升Win d o w s 系统安全性的组策略设置
有人将组策略比作深藏在系统中的“大内高手”,笔者觉得这个比喻的非常恰当的。组策略确实有其他第三方安全软件所无法比拟的优势,这不仅是其与Win dows系统的密切
“关系”,更在于它强大的安全功能。除了可通过其进行系统配置,而且可对系统中几乎所有的软硬件实施管理,全方位地提升系统安全。到目前为止,似乎没有任何一款第三方软件可提供如果多的配置项。何况随着Win dows系统的更新换代,组策略也是越来越强大了,比如在Windows 7中就增加了许多Vista没有的安全项。本文就以当前主流的Vista系统为例,就Windows组策略的安全特性进行一番比较深入的解析。
为了便于说明,笔者依据组策略的安全配置功能将其划分为三部分:系统核心安全配置、应用程序和设备限制、In ternet Explorer(IE)安全。下面就以此为线索,分别谈谈组策略的安全特性。
1、系统核心安全配置
与系统核心安全相关的组策略设置项主要在“计算机配置f Win dows配置—安全配置”节点下。
(1) .账户策略
对于组策略的这一部分大家应该非常熟悉,因为在这里可以设置密码和账户的锁定策略。例如,在这部分组策略中,我们可以设置密码最小长度或者密码需要包含复杂字符。如果在链接到域(如默认域策略)的组策略对象(GPO冲定义这些策略,域中的所有域控制器(DC)都会处理密码策略,并且组策略对象会控制域用户账户的密码策略。当在链接到域的组策略对象中定义密码策略时,域中的所有工作站和成员服务器也会进行处理, 并为这些系统中定义的本地账户设置账户策略。(图1)
图1安全设置账户策略
大家知道,通过组策略只能定义一个域密码策略,不过,WindowsServer 2008支持一套新的密码策略对象,这些在活动目录(AD)中定义的密码策略对象为单一域提供了更加细化的密码策略控制。
(2) .本地策略
“本地策略”下有三个安全策略项,通过配置可以实现Windows系统的各种安全需求。例如,其中的“审计策略”用于配置服务器的Windows安全事件日志收集哪些事件;“用户权限分配”用于配置哪些用户能通过“远程桌面”访问指定的服务器或工作站;使用“安全选项”配置以确定是否激活指定系统上的“管理员”账户以及重命名“管理员”账户。
“审计策略”相当直接,允许我们控制Windows安全事件日志能收集哪些事件类型,在此指定成功或失败的事件,用于审计从活动目录访问到系统对象访问(如文件和注册表键)的各种事件类型。根据组策略对象定义审计事件的链接位置,能激活对域控制器或成员服务器和工作站的审计。例如,如果将包含激活目录服务访问审计的组策略对象链接到“域控制器”组织单元,则域中所有域控制器都将执行该策略,因此,所有对活动目录的访问都会作为访问请求被记录到域控制器的日志中。(图2)
图 2 安全设置本地策略
“用户权限分配”是组策略中另一个强大的安全工具,能用于控制谁能在指定系统上做什么事情。用户权限的例子包括“本地登录”权限,用于控制谁能交互式登录服务器或工作站的控制台; “加载和卸载设备驱动”权限,用于赋予组或用户安装设备驱动的权限。例如安装打印机和显示驱动通过创建链接到域级别的组策略对象,并为“认证用户”组赋予“拒绝本地登录”权限,能有效防止活动目录域中的所有用户登录自己的工作站。当然,这个例子不是为了说明如何进行破坏,而是要说明“用户权限分配”是如何强大,并在需要使用时必须小心谨慎。同其它策略设置一样,我们只需确保设置用户权限的组策略对象只被应用到所希望使用的计算机上就可以了,但要针对正确的用户组赋予或撤销权限。需要说明的是,“用户权限分配”的权限列表会因Win dows版本的不同而哟变化。有时候,运行在Winctows Vista 上的组策略对象定义用户权限,该组策略对象被应用到Windows XP系统上时,由于WindowSX P可能并不了解该用户权限,所以将在执行策略时忽略该策略。(图3)
图 3 本地策略有户权限分配
“本地策略”的最后一部分是“安全选项”,位于“本地策略安全选项”中,由于这些策略定义了控制与系统安全相关的配置行为,因此与系统安全攸关。比如,在此我们可以配置WindowsVista的“用户账户控制(UAC)”。“安全选项”中最有意思的应该是其中出现的安全选项列表。它是由一个名为sceregvl.inf 的文件进行配置的,该文件位于%windir%\inf 文件夹中。打开该文件后,可以看到“安全选项”中定义的每一条
图 4 增加希望组策略进行控制的设置策略,并且可以编辑这个文件,增加希望组策略进行控制的设置。(图4)
(3). 受限制组的策略
“受限制组”策略的目的是提供一种控制机制,控制成员服务器和工作站上的本地组成员。“受限制组”有两种操作模式:“成员”和“作为成员”。“成员”模式是最严格的模式,只有列出的用户和组是其中的成员,所有其他组或用户都被移除。与之相反,“作为成员”模式允许为其他组添加用户和组,也就是说,我们能在任何计算机上创建一条策略,“总是将桌面管理员组作为本地管理员组的成员”,并加以执行,在这种情况下,“桌面管理员”会被添加到本地“管理员”组,但是不会影响其他的组成员。
(4) .系统服务策略
“系统服务”策略允许我们控制在指定计算机上启动哪些Win dows服务,还可以控制服务的权限。例如,能够使用这些策略只允许服务器管理员停止和启动所有作为打印服务器的Windows服务器上的“打印池”服务,并能使用“系统服务”策略赋予指定用户组执行某些任务的权限,而不必需要成为系统的管理员才能进行访问。此外,位于“计算机配置一选项一服务”中的“组策略选项”也提供了控制系统服务的策略。这个功能还提供了对于服务配置的更多控制,包括能够修改一系列系统上的服务账户和服务账户密码。
