提升Windows系統(tǒng)安全性的組策略設置精編有人將組策略比作深藏在系統(tǒng)中的“大內高手”，筆者覺得這個比喻的非常恰當的。組策略確實有其他第三方安全軟件所無法比擬的優(yōu)勢，這不僅是其與系統(tǒng)的密切“關系”，更在于它強大的功能。除了可通過其進行系統(tǒng)配置，而且可對系統(tǒng)中幾乎所有的軟硬件實施管理，全方位地提升系統(tǒng)安全。到目前為止，似乎沒有任何一款第三方軟件可提供如果多的配置項。何況隨著系統(tǒng)的更新?lián)Q代，是越來越強大了，比如在Windows7中就增加了例，就Windows組策略的安全特性進行一番比較深入為了便于說明，筆者依據組策略的安全配置功能將其別談談組策略的安全特性。1、系統(tǒng)核心安全配置與系統(tǒng)核心安全相關的組策略設置項主要在“計算機配置→Windows配置→安全配置”節(jié)點下。對于組策略的這一部分大家應該非常熟悉，因為在這里可以設置密碼和賬戶的鎖定策略。例如，在這部分組策置密碼最小長度或者密碼需要包含復雜字符。如果在鏈接到域(如默認域策略)的組策略對象(GPO)略，域中的所有域控制器(DC)都會處理密碼對象會控制域用戶賬戶的密碼策略。當在鏈接到域的組策略對象中定義密碼策略時，域中的所有行處理，并為這些系統(tǒng)中定義的本地大家知道，通過組策略只能定義一個域密碼策略，不些在活動目錄(AD)中定義的密碼策略對象為單一域提供了更加細化的密碼策略控制。???(2).本地策略“本地策略”下有三個安全策略項，通過配置可以實Windows全需求。例如，其中的“審計策略”用于配置的Windows安全事件日志收集哪些事件;“用戶權限分配”用于配置哪些用戶能通過“遠程桌面”訪問指定的服務器或工作站;使用“安全選項”配置以確定是否激活指定系統(tǒng)上的“管理員”賬戶以及重命名“管理員”“審計策略”相當直接，允許我們控制Windows安全事件日志能收集哪些事件類型，在此指定成功或失敗的事件，用于審計從活動目錄訪問到系統(tǒng)對象訪問(如文件和注冊表鍵)的各種事件類型。根據組策略對象定義審計事件的鏈接位置，能激活對域控制器或成員服務器和工作站的審計。例如，如果將包含激活目錄服務訪問審計的組策略對象鏈接到“域控制器”組織單元，則域中所有域控制器都將執(zhí)行該策略，因此，所有對活動目錄的訪問都會作為訪“用戶權限分配”是組策略中另一個強大的安全工具，能用于控制誰能在指定系統(tǒng)上做什么事情。用戶權限的例子包括“本地登錄”權限，用于控制誰能交互式登錄服務器或工作站的控制臺;“加載和卸載設備驅動”權限，用于賦予組或用戶安裝設備驅動的權限。例如安裝打印機和顯示驅動通過創(chuàng)建鏈接到域級別的組策略對象，并為“認證用戶”組賦予“拒絕本地登錄”權限，能有效防止活動目錄域中的所有用戶登錄自己的工作站。當然，這個例子不是為了說明如何進行破壞，而是要說明“用戶權限分配”是如何強大，并在需要使用時必須小心謹慎。同其它策略設置一樣，我們只需確保設置用戶權限的組策略對象只被應用到所希望使用的計算機上就可以了，但要針對正確的用戶組賦予或撤銷權限。需要說明的是，“用戶權限分配”的權限列表會因Windows版本的不同而喲變化。有時候，運行在WinctowsVista上的組策略對象定義用戶Windows×P可能并不了解該用戶權限，所以將在執(zhí)行策略“本地策略”的最后一部分是“安全選項”，位于“本地策略安全選項”中，由于這些策略定義了控制與系統(tǒng)安全相關的配置行為，因此與系統(tǒng)安全攸關。比如，在此我們可以配置WindowsVista的“用戶賬戶控制(UAC)”?！鞍踩x項”中最有意思的應該是其中出現的安全選項列表。它是由一個名為的文件進行配置的，該文件位于%windir%\inf文件夾中。打開該文件后，可以看到“安全選項”中定義的每一條策略，并且可以編輯這個文件，增加希望組策略進行“受限制組”策略的目的是提供一種控制機制，控制成員服務器和工作站上的本地組成員。“受限制組”有兩種操作模式：“成員”和“作為成員”。“成員”模式是最嚴格的模式，只有列出的用戶和組是其中的成員，所有其他組或用戶都被移除。與之相反，“作為成員”模式允許為其他組添加用戶和組，也就是說，我們能在任何計算機上創(chuàng)建一條策略，“總是將桌面管理員組作為本地管理員組的成員”，并加以執(zhí)行，在這種情況下，“桌面管理員”會被添加到本地“管理員”組，但是不會影響其他的“系統(tǒng)服務”策略允許我們控制在指定計算機上啟動Windows制服務的權限。