W i n d o w s系统安全性的组策略设置有人将组策略比作深藏在系统中的“大内高手”,笔者觉得这个比喻的非常恰当的组 策略确实有其他第三方 安全软件所无法比拟的优势,这不仅是其与系统的密切“关 系”,更在于它强大的功能除了可通过其进行系统配置,而且可对系统中几乎所有的 软硬件实施管理,全方位地提升系统安全到目前为止,似乎没有任何一款第三方软件 可提供如果多的配置项何况随着系统的更新换代,组策略也是越来越强大了,比如在 Windows7中就增加了许多Vista没有的安全项本文就以当前主流的 Vista系统为例, 就Windows组策略的安全特性进行一番比较深入的解析为了便于说明,笔者依据组策略的安全配置功能将其划分为三部分:系统核心安全 配置、应用程序和设备限制、Internet Explorer(IE) 安全下面就以此为线索,分别谈 谈组策略的安全特性1、系统核心安全配置与系统核心安全相关的组策略设置项主要在“计算机配置一 Windows配置一安全配置”节点下1),账户策略对于组策略的这一部分大家应该非常熟悉,因为在这里可以设置密码和账户的锁定 策略例如,在这部分组策略中,我们可以设置密码最小长度或者密码需要包含复杂字 符。
如果在链接到域(如默认域策略)的组策略对象(GPO)中定义这些策略,域中的所有域 控制器(DC)都会处理密码策略,并且组策略对象会控制域用户账户的密码策略当在链 接到域的组策略对象中定义密码策略时,域中的所有工作站和成员也会进行处理,并为 这些系统中定义的本地账户设置账户策略图1)???图1安全设置账户策略大家知道,通过组策略只能定义一个域密码策略,不过, Windows Server 2008支持 一套新的密码策略对象,这些在活动目录(AD)中定义的密码策略对象为单一域提供了更 加细化的密码策略控制 (2),本地策略“本地策略”下有三个安全策略项,通过配置可以实现 Windows系统的各种安全需 求例如,其中的“审计策略”用于配置的 Windows安全事件日志U^集哪些事件「用户 权限分配”用于配置哪些用户能通过“远程桌面”访问指定的服务器或工作站 ;使用“安 全选项”配置以确定是否激活指定系统上的“管理员” 账户以及重命名“管理员”账户审计策略”相当直接,允许我们控制 Windows安全事件日志能收集哪些事件类型,在此指定成功或失败的事件,用于审计从活动目录访问到系统对象访问 (如文件和注册表键)的各种事件类型。
根据组策略对象定义审计事件的链接位置,能激活对域控制器 或成员服务器和工作站的审计例如,如果将包含激活目录服务访问审计的组策略对象 链接到“域控制器”组织单元,则域中所有域控制器都将执行该策略,因此,所有对活 动目录的访问都会作为访问请求被记录到域控制器的日志中 (图2)图2安全设置本地策略“用户权限分配”是组策略中另一个强大的安全工具,能用于控制谁能在指定系统 上做什么事情用户权限的例子包括“本地登录”权限,用于控制谁能交互式登录服务 器或工作站的控制台;“加载和卸载设备驱动”权限,用于赋予组或用户安装设备驱动的 权限例如安装打印机和显示驱动 通过创建链接到域级别的组策略对象,并为“认证用 户”组赋予“拒绝本地登录”权限,能有效防止活动目录域中的所有用户登录自己的工 作站当然,这个例子不是为了说明如何进行破坏,而是要说明“用户权限分配”是如 何强大,并在需要使用时必须小心谨慎同其它策略设置一样,我们只需确保设置用户 权限的组策略对象只被应用到所希望使用的计算机上就可以了,但要针对正确的用户组 赋予或撤销权限需要说明的是,“用户权限分配”的权限列表会因 Windows版本的不同而哟变化。
有时候,运行在 Winctows Vista上的组策略对象定义用户权限,该组策略 对象被应用到WindowsXP系统上时,由于 Windowsx P可能并不了解该用户权限,所以将 在执行策略时忽略该策略图3)图3本地策略有户权限分配“本地策略”的最后一部分是“安全选项”,位于“本地策略安全选项”中,由于这些 策略定义了控制与系统安全相关的配置行为,因此与系统安全攸关比如,在此我们可 以配置Windows Vista的“用户账户控制(UAC)”安全选项”中最有意思的应该是其 中出现的安全选项列表它是由一个名为的文件进行配置的,该文件位于 %windir%\inf文件夹中打开该文件后,可以看到“安全选项”中定义的每一条图4增加希望组策略进行控制的设置策略,并且可以编辑这个文件,增加希望组策略进行控制的设置 (图4)(3).受限制组的策略“受限制组”策略的目的是提供一种控制机制,控制成员服务器和工作站上的本地 组成员受限制组”有两种操作模式:“成员”和“作为成员”成员”模式是最 严格的模式,只有列出的用户和组是其中的成员,所有其他组或用户都被移除与之相 反,“作为成员”模式允许为其他组添加用户和组,也就是说,我们能在任何计算机上 创建一条策略,”总是将桌面管理员组作为本地管理员组的成员”,并加以执行,在这 种情况下,“桌面管理员”会被添加到本地“管理员”组,但是不会影响其他的组成员。
