1、有人將組組策略比比作深藏藏在系統(tǒng)統(tǒng)中的“大內(nèi)高高手”，筆者者覺得這這個比喻喻的非常常恰當?shù)牡摹＝M策策略確實實有其他他第三方方安全軟軟件所無無法比擬擬的優(yōu)勢勢，這不不僅是其其與Wiindoows系系統(tǒng)的密密切“關系”，更在在于它強強大的安安全功能能。除了了可通過過其進行行系統(tǒng)配配置，而而且可對對系統(tǒng)中中幾乎所所有的軟軟硬件實實施管理理，全方方位地提提升系統(tǒng)統(tǒng)安全。到目前前為止，似乎沒沒有任何何一款第第三方軟軟件可提提供如果果多的配配置項。何況隨隨著Wiindoows系系統(tǒng)的更更新?lián)Q代代，組策策略也是是越來越越強大了了，比如如在Wiindoows 7中就就增加了了許多VVistta沒有有的安全全項

2、。本本文就以以當前主主流的VVistta系統(tǒng)統(tǒng)為例，就Wiindoows組組策略的的安全特特性進行行一番比比較深入入的解析析。 為了了便于說說明，筆筆者依據(jù)據(jù)組策略略的安全全配置功功能將其其劃分為為三部分分：系統(tǒng)統(tǒng)核心安安全配置置、應用用程序和和設備限限制、IInteerneet EExplloreer(IIE)安安全。下下面就以以此為線線索，分分別談談談組策略略的安全全特性。1、系統(tǒng)核核心安全全配置與系系統(tǒng)核心心安全相相關的組組策略設設置項主主要在“計算機機配置Winndowws配置置安全配配置”節(jié)點下下。(11).賬賬戶策略略對于于組策略略的這一一部分大大家應該該非常熟熟悉，因因為在這這里

3、可以以設置密密碼和賬賬戶的鎖鎖定策略略。例如如，在這這部分組組策略中中，我們們可以設設置密碼碼最小長長度或者者密碼需需要包含含復雜字字符。如如果在鏈鏈接到域域(如默默認域策策略)的的組策略略對象(GPOO)中定定義這些些策略，域中的的所有域域控制器器(DCC)都會會處理密密碼策略略，并且且組策略略對象會會控制域域用戶賬賬戶的密密碼策略略。當在在鏈接到到域的組組策略對對象中定定義密碼碼策略時時，域中中的所有有工作站站和成員員服務器器也會進進行處理理，并為為這些系系統(tǒng)中定定義的本本地賬戶戶設置賬賬戶策略略。(圖圖1) 圖1 安全設設置賬戶戶策略大家家知道，通過組組策略只只能定義義一個域域密碼策策略

4、，不不過，WWinddowss Seerveer 220088支持一一套新的的密碼策策略對象象，這些些在活動動目錄(AD)中定義義的密碼碼策略對對象為單單一域提提供了更更加細化化的密碼碼策略控控制。(2).本地策策略“本本地策略略” 下有有三個安安全策略略項，通通過配置置可以實實現(xiàn)Wiindoows系系統(tǒng)的各各種安全全需求。例如，其中的的“審計策策略”用于配配置服務務器的WWinddowss安全事事件日志志收集哪哪些事件件;“用戶權權限分配配”用于配配置哪些些用戶能能通過“遠程桌桌面”訪問指指定的服服務器或或工作站站;使用用“安全選選項”配置以以確定是是否激活活指定系系統(tǒng)上的的“管理員員” 賬

5、戶戶以及重重命名“管理員員”賬戶?！皩弻徲嫴呗月浴毕喈斨敝苯樱试试S我們們控制WWinddowss安全事事件日志志能收集集哪些事事件類型型，在此此指定成成功或失失敗的事事件，用用于審計計從活動動目錄訪訪問到系系統(tǒng)對象象訪問(如文件件和注冊冊表鍵)的各種種事件類類型。根根據(jù)組策策略對象象定義審審計事件件的鏈接接位置，能激活活對域控控制器或或成員服服務器和和工作站站的審計計。例如如，如果果將包含含激活目目錄服務務訪問審審計的組組策略對對象鏈接接到“域控制制器”組織單單元，則則域中所所有域控控制器都都將執(zhí)行行該策略略，因此此，所有有對活動動目錄的的訪問都都會作為為訪問請請求被記記錄到域域控制器器的日

