windows系統(tǒng)都在更新、升級中，組策略當然也不例外。本文介紹的是Windows 2008和Vista中組策略的一些新特性。具體內(nèi)容如下所述。

自從Windows2000server,主要是靠組策略機制來管理的安全Windows網(wǎng)絡.幾年來,我倒覺得有組策略需要擴展,因為有很多方面根本無法用組策略來控制.所幸的是,微軟也承認組策略的相關缺陷,并已在Windows2008徹底修改組策略.在這一系列文章,我將討論一些新的組策略.如果你曾經(jīng)使用過組策略,在過去,你知道有很多組策略設置集成在操作系統(tǒng)仲.很難對組策略進行擴展。對于組策略的數(shù)字我很難給你一個確切的答案.因為一些補丁，更新包都帶來一些組策略的變化.我可以告訴你,Windowsserver2003servicepack1中提供了約1700組策略設置.這一數(shù)字已增至2400組策略,在Windowsvista和Windowsserver2008.既然如此,我根本沒有時間談每一組策略的設置來提供給你們.相反,我將嘗試談論更為重要的組策略設置.

病毒防護

近年來安全威脅很多，其中最多的一直是電子郵件病毒.大多數(shù)反病毒產(chǎn)品的設計與微軟outlook集合,其想法是,該軟件能夠在電子郵件附件被打開的時候被掃描.即便如此,windows一直缺乏一個統(tǒng)一的機制來確保殺毒軟件的安裝和正常工作.幸好,vista和2008現(xiàn)在已經(jīng)包含組策略設定，可以允許你在組策略級別加入你們組織/公司的防毒策略.

雖然我要向各位展示的是具體到windowsvista和windowsserver2008組策略設置,然后可以使它運行windowsxpservicepack2.你可以找到相關的防毒組策略相關設置,在組策略:UserConfiguration\AdministrativeTemplates\WindowsComponents\AttachmentManager

當用戶打開附件通知殺毒軟件

這個組策略的設置是當電子郵件附件的打開時來通知你的殺毒軟件時,殺毒軟件掃描電子郵件附件來查病毒.雖然這個組策略看起來很簡單,雖然只有兩個變量,在你使用前必須了解.首先,如果你的殺毒軟件是可以自動掃描電子郵件附件,在設置這個組策略是多余的.

還有其他就是，如果你設置啦這個組策略，但是你的殺毒軟件因為某個原因不能掃描插件，那Windows就會阻止附件被打開.

不要在文件附件中保留區(qū)域信息.

在IE一個主要的安全概念就是區(qū)域.IE允許管理員把分類域名放到各個區(qū)域,其建立在管理員信任多少站點.在windows2008和vista中，區(qū)域的狀態(tài)也可以作用在郵件上.當一份郵件包含附件，windows在ie的區(qū)域查找并比較發(fā)件人的域.這可以使用域信息來確定附件是否值得信賴.

然而這個特別的組策略設置看起來有點誤導.如果你啟用設置,區(qū)域信息會被忽略.如果你要確保windows利用區(qū)域信息來保護電子郵件附件,你必須禁用此策略的制定.

一個關系到安全的方面，你應該知道發(fā)件人的區(qū)域是作為文件屬性存儲的，這就意味著必須存儲在NTFS格式的分區(qū)空間上.如果存儲在FAT格式的分區(qū)上，區(qū)域信息不會保留，而且Windows不會報告失敗.

隱藏機制來去除區(qū)域信息

正常情況下,相當容易為用戶從文件移除帶相關屬性.他們只要這樣做,只是要點擊打開按鈕,找到該文件的屬性表.如果你想阻止用戶剝離資料檔案,啟用這個設置.這樣做將隱藏機制,任何一個用戶不可能消除區(qū)信息從一個文件

文件附件的默認風險級別

這個組策略的設置允許你給郵件附件一個默認設置，高，中或低風險級別.我會在以后談論關于風險界別.

高風險文件類型的清單

顯然,有些類型的文件更有可能更容易攜帶惡意代碼.例如exe文件或pif文件比pdf文件要惡意多拉.正因為如此,windows可以讓你對各種文件.

類型設置高,中或低風險

windows提供獨立的組策略來設置低,中等和高風險的文件類型.之所以微軟選擇這么做,是因為它允許更嚴格的安全設置,優(yōu)先考慮在低級別的安全設置,在發(fā)生沖突.假設舉例說,某一文件類型是在高風險和中等風險中.在這種情況下,高風險的策略將高于中期策略風險,和文件類型,將被視為高風險的.文件類型被視為高風險的將主宰其他設置.