(5) .注册表和文件系统策略
这些策略能够集中分别管理文件系统和注册表键的权限。例如,如果想锁定所有桌面系统中的某个文件或文件夹,比如为了避免恶意软件轻易进行修改,需要锁定工作站的HOST 文件,在这种情况,可以使用“文件系统”策略集中定义所有计算机上执行该策略的文件权限和权限继承。但是一般来说,文件系统和注册表安全策略作为一种集中管理文件系统和注册表安全的方式并不常用,而且如果误用会造成问题。这些策略对于大型的文件和文件夹树结构或注册表键的重新分配权限并不适用,在组策略处理过程中并不能很好地执行,并且在执行过程中已知会降低系统性能。由于默认情况下,即使没有发生策略变更,安全策略每16 个小时也会自动刷新,因此这个问题就更加严重。如
果需要加强文件系统或注册表权限,笔者建议使用其他方法,例如脚本、Windows安全模板或是第三方安全工具。也就是说,如果只是修改少量文件、文件夹或注册表键的权限,确保这些关键资源受到保护。
2、应用程序和设备限制
(1). 应用程序限制
应用程序限制相对应组策略来说就是“软件限制策略(SRP)”,这些策略位于“计算机和用户配置-Wind0ws设置安全设置一软件限制策略”节点。
SRP可以有三种不同的运行模式:默认模式允许所有代码执行,管理员只对那些明恶意的程序或脚本进行限制,俗称“黑名单”。这种方式虽然对于管理来说非常容易,但是并不安全,因为对于一些未知的程序或者脚本管理员无法进行判断和处理。第二种模式称为“白名单”,是使用SRP最安全的方式,但是需要管理员做更多的管理工作,因为要创建各种规则。最后一种模式,称为“基本用户”,在WindowsVista 中首先出现。当设置基本用户的默认级别时,管理员运行的所有进程会被剥离管理令牌,强制这些进程作为非管理员用户运行。当我们不希望管理员使用其管理账户运行某些进程时,这种方式非常有用。(图5)
图5 应用程序限制
对于这一部分内容,如果大家感兴趣可以参考《详解Windows7 下的程序运行控制》() 。该文以Windows7 系统为例介绍了通过其组策略对应用程序的安装和运行进行限制,
策略方法和Vista下的类似,笔者就不赘述了
(2).设备限制
所谓设备限制,主要指存储限制即对移动存储设备的限制。我们知道,在企业环境中,通过移动设备进行窃密是比较普遍的。从Vista开始,微软在组策略中提供了对移
动设备的限制。其组策略项位于“计算机(或用户配置)一管理模板一系统一可移动存储访问”节点下,在此我们可以设置对任何可移动存储设备的拒绝读或写(或可读写)访问,
支持的可移动存储设备包括U盘、可写CD和DVD以及可移动硬盘。此外,与设备限
制相关,我们话你可以通过组策略隐藏磁盘或者限制用户对磁盘分区的访问,以保护磁盘数据,其设置项在“本地计算机策略f用户配置f管理模板f Win dows组件f Win dows
资源管理器”节点下。至于如何设置大家可以参考文章《Vista组策略深度挖掘实现非常任务》()。(图6)
图6设备限制
3、IE安全
之所以把IE的组策略项单独拿出来分析,不仅仅因为IE是Windows系统集成的浏
览器,更主要是因为它使用最广泛的浏览器软件,同时也是Win dows系统中面临安全威
胁最大的系统组件。在Vista的组策略中,我们可以在三个不同的组策略节点来配置IE。这三个节点分别是:“用户配置f Windows设置f IE维护策略”即“ IE维护策略”;“计
算机或用户配置f管理模板f Win dows组件f In ternet Explorer ”即“管理模板策略”;“用户配置f选项f管理控制面板f In ternet设置”即“组策略选项”功能。
其实,上述每种方式在配置IE时都各有优缺点。例如,要配置IE代理或者首页,可以使用“ IE维护策略”或“组策略选项”。笔者建议大家尽量使用“组策略选项”,因为在域环境下“IE维护”在向客户端分发策略时并不可靠。需要说明的是,通过“组策略选项”或者“IE维护”修改IE配置,并不能防止用户更改。所以,我们一般要使用“管理模板”策略选项禁止用户访问IE设置页面。通常情况下,使用“管理模板”策略锁定某些IE设置,就能够防止用户修改IE配置来绕过限制。
如果我们要设置IE的区域安全或者设置弹出屏蔽网址类表,可以同时使用这三种方
式进行控制,因为每一种方式具有不同的行为,支持不同的选项。例如,使用“计算机或用户配置f管理模板f Win dows组件f In ternet Explorer \I nternet 控制面板安全页面”下的策略对每个IE区域进行安全配置,并使用区域站点分配类表为用户在每个安全区域中添加指定网站。使用这种方式,用户就不能自行修改这些IE设置了,但如果使用“IE维护”策略,虽然也可以进行想要的配置,但是用户可以修改配置。使用“组策略选项”,我们能够配置安全区域,但是不能为区域分配站点。不过,“组策略选项”使得我们可以访问IE属性中的“高级”标签页中是所有设置。所以,这三种方式是互补的,在实战中大家要灵活应用。(图7)
图7本地组策略Windows组件
总结:本文从三个方面解析了Win dows组策略的安全特性,希望对大家认识组策略, 提升系统安全有所帮助。其实,组策略作为Wndow安全工具并不能代替第三方安全软件, 它们之间也是互补的。不过,我们倒可以对Win dows的组策略进行一番深入挖掘,在更大程度上提升系统安全。