方桐為了脅防止您惡意炎軟件雨輕易跌進行蝦修改折，需阿要鎖致定工轟作站伐的H首OS菌TS廣文件喘，在測這種岔情況羊，可旗以使匠用挖“副文件影系統(tǒng)鍵〞削策略范集中夢定義友所有羊計算祝機上謝執(zhí)行瓶該策桃略的脹文件榮權(quán)限慰和權(quán)飯限繼宜承。粱但是刑一般夏來說各，文咸件系由統(tǒng)和色注冊置表安貍?cè)咝勇宰鞴橐幻N集瞇中管醒理文頁件系受統(tǒng)和燕注冊褲表安萌全的理方式婚并不輔常用慮，而銳且如虹果誤心用會艱造成枝問題淚。這抵些策呀略對黑于大肢型的嘴文件傳和文節(jié)件夾庭樹結(jié)襯構(gòu)或覺注冊粉表鍵駱的重克新分少配權(quán)究限并慌不適宴用，啊在組卵策略糖處理覆過程患中并聾不能揉很好賓地執(zhí)狐行，孔并且宅在執(zhí)永行過原程中士豬會降族低系永統(tǒng)性扇能。姜由于寒默認(rèn)蝕情況純下，郵即使孕沒有佩發(fā)生域策略憲變更耐，安事全策歲略每績16逼個小遭時也節(jié)會自孔動刷延新，右因亭此這辮個問揪題就閱更加滔嚴(yán)重忘。如炎果需州要加廉強文冬件系由統(tǒng)或出注冊灘表權(quán)所限，晴筆者旦建議逮使用餡其他宰方法駝，例方如腳脈本、戚Wi豎nd話ow駱s安陶全模厚板或憑是第下三方菌平安叼工具竄。也資就是看說，欄如果唉只是致修改圍少量薪文件域、文合件夾愁或注徑冊表廣鍵的稠權(quán)限灘，確脾保這塊些關(guān)份鍵資嗽源受續(xù)到保早護。純2、豆應(yīng)用蝦程序機和設(shè)洗備限攻制樓出(1火).拼應(yīng)用松程序槐限制母言應(yīng)用俱程序漆限制阿相對熟應(yīng)組喪策略遣來說貝就是讀“商軟件式限制榆策略胡(S腹RP筒)療〞堪，這頂些策傷略位雄于麥“留計算才機和粒用戶傻配置增→眉Wi容nd迅0w目s設(shè)評置安續(xù)全設(shè)熱置湖→投軟件碑限制動策略狗〞映節(jié)點闊。腔炕SR旗P可怕以有而三種數(shù)不同桐的運遲行模匯式：冠默認(rèn)必模式限允許綿所有崇代碼翼執(zhí)行巨，管服理員披只對撈那些朋明惡另意的賺程序幣或腳符本進搬行限掘制，砍俗稱潤“園黑名另單咳〞戒。這裹種方勻式雖淡然對雷于管包理來沈說非琴常容胡易，猴但是餃并不哨平安帖，因允為對皮于一抓些未表知的交程序極或者猛腳本順管理笛員無康法進毅行判起斷和猶處理內(nèi)。第雀二種煌模式叔稱為泡“筋白名啦單嫌〞企，是覺使用辯SR區(qū)P最傘平安身的方動式，猾但是灶需要托管理六員做復(fù)更多武的管寄理工怠作，樣因為答要創(chuàng)末建各以種規(guī)紫那么。兔最后欣一種是模式屯，稱揉為升“凱根本泊用戶栗〞率，在播Wi匪nd冊ow桑s筑Vi展st賠a中西首先里出現(xiàn)良。，閥當(dāng)設(shè)像置基叢本用弄戶的魔默認(rèn)奮級別紋時，育管理司員運鐘行的仗所有昌進程受會被賭剝離橋管理激令牌擾，強棍制這伐些進怪程作勇為非競管理銀員用征戶運抬行。鳳當(dāng)我寒們不途希望網(wǎng)管理課員使布用其塞管理建賬戶括運行斃某些贈進程呼時，掀這種傲方式瘦非常故有用顆。(丹圖5忌)壘對于算這一丙局部架內(nèi)容笨，如析果大柜家感斗興趣色可以泳參考太?詳喬解W老in猴do鼓ws體7挨下的掩程序統(tǒng)運行傅控制默?(判ht茶tp反:/宰/w龍in沾sy即st頌em雁.c類to礙ci饒o.副co個m.蟲cn睡/L陜on塊gh琴or合n/極34墓0/輕89仇77淹84玩0_允1.桐sh爺tm包l)疾。該辜文以赴Wi娃nd撈ow丙s凳7系澡統(tǒng)為演例介饑紹了律通過溝其組岡策略跟對應(yīng)古用程濾序的幫安裝毀和運掛行進姓行限繡制，拐策略廁方法估和V炮is攝ta差下的繁類似閱，筆門者就盆不贅賭述了模。紛奶(2慕).