提升windows系统安全性的组策略设置

1、有人将组组策略比比作深藏藏在系统统中的“大内高高手”，笔者者觉得这这个比喻喻的非常常恰当的的。组策策略确实实有其他他第三方方安全软软件所无无法比拟拟的优势势，这不不仅是其其与Wiindoows系系统的密密切“关系”，更在在于它强强大的安安全功能能。除了了可通过过其进行行系统配配置，而而且可对对系统中中几乎所所有的软软硬件实实施管理理，全方方位地提提升系统统安全。到目前前为止，似乎没没有任何何一款第第三方软软件可提提供如果果多的配配置项。何况随随着Wiindoows系系统的更更新换代代，组策策略也是是越来越越强大了了，比如如在Wiindoows 7中就就增加了了许多VVistta没有有的安全全项

2、。本本文就以以当前主主流的VVistta系统统为例，就Wiindoows组组策略的的安全特特性进行行一番比比较深入入的解析析。 为了了便于说说明，笔笔者依据据组策略略的安全全配置功功能将其其划分为为三部分分：系统统核心安安全配置置、应用用程序和和设备限限制、IInteerneet EExplloreer(IIE)安安全。下下面就以以此为线线索，分分别谈谈谈组策略略的安全全特性。1、系统核核心安全全配置与系系统核心心安全相相关的组组策略设设置项主主要在“计算机机配置Winndowws配置置安全配配置”节点下下。(11).账账户策略略对于于组策略略的这一一部分大大家应该该非常熟熟悉，因因为在这这里

3、可以以设置密密码和账账户的锁锁定策略略。例如如，在这这部分组组策略中中，我们们可以设设置密码码最小长长度或者者密码需需要包含含复杂字字符。如如果在链链接到域域(如默默认域策策略)的的组策略略对象(GPOO)中定定义这些些策略，域中的的所有域域控制器器(DCC)都会会处理密密码策略略，并且且组策略略对象会会控制域域用户账账户的密密码策略略。当在在链接到到域的组组策略对对象中定定义密码码策略时时，域中中的所有有工作站站和成员员服务器器也会进进行处理理，并为为这些系系统中定定义的本本地账户户设置账账户策略略。(图图1) 图1 安全设设置账户户策略大家家知道，通过组组策略只只能定义义一个域域密码策策略

4、，不不过，WWinddowss Seerveer 220088支持一一套新的的密码策策略对象象，这些些在活动动目录(AD)中定义义的密码码策略对对象为单单一域提提供了更更加细化化的密码码策略控控制。(2).本地策策略“本本地策略略” 下有有三个安安全策略略项，通通过配置置可以实实现Wiindoows系系统的各各种安全全需求。例如，其中的的“审计策策略”用于配配置服务务器的WWinddowss安全事事件日志志收集哪哪些事件件;“用户权权限分配配”用于配配置哪些些用户能能通过“远程桌桌面”访问指指定的服服务器或或工作站站;使用用“安全选选项”配置以以确定是是否激活活指定系系统上的的“管理员员” 账

5、户户以及重重命名“管理员员”账户。“审审计策略略”相当直直接，允允许我们们控制WWinddowss安全事事件日志志能收集集哪些事事件类型型，在此此指定成成功或失失败的事事件，用用于审计计从活动动目录访访问到系系统对象象访问(如文件件和注册册表键)的各种种事件类类型。根根据组策策略对象象定义审审计事件件的链接接位置，能激活活对域控控制器或或成员服服务器和和工作站站的审计计。例如如，如果果将包含含激活目目录服务务访问审审计的组组策略对对象链接接到“域控制制器”组织单单元，则则域中所所有域控控制器都都将执行行该策略略，因此此，所有有对活动动目录的的访问都都会作为为访问请请求被记记录到域域控制器器的日

6、志志中。(图2)图22 安全全设置本本地策略略“用用户权限限分配”是组策策略中另另一个强强大的安安全工具具，能用用于控制制谁能在在指定系系统上做做什么事事情。用用户权限限的例子子包括“本地登登录”权限，用于控控制谁能能交互式式登录服服务器或或工作站站的控制制台;“加载和和卸载设设备驱动动”权限，用于赋赋予组或或用户安安装设备备驱动的的权限。例如安安装打印印机和显显示驱动动 通过过创建链链接到域域级别的的组策略略对象，并为“认证用用户”组赋予予“拒绝本本地登录录”权限，能有效效防止活活动目录录域中的的所有用用户登录录自己的的工作站站。当然然，这个个例子不不是为了了说明如如何进行行破坏，而是要要说