那么如何區(qū)分一個文件類型屬于高風險。如果一個用戶想打開一個文件，windows窗口看起來不僅在文件類型判斷，而且也會在文件的來源是否來自禁止的區(qū)域來認定高風險，windows禁止用戶打開文件.如果文件來自互聯(lián)網(wǎng)，在用戶打開文件前windows會提示用戶預防風險.

低風險文件類型的清單

確定文件類型是否屬于低風險類型和高風險有點類似.但是有一點區(qū)別.首先不同的是,微軟已經(jīng)默認把某些類型的文件作為高風險的.如果設定其中的文件類型作為低風險,那么您會凌駕于windows的內(nèi)置設置,檔案將被視為低風險.當然,如果你已經(jīng)手工增加了一個文件型向高風險名單,然后把它添加到低風險名單該文件將被視為高風險,因為高風險名單優(yōu)于低風險清單.如果你是好奇,允許用戶開低風險檔案不管屬于哪個區(qū)域.

中度風險文件類型的清單

確定文件類型是否屬于中度風險類型和高低風險有點類似.唯一區(qū)別如果文件來自被禁止的區(qū)域或是internet，windows只是在用戶打開文件前顯示一個警告信息.

在這一系列文章的第一部分,我解釋過windowsvista和windowsserver2008比windowsserver2003和windowsxp多提供了數(shù)百個組策略設置.在這篇文章,我想繼續(xù)討論談起組策略設置是用來控制用戶賬戶和硬件設備.

我將要討論的組策略設置，都是位于計算機配置/Window設置/安全設置/本地策略/安全選項.正如你看到的圖1,安全選項,有太多的組策略設置我來討論.因此,我將只討論到最有用的或最有趣的策略的設置.

 

 

管理員帳戶狀態(tài)

在以往windows操作系統(tǒng)中的一個主要的安全弱點,工作站一直存在著一個本地管理員帳戶上.而windowsvista確實也存在本地管理員帳戶,帳戶:管理員帳戶狀態(tài)設置,可用于禁用管理員用戶.默認情況下,管理員帳戶被激活,但禁用它也十分簡單.在你禁用它之前，關于禁用的后果你要有所了解.如果你禁用管理員帳號,你將不能再次啟用他除非本地管理員帳戶的密碼符合最小密碼長度和復雜性要求.除非你再有一個管理員賬戶來重新設置它的密碼.

如果你發(fā)現(xiàn)自己被一臺機器鎖定,并沒有其他管理員帳戶可以重置密碼,那也沒關系.安全模式下本地管理員帳戶是總是啟用的.因此，你可以啟動機器到安全模式，用本地管理員登陸，然后重新設置密碼.這時你應該可以重新啟用本地管理員賬戶.

限制使用空密碼

一般來說，在你們的任何組織都不能有一個空密碼.限制空密碼只能控制臺登陸的策略設置來防止空密碼帶來的危險.這是這個策略的默認設置.它讓沒有密碼的用戶只能本地登陸,而不能通過遠程桌面等來登陸.

重命名Adminsitrator

十多年來,微軟公司一直在告訴我們重命名Adminsitrator是出于安全原因.問題是這樣,每一個工作站都有自己的管理員帳戶,必須手工改名.vista和2008服務器,提供了一個組策略設置,可以用來自動重命名dminsitrator帳戶.組策略:重命名Adminsitrator利用這一政策的制定,所有你需要做的就是進入了一個新的名稱為管理員帳戶,以及改變將會通過組策略應用到所有的機器.

審計備份和恢復

其中比較有趣的組策略設置是審計:審計使用數(shù)據(jù)備份和恢復的權(quán)限設置.如果你選擇使它(策略的設定默認),然后對備份和恢復操作進行審核.

之所以我說這是一個比較有趣的策略設置,是因為它既有其優(yōu)點和缺點.這項策略是好的,因為它允許您核實負責人備份系統(tǒng)真的是根據(jù)公司策略來執(zhí)行備份.

它還允許你查看到到任何恢復操作.缺點是,這個策略的制定使得每次備份都會產(chǎn)生大量日志是,為這意味著你的備份數(shù)據(jù)可能充斥大量的審計備份和還原的審計日志.當然,寫這樣一個日志條目使用少量的磁盤和cpu資源.如果你是寫入成千上萬的日志,那樣會可能嚴重影響性能.

可移動設備

許多公司根本不允許使用可移動設備.比如外接光驅(qū).這樣可以讓用戶攜帶未經(jīng)許可的數(shù)據(jù)帶出公司或復制敏感數(shù)據(jù)和刪除數(shù)據(jù),從公司來說.對可移動設備往往望而卻步.基于此微軟添加關于可移動設備的組策略:允許格式化和彈出可移動設備策略.正如其名稱所示,這項政策的制定,可用于防止用戶從格式化或彈出可移動設備.

