提升Windows 系统安全性的组策略设置

升W i n d o w s系统安全性的组策略设置

有人将组策略比作深藏在系统中的“大内高手”，笔者觉得这个比喻的非常恰当的。组策略确实有其他第三方安全软件所无法比拟的优势，这不仅是其与Windows系统的密切“关系”，更在于它强大的安全功能。除了可通过其进行系统配置，而且可对系统中几乎所有的软硬件实施管理，全方位地提升系统安全。到目前为止，似乎没有任何一款第三方软件可提供如果多的配置项。何况随着Windows系统的更新换代，组策略也是越来越强大了，比如在Windows 7中就增加了许多Vista没有的安全项。本文就以当前主流的Vista系统为例，就Windows组策略的安全特性进行一番比较深入的解析。

为了便于说明，笔者依据组策略的安全配置功能将其划分为三部分：系统核心安全配置、应用程序和设备限制、Internet Explorer(IE)安全。下面就以此为线索，分别谈谈组策略的安全特性。

1、系统核心安全配置

与系统核心安全相关的组策略设置项主要在“计算机配置→Windows配置→安全配置”节点下。

(1).账户策略

对于组策略的这一部分大家应该非常熟悉，因为在这里可以设置密码和账户的锁定策略。例如，在这部分组策略中，我们可以设置密码最小长度或者密码需要包含复杂字符。如果在链接到域(如默认域策略)的组策略对象(GPO)中定义这些策略，域中的所有域控制器(DC)都会处理密码策略，并且组策略对象会控制域用户账户的密码策略。当在链接到域的组策略对象中定义密码策略时，域中的所有工作站和成员服务器也会进行处理，并为这些系统中定义的本地账户设置账户策略。(图1)

图1 安全设置账户策略

大家知道，通过组策略只能定义一个域密码策略，不过，Windows Server 2008支持一套新的密码策略对象，这些在活动目录(AD)中定义的密码策略对象为单一域提供了更加细化的密码策略控制。

(2).本地策略

“本地策略” 下有三个安全策略项，通过配置可以实现Windows系统的各种安全需求。例如，其中的“审计策略”用于配置服务器的Windows安全事件日志收集哪些事件;“用户权限分配”用于配置哪些用户能通过“远程桌面”访问指定的服务器或工作站;使用“安全选项”配置以确定是否激活指定系统上的“管理员” 账户以及重命名

“管理员”账户。

“审计策略”相当直接，允许我们控制Windows安全事件日志能收集哪些事件类型，在此指定成功或失败的事件，用于审计从活动目录访问到系统对象访问(如文件和注册表键)的各种事件类型。根据组策略对象定义审计事件的链接位置，能激活对域控制器或成员服务器和工作站的审计。例如，如果将包含激活目录服务访问审计的组策略对象链接到“域控制器”组织单元，则域中所有域控制器都将执行该策略，因此，所有对活动目录的访问都会作为访问请求被记录到域控制器的日志中。(图2)

图2 安全设置本地策略

“用户权限分配”是组策略中另一个强大的安全工具，能用于控制谁能在指定系统上做什么事情。用户权限的例子包括“本地登录”权限，用于控制谁能交互式登录服务器或工作站的控制台;“加载和卸载设备驱动”权限，用于赋予组或用户安装设备驱动的权限。例如安装打印机和显示驱动通过创建链接到域级别的组策略对象，并为“认证用户”组赋予“拒绝本地登录”权限，能有效防止活动目录域中的所有用户登录自己的工作站。当然，这个例子不是为了说明如何进行破坏，而是要说明“用户权限分配”是如何强大，并在需要使用时必须小心谨慎。同其它策略设置一样，我们只需确保设置用户权限的组策略对象只被应用到所希望使用的计算机上就可以了，但要针对正确的用户组赋予或撤销权限。需要说明的是，“用户权限分配”的权限列表会因Windows版本的不同而哟变化。有时候，运行在Winctows Vista上的组策略对象定义用户权限，该组策略对象被应用到Windows XP系统上时，由于Windows×P可能并不了解该用户权限，所以将在执行策略时忽略该策略。(图3)