例如，能夠使用這些策略只允許服務器管理員停止和啟動所有作為打的Windows服務器上的“打印池”服務，并能使用“系統(tǒng)服務”策略賦予指定用戶組執(zhí)行某些任務的權限，而不必需要成為系統(tǒng)的管理員才能進行訪問。此外，位于“計算機配置→選項→服務”中的“組策略選項”也提供了控制系統(tǒng)服務的策略。這個功能還提供了對于服務配置的更多控制，包括能夠修改一系列系統(tǒng)上的服務賬戶(5).注冊表和文件系統(tǒng)策略這些策略能夠集中分別管理文件系統(tǒng)和注冊表鍵的權限。例如，如果想鎖定所有桌面系統(tǒng)中的某個文件或文件夾，比如為了避免惡意軟件輕易進行修改，需要鎖定工作HOSTS在這種情況，可以使用“文件系統(tǒng)”策略集中定義所有計算機上執(zhí)行該策略的文件權限和權限繼承。但是一般來說，文件系統(tǒng)和注冊表安全策略作為一種集中管理文件系統(tǒng)和注冊表安全的方式并不常用，而且如果誤用會造成問題。這些策略對于大型的文件和文件夾樹結構或注冊表鍵的重新分配權限并不適用，在組策略處理過程中并不能很好地執(zhí)行，并且在執(zhí)行過程中已知會降低系統(tǒng)或注冊表權限，筆者建議使用其他方法，例如腳本、Windows安全模板或是第三方安全工具。也就是說，如果只是修改少量文件、文件夾或注冊表鍵的權限，確保這些關鍵資源受到保護。2、應用程序和設備限制應用程序限制相對應組策略來說就是“軟件限制策略(SRP)”，這些策略位于“計算機和用戶配置→Wind0ws設置安全設置→軟件限制策略”節(jié)點。SRP可以有三種不同的運行模式：默認模式允許所有代碼執(zhí)行，管理員只對那些明惡意的程序或腳本進行限制，俗稱“黑名單”。這種方式雖然對于管理來說非常容易，但是并不安全，因為對于一些未知的程序或者腳本管理員無法進行判斷和處理。第二種模式稱為“白名單”，是使SRP員做更多的管理工作，因為要創(chuàng)建各種規(guī)則。最后一種模式，稱為“基本用的默認級別時，管理員運行的所有進程會被剝離管理令程作為非管理員用戶運行。當我們不希望管理員使用其管理賬戶運行某些進程時，這種方式非常有對于這一部分內容，如果大家感興趣可以參考《詳解為例介紹了通過其組策略對應用程序的安裝和運行進行限所謂設備限制，主要指限制即對移動設備的限制。我們知道，在企業(yè)環(huán)境中，通過移動設備進行竊密是比較普Vista開始，微軟在組策略中提供了對移動設備的限制。其組策略項位于“計算機(或用戶配置)→管理模板→系統(tǒng)→可移動存儲訪問”節(jié)點下，在此我們可以設置對任何可移動存儲設備的拒絕讀或寫(或可讀寫)訪問，可移動硬盤。此外，與設備限制相關，我們話你可以通過組策略隱藏磁盤或者限制用戶對磁盤分區(qū)的訪問，以保護磁盤數據，其設置項在“本地計算機策略→用戶配置→管板→Windows組件→Windows資源管理器”節(jié)點下。至于如何設置大家可以參考文章《Vista組策略深度挖掘實IE是Windows系統(tǒng)集成的瀏覽器，更主要是因為它使用最器軟件，同時也是Windows系統(tǒng)中面臨安全威脅最大的系統(tǒng)組件。在Vista的組策略中，我們可以在三略”;“計算機或用戶配置→管理模板→Windows組件→InternetExplorer”即“管理模板策略”;“用戶配置→選項→管理控制面板→Internet設置”即“組策略選“組策略選項”。筆者建議大家盡量使用“組策略選項”，因為在域環(huán)境下“IE維護”在向客戶端分發(fā)策略時并不可靠。需要說明的是，通過“組策略選項”或者“IE維護”修改IE配置，并不能防止用戶更改。所以，我們一般要使用“管理模板”策略選項禁止用戶訪問IE設置頁面。通常情況下，使用“管理模板”策略鎖定某些IE設類表，可以同時使用這三種方式進行控制，因為每一種方式具有不同的行為，支持不同的選項。例如，使用“計算機或用戶配置→管理模板→Windows組件→InternetExplorer\Internet控制面板\安全頁面”下的策略對每個IE區(qū)域進行安全配置，并使用區(qū)域站點分配類表為用戶在每個安全區(qū)域中添加指定網站。使用這種方式，用戶就不進行想要的配置，但是用戶可以修改配置