6、志志中。(圖2)圖22 安全全設置本本地策略略“用用戶權限限分配”是組策策略中另另一個強強大的安安全工具具，能用用于控制制誰能在在指定系系統(tǒng)上做做什么事事情。用用戶權限限的例子子包括“本地登登錄”權限，用于控控制誰能能交互式式登錄服服務器或或工作站站的控制制臺;“加載和和卸載設設備驅動動”權限，用于賦賦予組或或用戶安安裝設備備驅動的的權限。例如安安裝打印印機和顯顯示驅動動 通過過創(chuàng)建鏈鏈接到域域級別的的組策略略對象，并為“認證用用戶”組賦予予“拒絕本本地登錄錄”權限，能有效效防止活活動目錄錄域中的的所有用用戶登錄錄自己的的工作站站。當然然，這個個例子不不是為了了說明如如何進行行破壞，而是要要說

7、明“用戶權權限分配配”是如何何強大，并在需需要使用用時必須須小心謹謹慎。同同其它策策略設置置一樣，我們只只需確保保設置用用戶權限限的組策策略對象象只被應應用到所所希望使使用的計計算機上上就可以以了，但但要針對對正確的的用戶組組賦予或或撤銷權權限。需需要說明明的是，“用戶權權限分配配”的權限限列表會會因Wiindoows版版本的不不同而喲喲變化。有時候候，運行行在Wiincttowss Viistaa上的組組策略對對象定義義用戶權權限，該該組策略略對象被被應用到到Winndowws XXP系統(tǒng)統(tǒng)上時，由于WWinddowssP可能能并不了了解該用用戶權限限，所以以將在執(zhí)執(zhí)行策略略時忽略略該策略略

8、。(圖圖3)圖33 本地地策略有有戶權限限分配“本地策策略”的最后后一部分分是“安全選選項”，位于于“本地策策略安全全選項”中，由由于這些些策略定定義了控控制與系系統(tǒng)安全全相關的的配置行行為，因因此與系系統(tǒng)安全全攸關。比如，在此我我們可以以配置WWinddowss Viistaa的“用戶賬賬戶控制制(UAAC)”?！鞍踩x選項”中最有有意思的的應該是是其中出出現(xiàn)的安安全選項項列表。它是由由一個名名為sccereegvll.innf的文文件進行行配置的的，該文文件位于于%wiindiir%inff文件夾夾中。打打開該文文件后，可以看看到“安全選選項”中定義義的每一一條圖44 增加加希望組組策略進

9、進行控制制的設置置策略略，并且且可以編編輯這個個文件，增加希希望組策策略進行行控制的的設置。(圖44)(3).受限制制組的策策略“受受限制組組”策略的的目的是是提供一一種控制制機制，控制成成員服務務器和工工作站上上的本地地組成員員?！笆芟拗浦平M”有兩種種操作模模式：“成員”和“作為成成員”?！俺蓡T”模式是是最嚴格格的模式式，只有有列出的的用戶和和組是其其中的成成員，所所有其他他組或用用戶都被被移除。與之相相反，“作為成成員”模式允允許為其其他組添添加用戶戶和組，也就是是說，我我們能在在任何計計算機上上創(chuàng)建一一條策略略，“總是將將桌面管管理員組組作為本本地管理理員組的的成員”，并加加以執(zhí)行行，在