图3 本地策略有户权限分配

“本地策略”的最后一部分是“安全选项”，位于“本地策略安全选项”中，由于这些策略定义了控制与系统安全相关的配置行为，因此与系统安全攸关。比如，在此我们可以配置Windows Vista的“用户账户控制(UAC)”。“安全选项”中最有意思的应该是其中出现的安全选项列表。它是由一个名为sceregvl.inf的文件进行配置的，该文件位于%windir%\inf文件夹中。打开该文件后，可以看到“安全选项”中定义的每一条

图4 增加希望组策略进行控制的设置

策略，并且可以编辑这个文件，增加希望组策略进行控制的设置。(图4)

(3).受限制组的策略

“受限制组”策略的目的是提供一种控制机制，控制成员服务器和工作站上的本地组成员。“受限制组”有两种操作模式：“成员”和“作为成员”。“成员”模式是最严格的模式，只有列出的用户和组是其中的成员，所有其他组或用户都被移除。与之相反，“作为成员”模式允许为其他组添加用户和组，也就是说，我们能在任何计算机上创建一条策略，“总是将桌面管理员组作为本地管理员组的成员”，并加以执行，在这

种情况下，“桌面管理员”会被添加到本地“管理员”组，但是不会影响其他的组成员。

(4).系统服务策略

“系统服务”策略允许我们控制在指定计算机上启动哪些Windows服务，还可以控制服务的权限。例如，能够使用这些策略只允许服务器管理员停止和启动所有作为打印服务器的Windows服务器上的“打印池”服务，并能使用“系统服务”策略赋予指定用户组执行某些任务的权限，而不必需要成为系统的管理员才能进行访问。此外，位于“计算机配置→选项→服务”中的“组策略选项”也提供了控制系统服务的策略。这个功能还提供了对于服务配置的更多控制，包括能够修改一系列系统上的服务账户和服务账户密码。

(5).注册表和文件系统策略

这些策略能够集中分别管理文件系统和注册表键的权限。例如，如果想锁定所有桌面系统中的某个文件或文件夹，比如为了避免恶意软件轻易进行修改，需要锁定工作站的HOSTS文件，在这种情况，可以使用“文件系统”策略集中定义所有计算机上执行该策略的文件权限和权限继承。但是一般来说，文件系统和注册表安全策略作为一种集中管理文件系统和注册表安全的方式并不常用，而且如果误用会造成问题。这些策略对于大型的文件和文件夹树结构或注册表键的重新分配权限并不适用，在组策略处理过程中并不能很好地执行，并且在执行过程中已知会降低系统性能。由于默认情况下，即使没有发生策略变更，安全策略每16个小时也会自动刷新，因此这个问题就更加严重。如果需要加强文件系统或注册表权限，笔者建议使用其他方法，例如脚本、Windows安全模板或是第三方安全工具。也就是说，如果只是修改少量文件、文件夹或注册表键的权限，确保这些关键资源受到保护。

2、应用程序和设备限制

(1).应用程序限制

应用程序限制相对应组策略来说就是“软件限制策略(SRP)”，这些策略位于“计算机和用户配置→Wind0ws设置安全设置→软件限制策略”节点。

SRP可以有三种不同的运行模式：默认模式允许所有代码执行，管理员只对那些明恶意的程序或脚本进行限制，俗称“黑名单”。这种方式虽然对于管理来说非常容易，但是并不安全，因为对于一些未知的程序或者脚本管理员无法进行判断和处理。第二种模式称为“白名单”，是使用SRP最安全的方式，但是需要管理员做更多的管理工作，因为要创建各种规则。最后一种模式，称为“基本用户”，在Windows Vista中首先出现。，当设置基本用户的默认级别时，管理员运行的所有进程会被剥离管理令牌，强制这些进程作为非管理员用户运行。当我们不希望管理员使用其管理账户运行某些进程时，这种方式非常有用。(图5)

图5 应用程序限制