7、明“用户权权限分配配”是如何何强大，并在需需要使用用时必须须小心谨谨慎。同同其它策策略设置置一样，我们只只需确保保设置用用户权限限的组策策略对象象只被应应用到所所希望使使用的计计算机上上就可以以了，但但要针对对正确的的用户组组赋予或或撤销权权限。需需要说明明的是，“用户权权限分配配”的权限限列表会会因Wiindoows版版本的不不同而哟哟变化。有时候候，运行行在Wiincttowss Viistaa上的组组策略对对象定义义用户权权限，该该组策略略对象被被应用到到Winndowws XXP系统统上时，由于WWinddowssP可能能并不了了解该用用户权限限，所以以将在执执行策略略时忽略略该策略略

8、。(图图3)图33 本地地策略有有户权限限分配“本地策策略”的最后后一部分分是“安全选选项”，位于于“本地策策略安全全选项”中，由由于这些些策略定定义了控控制与系系统安全全相关的的配置行行为，因因此与系系统安全全攸关。比如，在此我我们可以以配置WWinddowss Viistaa的“用户账账户控制制(UAAC)”。“安全选选项”中最有有意思的的应该是是其中出出现的安安全选项项列表。它是由由一个名名为sccereegvll.innf的文文件进行行配置的的，该文文件位于于%wiindiir%inff文件夹夹中。打打开该文文件后，可以看看到“安全选选项”中定义义的每一一条图44 增加加希望组组策略进

9、进行控制制的设置置策略略，并且且可以编编辑这个个文件，增加希希望组策策略进行行控制的的设置。(图44)(3).受限制制组的策策略“受受限制组组”策略的的目的是是提供一一种控制制机制，控制成成员服务务器和工工作站上上的本地地组成员员。“受限制制组”有两种种操作模模式：“成员”和“作为成成员”。“成员”模式是是最严格格的模式式，只有有列出的的用户和和组是其其中的成成员，所所有其他他组或用用户都被被移除。与之相相反，“作为成成员”模式允允许为其其他组添添加用户户和组，也就是是说，我我们能在在任何计计算机上上创建一一条策略略，“总是将将桌面管管理员组组作为本本地管理理员组的的成员”，并加加以执行行，在

10、这这种情况况下，“桌面管管理员”会被添添加到本本地“管理员员”组，但但是不会会影响其其他的组组成员。(44).系系统服务务策略“系系统服务务”策略允允许我们们控制在在指定计计算机上上启动哪哪些Wiindoows服服务，还还可以控控制服务务的权限限。例如如，能够够使用这这些策略略只允许许服务器器管理员员停止和和启动所所有作为为打印服服务器的的Winndowws服务务器上的的“打印池池”服务，并能使使用“系统服服务”策略赋赋予指定定用户组组执行某某些任务务的权限限，而不不必需要要成为系系统的管管理员才才能进行行访问。此外，位于“计算机机配置选项服务”中的“组策略略选项”也提供供了控制制系统服服务的

11、策策略。这这个功能能还提供供了对于于服务配配置的更更多控制制，包括括能够修修改一系系列系统统上的服服务账户户和服务务账户密密码。(5).注册册表和文文件系统统策略这些些策略能能够集中中分别管管理文件件系统和和注册表表键的权权限。例例如，如如果想锁锁定所有有桌面系系统中的的某个文文件或文文件夹，比如为为了避免免恶意软软件轻易易进行修修改，需需要锁定定工作站站的HOOSTSS文件，在这种种情况，可以使使用“文件系系统”策略集集中定义义所有计计算机上上执行该该策略的的文件权权限和权权限继承承。但是是一般来来说，文文件系统统和注册册表安全全策略作作为一种种集中管管理文件件系统和和注册表表安全的的方式并

12、并不常用用，而且且如果误误用会造造成问题题。这些些策略对对于大型型的文件件和文件件夹树结结构或注注册表键键的重新新分配权权限并不不适用，在组策策略处理理过程中中并不能能很好地地执行，并且在在执行过过程中已已知会降降低系统统性能。由于默默认情况况下，即即使没有有发生策策略变更更，安全全策略每每16个个小时也也会自动动刷新， 因此此这个问问题就更更加严重重。如果果需要加加强文件件系统或或注册表表权限，笔者建建议使用用其他方方法，例例如脚本本、Wiindoows安安全模板板或是第第三方安安全工具具。也就就是说，如果只只是修改改少量文文件、文文件夹或或注册表表键的权权限，确确保这些些关键资资源受到到保