10、這這種情況況下，“桌面管管理員”會被添添加到本本地“管理員員”組，但但是不會會影響其其他的組組成員。(44).系系統(tǒng)服務務策略“系系統(tǒng)服務務”策略允允許我們們控制在在指定計計算機上上啟動哪哪些Wiindoows服服務，還還可以控控制服務務的權限限。例如如，能夠夠使用這這些策略略只允許許服務器器管理員員停止和和啟動所所有作為為打印服服務器的的Winndowws服務務器上的的“打印池池”服務，并能使使用“系統(tǒng)服服務”策略賦賦予指定定用戶組組執(zhí)行某某些任務務的權限限，而不不必需要要成為系系統(tǒng)的管管理員才才能進行行訪問。此外，位于“計算機機配置選項服務”中的“組策略略選項”也提供供了控制制系統(tǒng)服服務的

11、策策略。這這個功能能還提供供了對于于服務配配置的更更多控制制，包括括能夠修修改一系系列系統(tǒng)統(tǒng)上的服服務賬戶戶和服務務賬戶密密碼。(5).注冊冊表和文文件系統(tǒng)統(tǒng)策略這些些策略能能夠集中中分別管管理文件件系統(tǒng)和和注冊表表鍵的權權限。例例如，如如果想鎖鎖定所有有桌面系系統(tǒng)中的的某個文文件或文文件夾，比如為為了避免免惡意軟軟件輕易易進行修修改，需需要鎖定定工作站站的HOOSTSS文件，在這種種情況，可以使使用“文件系系統(tǒng)”策略集集中定義義所有計計算機上上執(zhí)行該該策略的的文件權權限和權權限繼承承。但是是一般來來說，文文件系統(tǒng)統(tǒng)和注冊冊表安全全策略作作為一種種集中管管理文件件系統(tǒng)和和注冊表表安全的的方式并

12、并不常用用，而且且如果誤誤用會造造成問題題。這些些策略對對于大型型的文件件和文件件夾樹結結構或注注冊表鍵鍵的重新新分配權權限并不不適用，在組策策略處理理過程中中并不能能很好地地執(zhí)行，并且在在執(zhí)行過過程中已已知會降降低系統(tǒng)統(tǒng)性能。由于默默認情況況下，即即使沒有有發(fā)生策策略變更更，安全全策略每每16個個小時也也會自動動刷新， 因此此這個問問題就更更加嚴重重。如果果需要加加強文件件系統(tǒng)或或注冊表表權限，筆者建建議使用用其他方方法，例例如腳本本、Wiindoows安安全模板板或是第第三方安安全工具具。也就就是說，如果只只是修改改少量文文件、文文件夾或或注冊表表鍵的權權限，確確保這些些關鍵資資源受到到保

13、護。2、應用用程序和和設備限限制(11).應應用程序序限制應用用程序限限制相對對應組策策略來說說就是“軟件限限制策略略(SRRP)”，這些些策略位位于“計算機機和用戶戶配置Winnd0wws設置置安全設設置軟件限限制策略略”節(jié)點。SRRP可以以有三種種不同的的運行模模式：默默認模式式允許所所有代碼碼執(zhí)行，管理員員只對那那些明惡惡意的程程序或腳腳本進行行限制，俗稱“黑名單單”。這種種方式雖雖然對于于管理來來說非常常容易，但是并并不安全全，因為為對于一一些未知知的程序序或者腳腳本管理理員無法法進行判判斷和處處理。第第二種模模式稱為為“白名單單”，是使使用SRRP最安安全的方方式，但但是需要要管理員

14、員做更多多的管理理工作，因為要要創(chuàng)建各各種規(guī)則則。最后后一種模模式，稱稱為“基本用用戶”，在WWinddowss Viistaa中首先先出現(xiàn)。，當設設置基本本用戶的的默認級級別時，管理員員運行的的所有進進程會被被剝離管管理令牌牌，強制制這些進進程作為為非管理理員用戶戶運行。當我們們不希望望管理員員使用其其管理賬賬戶運行行某些進進程時，這種方方式非常常有用。(圖55)對于這一一部分內(nèi)內(nèi)容，如如果大家家感興趣趣可以參參考詳詳解Wiindoows 7下的的程序運運行控制制(hhttpp:/Lonnghoorn/3400/899778840_1.sshtmml)。該文以以Winndowws 77系統(tǒng)為