鼻設(shè)備搬限制餅盲所謂污設(shè)備旗限制磨，主聯(lián)要指丸存儲停限制智即對間移動萍存儲廣設(shè)備假的限慈制。晉我們?nèi)谥莱?，在磚企業(yè)死環(huán)境緞中，缸通過扎移動嘴設(shè)備錯進行桂竊密者是比潛較普副遍的壤。從東Vi振st冷a開偵始，漿微軟查在組躍策略旬中提匠供了繳對移遇動設(shè)晌備的享限制匹。其平組策鍵略項朵位于振“符計算余機(振或用烘戶配躲置)扛→彩管理送模板融→寫系統(tǒng)固→術(shù)可移僵動存捐儲訪秧問對〞愉節(jié)點昂下，撿在此關(guān)我們宋可以秩設(shè)置嫂對任憲何可她移動些存儲兵設(shè)備哲的拒弓絕讀嚷或?qū)懮?或來可讀涂寫)灶訪問宮，益豐支持品的可相移動愉存儲褲設(shè)備饅包括國U盤方、可恢寫C竊D和休DV州D以懼及可旦移動禍硬盤丈。此胞外，雞與設(shè)悄備限采制相咬關(guān)，撈我們烈話你機可以主通過陷組策記略隱反藏磁逃盤或候者限姻制用陸戶對略磁盤啟分區(qū)愁的訪滅問，陜以保柿護磁厘盤數(shù)蘭據(jù)，煎其設(shè)熄置項項在波“邊本地蜓計算哭機策欣略岸→亂用戶勁配置段→美管理雞模板察→群Wi怒nd鋸ow君s組妖件止→帳Wi燥nd衡ow題s資猶源管霜理器賢〞查節(jié)點糾下。伸至于箏如何賠設(shè)置羊大家萌可以弦參考顯文章嶼?V么is刻ta辨組劣策略診深度貸挖掘緊實脈現(xiàn)非撿常任夢務(wù)?兼(h賣tt論p:掠//迎wi余ns汪ys索te呢m.摘ct驕oc共io婦.c框om音.c悅n/寇vi群st與a/包22工0/逗82困14梁72捕0.捐sh捉tm押l)寒。(些圖6腥)控3、察IE坊平安眠廳輝之所每以把祥IE虎的組遼策略陪項單堪獨拿笑出來呆分析撫，不毫僅僅督因為本IE皂是W召in繁do嚼ws角系統(tǒng)平集成紀(jì)的瀏境覽器些，更拳主要無是因辭為它燥使用寇最廣桑泛的玉瀏覽霉器軟凈件，棵同時趙也是安Wi畜nd汁ow長s系金統(tǒng)中抗面臨況平安輸威脅隆最大源的系品統(tǒng)組奴件。激在V奔is井ta墓的組月策略盒中，偏我們鋒可以稻在三赤個不玻同的詠組策啄略節(jié)麻點來范配置飄IE席。這偵三個光節(jié)點菌分別屢是：填“怪用戶弟配置顛→見Wi假nd攀ow鍵s設(shè)似置權(quán)→確IE口維護獵策略值〞抵即瞇“奉I(lǐng)E毒維護冊策略仗〞脂;初“罷計算膀機或卡用戶北配置半→抄管理任模板貝→傻Wi據(jù)nd鐘ow褲s組曉件祥→彩In危te賤rn舒et程E毒xp利lo艇re制r玻〞椒即滋“說管理加模板劇策略低〞道;劉“掘用戶茫配置電→及選項嚇→聞管理客控制鏈面板抽→肅In槽te竹rn拴et急設(shè)置榮〞齡即集“鞠組策聾略選貌項妥〞攏功能情。豆辨其實裕，上垃述每顫種方土式在緒配置橋IE樹時都蓄各有倉優(yōu)缺抵點。耗例如同，要俊配置歷IE戒代理撈或者程首頁后，可拔以使圾用?！熬郔E膀維護縫策略馳〞旱或黑“宴組策耍略選似項答〞舊。筆斷者建辨議大曲家盡扣量使著用耕“犁組策賄略選剩項絹〞亡，因稀為在沿域環(huán)遺境下炊“貪IE丑維護倉〞乒在向籍客戶年端分邀發(fā)策鎮(zhèn)略時辮并不擠可靠廊。需素要說星明的軍是，肚通過津“予組策匠略選顛項趣〞辟或者治“希IE筍維護潛〞偽修改削IE主配置喜，并梯不能貨防止競用戶援更改符。所瓣以，裹我們才一般花要使蕉用丹“據(jù)管理簡模板綁〞服策略味選項澆禁止蛾用戶舊訪問嘉IE按設(shè)置唱頁面忙。通烏常情捎況下扛，使彼用糠“烏管理乳模板撤〞買策略讀鎖定強某些說IE滑設(shè)置代，就處能夠尚防止含用戶妄修改鞠IE插配置擁來繞云過限度制。洽惱如果拿我們晴要設(shè)譽置I梁E的址區(qū)域歡平安父或者幅設(shè)置雅彈出替屏蔽抹網(wǎng)址圈類表妹，可