13、护。2、应用用程序和和设备限限制(11).应应用程序序限制应用用程序限限制相对对应组策策略来说说就是“软件限限制策略略(SRRP)”，这些些策略位位于“计算机机和用户户配置Winnd0wws设置置安全设设置软件限限制策略略”节点。SRRP可以以有三种种不同的的运行模模式：默默认模式式允许所所有代码码执行，管理员员只对那那些明恶恶意的程程序或脚脚本进行行限制，俗称“黑名单单”。这种种方式虽虽然对于于管理来来说非常常容易，但是并并不安全全，因为为对于一一些未知知的程序序或者脚脚本管理理员无法法进行判判断和处处理。第第二种模模式称为为“白名单单”，是使使用SRRP最安安全的方方式，但但是需要要管理员

14、员做更多多的管理理工作，因为要要创建各各种规则则。最后后一种模模式，称称为“基本用用户”，在WWinddowss Viistaa中首先先出现。，当设设置基本本用户的的默认级级别时，管理员员运行的的所有进进程会被被剥离管管理令牌牌，强制制这些进进程作为为非管理理员用户户运行。当我们们不希望望管理员员使用其其管理账账户运行行某些进进程时，这种方方式非常常有用。(图55)对于这一一部分内内容，如如果大家家感兴趣趣可以参参考详详解Wiindoows 7下的的程序运运行控制制(hhttpp:/Lonnghoorn/3400/899778840_1.sshtmml)。该文以以Winndowws 77系统为

15、为例介绍绍了通过过其组策策略对应应用程序序的安装装和运行行进行限限制，策策略方法法和Viistaa下的类类似，笔笔者就不不赘述了了。(22).设设备限制制所谓谓设备限限制，主主要指存存储限制制即对移移动存储储设备的的限制。我们知知道，在在企业环环境中，通过移移动设备备进行窃窃密是比比较普遍遍的。从从Vissta开开始，微微软在组组策略中中提供了了对移动动设备的的限制。其组策策略项位位于“计算机机(或用用户配置置)管理模模板系统可移动动存储访访问”节点下下，在此此我们可可以设置置对任何何可移动动存储设设备的拒拒绝读或或写(或或可读写写)访问问，支持持的可移移动存储储设备包包括U盘盘、可写写CD和

16、和DVDD以及可可移动硬硬盘。此此外，与与设备限限制相关关，我们们话你可可以通过过组策略略隐藏磁磁盘或者者限制用用户对磁磁盘分区区的访问问，以保保护磁盘盘数据，其设置置项在“本地计计算机策策略用户配配置管理模模板Winndowws组件件Winndowws资源源管理器器”节点下下。至于于如何设设置大家家可以参参考文章章Viistaa 组策策略深度度挖掘 实现非非常任务务(hhttpp:/vissta/2200/822147720.shttml)。(图图6)3、IEE安全 之所所以把IIE的组组策略项项单独拿拿出来分分析，不不仅仅因因为IEE是Wiindoows系系统集成成的浏览览器，更更主要是是

17、因为它它使用最最广泛的的浏览器器软件，同时也也是Wiindoows系系统中面面临安全全威胁最最大的系系统组件件。在VVistta的组组策略中中，我们们可以在在三个不不同的组组策略节节点来配配置IEE。这三三个节点点分别是是：“用户配配置Winndowws设置置IE维维护策略略”即“IE维维护策略略”;“计算机机或用户户配置管理模模板Winndowws组件件Intternnet Expplorrer”即“管理模模板策略略”;“用户配配置选项管理控控制面板板Intternnet设设置”即“组策略略选项”功能。其实实，上述述每种方方式在配配置IEE时都各各有优缺缺点。例例如，要要配置IIE代理理或者

18、首首页，可可以使用用“IE维维护策略略”或“组策略略选项”。笔者者建议大大家尽量量使用“组策略略选项”，因为为在域环环境下“IE维维护”在向客客户端分分发策略略时并不不可靠。需要说说明的是是，通过过“组策略略选项”或者“IE维维护”修改IIE配置置，并不不能防止止用户更更改。所所以，我我们一般般要使用用“管理模模板”策略选选项禁止止用户访访问IEE设置页页面。通通常情况况下，使使用“管理模模板”策略锁锁定某些些IE设设置，就就能够防防止用户户修改IIE配置置来绕过过限制。如果果我们要要设置IIE的区区域安全全或者设设置弹出出屏蔽网网址类表表，可以以同时使使用这三三种方式式进行控控制，因因为每一一种方式式具有不不同的行行为，支支持不同同的选项项。例如如，使用用“计算机机或用户户配置管理模模板Winndowws组件件Intternnet ExpplorrerIntternnet控控制面板板安全全页面”下的策策略对每每个IEE区域进进行安全全配置，并使用用区域站站点分配配类表为为用户在在每个安安全区域域中添加加指定网网站。使使用这种种方式，用户就就不能自自行修改改这些IIE设置置了，但但如果使使用“IE维维护”策略，虽然也也可以进进行想要要的配置置，但是是用户可可以修改改配置。使