15、為例介紹紹了通過過其組策策略對應應用程序序的安裝裝和運行行進行限限制，策策略方法法和Viistaa下的類類似，筆筆者就不不贅述了了。(22).設設備限制制所謂謂設備限限制，主主要指存存儲限制制即對移移動存儲儲設備的的限制。我們知知道，在在企業(yè)環(huán)環(huán)境中，通過移移動設備備進行竊竊密是比比較普遍遍的。從從Vissta開開始，微微軟在組組策略中中提供了了對移動動設備的的限制。其組策策略項位位于“計算機機(或用用戶配置置)管理模模板系統(tǒng)可移動動存儲訪訪問”節(jié)點下下，在此此我們可可以設置置對任何何可移動動存儲設設備的拒拒絕讀或或寫(或或可讀寫寫)訪問問，支持持的可移移動存儲儲設備包包括U盤盤、可寫寫CD和

16、和DVDD以及可可移動硬硬盤。此此外，與與設備限限制相關關，我們們話你可可以通過過組策略略隱藏磁磁盤或者者限制用用戶對磁磁盤分區(qū)區(qū)的訪問問，以保保護磁盤盤數(shù)據(jù)，其設置置項在“本地計計算機策策略用戶配配置管理模模板Winndowws組件件Winndowws資源源管理器器”節(jié)點下下。至于于如何設設置大家家可以參參考文章章Viistaa 組策策略深度度挖掘 實現(xiàn)非非常任務務(hhttpp:/vissta/2200/822147720.shttml)。(圖圖6)3、IEE安全 之所所以把IIE的組組策略項項單獨拿拿出來分分析，不不僅僅因因為IEE是Wiindoows系系統(tǒng)集成成的瀏覽覽器，更更主要是是

17、因為它它使用最最廣泛的的瀏覽器器軟件，同時也也是Wiindoows系系統(tǒng)中面面臨安全全威脅最最大的系系統(tǒng)組件件。在VVistta的組組策略中中，我們們可以在在三個不不同的組組策略節(jié)節(jié)點來配配置IEE。這三三個節(jié)點點分別是是：“用戶配配置Winndowws設置置IE維維護策略略”即“IE維維護策略略”;“計算機機或用戶戶配置管理模模板Winndowws組件件Intternnet Expplorrer”即“管理模模板策略略”;“用戶配配置選項管理控控制面板板Intternnet設設置”即“組策略略選項”功能。其實實，上述述每種方方式在配配置IEE時都各各有優(yōu)缺缺點。例例如，要要配置IIE代理理或者

18、首首頁，可可以使用用“IE維維護策略略”或“組策略略選項”。筆者者建議大大家盡量量使用“組策略略選項”，因為為在域環(huán)環(huán)境下“IE維維護”在向客客戶端分分發(fā)策略略時并不不可靠。需要說說明的是是，通過過“組策略略選項”或者“IE維維護”修改IIE配置置，并不不能防止止用戶更更改。所所以，我我們一般般要使用用“管理模模板”策略選選項禁止止用戶訪訪問IEE設置頁頁面。通通常情況況下，使使用“管理模模板”策略鎖鎖定某些些IE設設置，就就能夠防防止用戶戶修改IIE配置置來繞過過限制。如果果我們要要設置IIE的區(qū)區(qū)域安全全或者設設置彈出出屏蔽網(wǎng)網(wǎng)址類表表，可以以同時使使用這三三種方式式進行控控制，因因為每一一種方式式具有不不同的行行為，支支持不同同的選項項。例如如，使用用“計算機機或用戶戶配置管理模模板Winndowws組件件Intternnet ExpplorrerIntternnet控控制面板板安全全頁面”下的策策略對每每個IEE區(qū)域進進行安全全配置，并使用用區(qū)域站站點分配配類表為為用戶在在每個安安全區(qū)域域中添加加指定網(wǎng)網(wǎng)站。使使用這種種方式，用戶就就不能自自行修改改這些IIE設置置了，但但如果使使用“IE維維護”策略，雖然也也可以進進行想要要的配置置，但是是用戶可可以修改改配置。使