組策略設置加強系統安全

    有人將組策略比作深藏在系統中的“大內高手”，筆者覺得這個比喻的非常恰當的。組策略確實有其他第三方安全軟件所無法比擬的優勢，這不僅是其與Windows系統的密切“關系”，更在於它強大的安全功能。除了可通過其進行系統配置，而且可對系統中幾乎所有的軟硬件實施管理，全方位地提升系統安全。到目前為止，似乎沒有任何一款第三方軟件可提供如果多的配置項。何況隨著Windows系統的更新換代，組策略也是越來越強大了，比如在Windows 7中就增加了許多Vista沒有的安全項。本文就以當前主流的Vista系統為例，就Windows組策略的安全特性進行一番比較深入的解析。

　　為了便於說明，筆者依據組策略的安全配置功能將其劃分為三部分：系統核心安全配置、應用程序和設備限制、Internet Explorer(IE)安全。下面就以此為線索，分別談談組策略的安全特性。

　　1、系統核心安全配置

　　與系統核心安全相關的組策略設置項主要在“計算機配置→Windows配置→安全配置”節點下。

　　(1).賬戶策略

　　對於組策略的這一部分大家應該非常熟悉，因為在這裡可以設置密碼和賬戶的鎖定策略。例如，在這部分組策略中，我們可以設置密碼最小長度或者密碼 需要包含復雜字符。如果在鏈接到域(如默認域策略)的組策略對象(GPO)中定義這些策略，域中的所有域控制器(DC)都會處理密碼策略，並且組策略對象 會控制域用戶賬戶的密碼策略。當在鏈接到域的組策略對象中定義密碼策略時，域中的所有工作站和成員服務器也會進行處理，並為這些系統中定義的本地賬戶設置賬戶策略。(圖1)

    圖1 安全設置賬戶策略

　　大家知道，通過組策略只能定義一個域密碼策略，不過，Windows Server 2008支持一套新的密碼策略對象，這些在活動目錄(AD)中定義的密碼策略對象為單一域提供了更加細化的密碼策略控制。

   (2).本地策略

　　“本地策略” 下有三個安全策略項，通過配置可以實現Windows系統的各種安全需求。例如，其中的“審計策略”用於配置服務器的Windows安全事件日志收集哪些事件;“用戶權限分配”用於配置哪些用戶能通過“遠程桌面”訪問指定的服務器或工作站;使用“安全選項”配置以確定是否激活指定系統上的“管理員” 賬戶以及重命名“管理員”賬戶。

　　“審計策略”相當直接，允許我們控制Windows安全事件日志能收集哪些事件類型，在此指定成功或失敗的事件，用於審計從活動目錄訪問到系統 對象訪問(如文件和注冊表鍵)的各種事件類型。根據組策略對象定義審計事件的鏈接位置，能激活對域控制器或成員服務器和工作站的審計。例如，如果將包含激 活目錄服務訪問審計的組策略對象鏈接到“域控制器”組織單元，則域中所有域控制器都將執行該策略，因此，所有對活動目錄的訪問都會作為訪問請求被記錄到域 控制器的日志中。(圖2)