萬盛學電腦網

 萬盛學電腦網 >> 電腦入門 >> 組策略設置加強系統安全

組策略設置加強系統安全

    有人將組策略比作深藏在系統中的“大內高手”,筆者覺得這個比喻的非常恰當的。組策略確實有其他第三方安全軟件所無法比擬的優勢,這不僅是其與Windows系統的密切“關系”,更在於它強大的安全功能。除了可通過其進行系統配置,而且可對系統中幾乎所有的軟硬件實施管理,全方位地提升系統安全。到目前為止,似乎沒有任何一款第三方軟件可提供如果多的配置項。何況隨著Windows系統的更新換代,組策略也是越來越強大了,比如在Windows 7中就增加了許多Vista沒有的安全項。本文就以當前主流的Vista系統為例,就Windows組策略的安全特性進行一番比較深入的解析。

  為了便於說明,筆者依據組策略的安全配置功能將其劃分為三部分:系統核心安全配置、應用程序和設備限制、Internet Explorer(IE)安全。下面就以此為線索,分別談談組策略的安全特性。

  1、系統核心安全配置

  與系統核心安全相關的組策略設置項主要在“計算機配置→Windows配置→安全配置”節點下。

  (1).賬戶策略

  對於組策略的這一部分大家應該非常熟悉,因為在這裡可以設置密碼和賬戶的鎖定策略。例如,在這部分組策略中,我們可以設置密碼最小長度或者密碼 需要包含復雜字符。如果在鏈接到域(如默認域策略)的組策略對象(GPO)中定義這些策略,域中的所有域控制器(DC)都會處理密碼策略,並且組策略對象 會控制域用戶賬戶的密碼策略。當在鏈接到域的組策略對象中定義密碼策略時,域中的所有工作站和成員服務器也會進行處理,並為這些系統中定義的本地賬戶設置賬戶策略。(圖1)


    圖1 安全設置賬戶策略

  大家知道,通過組策略只能定義一個域密碼策略,不過,Windows Server 2008支持一套新的密碼策略對象,這些在活動目錄(AD)中定義的密碼策略對象為單一域提供了更加細化的密碼策略控制。

   (2).本地策略

  “本地策略” 下有三個安全策略項,通過配置可以實現Windows系統的各種安全需求。例如,其中的“審計策略”用於配置服務器的Windows安全事件日志收集哪些事件;“用戶權限分配”用於配置哪些用戶能通過“遠程桌面”訪問指定的服務器或工作站;使用“安全選項”配置以確定是否激活指定系統上的“管理員” 賬戶以及重命名“管理員”賬戶。

  “審計策略”相當直接,允許我們控制Windows安全事件日志能收集哪些事件類型,在此指定成功或失敗的事件,用於審計從活動目錄訪問到系統 對象訪問(如文件和注冊表鍵)的各種事件類型。根據組策略對象定義審計事件的鏈接位置,能激活對域控制器或成員服務器和工作站的審計。例如,如果將包含激 活目錄服務訪問審計的組策略對象鏈接到“域控制器”組織單元,則域中所有域控制器都將執行該策略,因此,所有對活動目錄的訪問都會作為訪問請求被記錄到域 控制器的日志中。(圖2)

copyright © 萬盛學電腦網 all rights reserved