提升Windows系统安全性的组策略设置
5页1、W i n d o w s系统安全性的组策略设置有人将组策略比作深藏在系统中的“大内高手”,笔者觉得这个比喻的非常恰当的。组 策略确实有其他第三方 安全软件所无法比拟的优势,这不仅是其与系统的密切“关 系”,更在于它强大的功能。除了可通过其进行系统配置,而且可对系统中几乎所有的 软硬件实施管理,全方位地提升系统安全。到目前为止,似乎没有任何一款第三方软件 可提供如果多的配置项。何况随着系统的更新换代,组策略也是越来越强大了,比如在 Windows7中就增加了许多Vista没有的安全项。本文就以当前主流的 Vista系统为例, 就Windows组策略的安全特性进行一番比较深入的解析。为了便于说明,笔者依据组策略的安全配置功能将其划分为三部分:系统核心安全 配置、应用程序和设备限制、Internet Explorer(IE) 安全。下面就以此为线索,分别谈 谈组策略的安全特性。1、系统核心安全配置与系统核心安全相关的组策略设置项主要在“计算机配置一Windows配置一安全配置”节点下。(1),账户策略对于组策略的这一部分大家应该非常熟悉,因为在这里可以设置密码和账户的锁定 策略。例如,在这
2、部分组策略中,我们可以设置密码最小长度或者密码需要包含复杂字 符。如果在链接到域(如默认域策略)的组策略对象(GPO)中定义这些策略,域中的所有域 控制器(DC)都会处理密码策略,并且组策略对象会控制域用户账户的密码策略。当在链 接到域的组策略对象中定义密码策略时,域中的所有工作站和成员也会进行处理,并为 这些系统中定义的本地账户设置账户策略。(图1)?图1安全设置账户策略大家知道,通过组策略只能定义一个域密码策略,不过, Windows Server 2008支持 一套新的密码策略对象,这些在活动目录(AD)中定义的密码策略对象为单一域提供了更 加细化的密码策略控制。? (2),本地策略“本地策略”下有三个安全策略项,通过配置可以实现 Windows系统的各种安全需 求。例如,其中的“审计策略”用于配置的 Windows安全事件日志U集哪些事件用户 权限分配”用于配置哪些用户能通过“远程桌面”访问指定的服务器或工作站 ;使用“安 全选项”配置以确定是否激活指定系统上的“管理员” 账户以及重命名“管理员”账户。“审计策略”相当直接,允许我们控制 Windows安全事件日志能收集哪些事件
3、类型,在此指定成功或失败的事件,用于审计从活动目录访问到系统对象访问(如文件和注册表键)的各种事件类型。根据组策略对象定义审计事件的链接位置,能激活对域控制器 或成员服务器和工作站的审计。例如,如果将包含激活目录服务访问审计的组策略对象 链接到“域控制器”组织单元,则域中所有域控制器都将执行该策略,因此,所有对活 动目录的访问都会作为访问请求被记录到域控制器的日志中。(图2)图2安全设置本地策略“用户权限分配”是组策略中另一个强大的安全工具,能用于控制谁能在指定系统 上做什么事情。用户权限的例子包括“本地登录”权限,用于控制谁能交互式登录服务 器或工作站的控制台;“加载和卸载设备驱动”权限,用于赋予组或用户安装设备驱动的 权限。例如安装打印机和显示驱动 通过创建链接到域级别的组策略对象,并为“认证用 户”组赋予“拒绝本地登录”权限,能有效防止活动目录域中的所有用户登录自己的工 作站。当然,这个例子不是为了说明如何进行破坏,而是要说明“用户权限分配”是如 何强大,并在需要使用时必须小心谨慎。同其它策略设置一样,我们只需确保设置用户 权限的组策略对象只被应用到所希望使用的计算机上就可以了,
4、但要针对正确的用户组 赋予或撤销权限。需要说明的是,“用户权限分配”的权限列表会因Windows版本的不同而哟变化。有时候,运行在 Winctows Vista上的组策略对象定义用户权限,该组策略 对象被应用到WindowsXP系统上时,由于 Windowsx P可能并不了解该用户权限,所以将 在执行策略时忽略该策略。(图3)图3本地策略有户权限分配“本地策略”的最后一部分是“安全选项”,位于“本地策略安全选项”中,由于这些 策略定义了控制与系统安全相关的配置行为,因此与系统安全攸关。比如,在此我们可 以配置Windows Vista的“用户账户控制(UAC)”。“安全选项”中最有意思的应该是其 中出现的安全选项列表。它是由一个名为的文件进行配置的,该文件位于%windir%inf文件夹中。打开该文件后,可以看到“安全选项”中定义的每一条图4增加希望组策略进行控制的设置策略,并且可以编辑这个文件,增加希望组策略进行控制的设置。(图4)(3).受限制组的策略“受限制组”策略的目的是提供一种控制机制,控制成员服务器和工作站上的本地 组成员。“受限制组”有两种操作模式:“成员”和“作为成员”
《提升Windows系统安全性的组策略设置》由会员汽***分享,可在线阅读,更多相关《提升Windows系统安全性的组策略设置》请在金锄头文库上搜索。
《威尼斯的小艇》导学案
《人力资源开发与管理》第03章在线测试
舞蹈《莲心》的情感根源及情感表达
一封英文情书
郑州大学数据库原理
前台个人试用期工作总结范文(8篇).doc
人教新目标八年级英语下册Unit2知识点总结和同步练习含答案
起重机安全管理责任落实制度
经典万能检讨书
人防地下室模板工程技术交底
安防行业销售工作总结范文(2篇)
在参与中体验
2023年湖南省岳阳市平江县伍市镇马头村社区工作人员考试模拟题及答案
大连理工大学22春《船舶与海洋工程概论》离线作业一及答案参考95
冻伤急救现场处置方案
如何在阅读教学中调动学生的灵气
120道中考必做单选题下
压型钢板技术要求..
初中数学复习课教学的研究
废钢处理规章制度
2023-03-30 5页
2022-07-29 29页
2023-09-08 10页
2022-10-22 18页
2022-11-16 15页
2023-07-12 5页
2023-10-04 65页
2023-05-16 17页
2023-08-03 5页
2022-11-24 12页