4),系统服务策略“系统服务”策略允许我们控制在指定计算机上启动哪些 Windows服务,还可以控制服务的权限例如,能够使用这些策略只允许服务器管理员停止和启动所有作为打印 服务器的Windows服务器上的“打印池”服务,并能使用“系统服务”策略赋予指定用 户组执行某些任务的权限,而不必需要成为系统的管理员才能进行访问止匕外,位于“计算机配置-选项-服务”中的“组策略选项”也提供了控制系统服务的策略这个 功能还提供了对于服务配置的更多控制,包括能够修改一系列系统上的服务账户和服务 账户密码5),注册表和文件系统策略这些策略能够集中分别管理文件系统和注册表键的权限例如,如果想锁定所有桌 面系统中的某个文件或文件夹,比如为了避免恶意软件轻易进行修改,需要锁定工作站 的HOST或件,在这种情况,可以使用“文件系统”策略集中定义所有计算机上执行该 策略的文件权限和权限继承但是一般来说,文件系统和注册表安全策略作为一种集中 管理文件系统和注册表安全的方式并不常用,而且如果误用会造成问题这些策略对于 大型的文件和文件夹树结构或注册表键的重新分配权限并不适用,在组策略处理过程中 并不能很好地执行,并且在执行过程中已知会降低系统性能。
由于默认情况下,即使没 有发生策略变更,安全策略每16个小时也会自动刷新, 因此这个问题就更加严重如 果需要加强文件系统或注册表权限,笔者建议使用其他方法,例如脚本、 Windows安全模板或是第三方安全工具也就是说,如果只是修改少量文件、文件夹或注册表键的权 限,确保这些关键资源受到保护2、应用程序和设备限制(1),应用程序限制应用程序限制相对应组策略来说就是“软件限制策略 (SRP)”,这些策略位于“计算机和用户配置-Windows设置安全设置-软件限制策略”节点SRP可以有三种不同的运行模式:默认模式允许所有代码执行,管理员只对那些明 恶意的程序或脚本进行限制,俗称“黑名单”这种方式虽然对于管理来说非常容易, 但是并不安全,因为对于一些未知的程序或者脚本管理员无法进行判断和处理第二种 模式称为“白名单”,是使用 SRPR安全的方式,但是需要管理员做更多的管理工作, 因为要创建各种规则最后一种模式,称为“基本用户”,在 Windows Vista中首先出 现当设置基本用户的默认级别时,管理员运行的所有进程会被剥离管理令牌,强制 这些进程作为非管理员用户运行当我们不希望管理员使用其管理账户运行某些进程 时,这种方式非常有用。
图5)???图5应用程序限制对于这一部分内容,如果大家感兴趣可以参考《详解 Windows 7下的程序运行控制》()该文以Windows7系统为例介绍了通过其组策略对应用程序的安装和运行进行限制, 策略方法和Vista下的类似,笔者就不赘述了2),设备限制所谓设备限制,主要指限制即对移动设备的限制我们知道,在企业环境中,通过 移动设备进行窃密是比较普遍的从 Vista开始,微软在组策略中提供了对移动设备的 限制具组策略项位于“计算机(或用户配置)-管理模板-系统-可移动存储访问”节 点下,在此我们可以设置对任何可移动存储设备的拒绝读或写 (或可读写)访问,支持的可移动存储设备包括 U盘、可写CD?口 DVDZ及可移动硬盘止匕外,与设备限 制相关,我们话你可以通过组策略隐藏磁盘或者限制用户对磁盘分区的访问,以保护磁 盘数据,其设置项在“本地计算机策略—用户配置—管理模板-Windows组件fWindows 资源管理器”节点下至于如何设置大家可以参考文章« Vista组策略深度挖掘 实现非 常任务》()图6)图6设备限制?? 3、IE安全之所以把IE的组策略项单独拿出来分析,不仅仅因为 IE是Windows系统集成的浏览器,更主要是因为它使用最广泛的浏览器软件,同时也是 Windows系统中面临安全威胁最大的系统组件。
在 Vista的组策略中,我们可以在三个不同的组策略节点来配置 IE这三个节点分别是:“用户配置-Windows设置-IE维护策略”即“ IE维护策略”;“计 算机或用户配置—管理模板-Windows组件fInternet Explorer ”即“管理模板策略”;“用户配置-选项-管理控制面板-Internet设置”即“组策略选项”功能其实,上述每种方式在配置IE时都各有优缺点例如,要配置IE代理或者首页,可 以使用“IE维护策略”或“组策略选项”笔者建议大家尽量使用“组策略选项”,因 为在域环境下“IE维护”在向客户端分发策略时并不可靠需要说明的是,通过“组策 略选项”或者“IE维护”修改IE配置,并不能防止用户更改所以,我们一般要使用 “管理模板”策略选项禁止用户访问IE设置页面通常情况下,使用“管理模板”策略 锁定某些IE设置,就能够防止用户修改IE配置来绕过限制如果我们要设置IE的区域安全或者设置弹出屏蔽网址类表,可以同时使用这三种方 式进行控制,因为每一种方式具有不同的行为,支持不同的选项例如,使用“计算机 或用户配置—管理模板-Windows组件fInternet Explorer \Internet 控制面板安全页 面”下的策略对每个IE区域进行安全配置,并使用区域站点分配类表为用户在每个安全 区域中添加指定网站。
使用这种方式,用户就不能自行修改这些 IE设置了,但如果使用“IE维护”策略,虽然也可以进行想要的配置,但是用户可以修改配置使用“组策略 选项”,我们能够配置安全区域,但是不能为区域分配站点不过,”组策略选项”使 得我们可以访问IE属性中的“高级”标签页中是所有设置所以,这三种方式是互补 的,在实战中大家要灵活应用图7)图7本地组策略 Windows组件总结:本文从三个方面解析了 Windows®策略的安全特性,希望对大家认识组策 略,提升系统安全有所帮助其实,组策略作为 Wndow皎全工具并不能代替第三方安全 软件,它们之间也是互补的不过,我们倒可以对 Windows的组策略进行一番深入挖 掘,在更大程度上提升系统安全。