打印機驅(qū)動

windows的設計方式,如果用戶要打印到網(wǎng)絡打印機,他們通常并不需要一個打印機驅(qū)動程序,也不需要下載驅(qū)動程序,在網(wǎng)絡上.當用戶使用UNC連接到打印機,是共享的一個打印機,打印機主機檢查用戶的工作站上,看它是否有一個合適的驅(qū)動程序.如果驅(qū)動不存在,則該打印機的主機發(fā)送一份打印機驅(qū)動機器到客戶機上去.

在大多數(shù)情況下,這恐怕是一個可取的行為,因為它允許用戶每次需要打印到不同的打印機,無需找技術(shù)人員,就能自己搞好.在較高的安全環(huán)境,雖然,它可能被視為高風險,讓用戶打印到尚未指定給他們的打印機.防止用戶打印到未授權(quán)給他們打印的打印機的方法之一是防止用戶安裝打印驅(qū)動.

你可以通過阻止用戶安裝打印機驅(qū)動程序的策略制定來阻止用戶安裝打印機驅(qū)動.工作站默認設置是允許安裝的,服務器是禁止安裝的.

如果你有準備在公司推行這個策略,有幾件事你必須記住.第一,這項政策的制定并不阻止用戶添加本地打印機,它只有阻止用戶安裝網(wǎng)絡打印機的驅(qū)動.另一件事要切記的是,這一政策不會阻止用戶打印到用戶本機已經(jīng)有驅(qū)動的一臺網(wǎng)絡打印機.最后,此設置并沒有對管理員不起作用.

安全是ms現(xiàn)在的首要關注，所以當開發(fā)windowsserver2008和vista的時候，一些新的組策略設置涉及很多方面的安全特性這不值得驚訝。首先我從這篇文章開始。這篇文章談論一個新的關于安全方面的組策略設置UserAccountProtection-UAC。

如果不是對UAC了解，其實UAC就是一個用來減少用戶過多特權(quán)來保護windows的安全特性。在windowsxp中，用戶經(jīng)常需要本地管理員來完成他們的任務。

在開發(fā)vista的時候，微軟花啦很長時間關注標準用戶實際需要的權(quán)限而不必要賦予本地管理員權(quán)限。舉例來說，在vista中一個普通用戶可以執(zhí)行安裝打印機，輸入WEP密碼，配置VPN連接，安裝應用更新等操作無需本地管理員權(quán)限。

UserAccountProtection不只是給予用戶額外權(quán)限，也是用來給本地管理員保護他們自己。即使有人實用本地管理員登陸，windows也會認為他是普通用戶。如果用戶想某些需要本地管理員權(quán)限的操作，windows會提示用戶是否臨時提升他的權(quán)限來執(zhí)行這項操作。

管理員也可以作為普通用戶登陸。如果一個普通用戶想執(zhí)行需要管理員權(quán)限的奧做，不需要實用RunAs命令，vista會自動提示用戶輸入一個可以執(zhí)行這項操作的憑證。

剛才我們講啦一下UAC的背景，現(xiàn)在我來看看關于UAC的組策略設置。和大部分我在這個系列討論的組策略設置一樣，只能在2008和vista上作用。因此2008面市而且基于2008的域控在你們的網(wǎng)絡環(huán)境，否則這些組策略只能作為本地組策略來執(zhí)行。

關于UAC的組策略在ComputerConfiguration|WindowsSettings|SecuritySettings|LocalPolicies|SecurityOptions中設置：

首先設置關于UAC的組策略就是UAC:管理員批準模式和內(nèi)置管理員設置。這個設置默認是開啟的，管理員被認為是一個普通用戶。任何需要管理員權(quán)限的操作windows都會提示用戶是否執(zhí)行。如果這個設置被關閉，vista就和XP一樣，管理員可以完成所有的操作無需提示。

下一項設置是UAC:管理員批準模式中管理員的提升提示行為。因為你已經(jīng)知道，vista是這樣設置的，沒有管理的統(tǒng)一是無法執(zhí)行管理的操作。這個選項允許你控制管理員的提升提示行為。具體的說明請看下圖，無提示提升不建議使用。

 

 

就像wvista可以限制管理員沒有允許不能做一項操作，可以限制一個普通用的能力，你可以控制當普通用戶操作一項需要提升權(quán)限的操作是否允許提升UAC：標準用戶的提升提示行為。具體說明看下圖 

雖然vista涉及執(zhí)行相關操作需要提升權(quán)限，但是有些操作能被設置不需要提升權(quán)限，一個例子就是安裝軟件。這個設置是:檢測應用程序行為并提示提升。

軟件安裝不提示提升似乎有點莫頓，但有一些情況使用比較適當。在一個管理環(huán)境，有些軟件通過組策略，Sms等等用來分發(fā)。在這種環(huán)境，就不需要在買個桌面提示提升行為。因此你可以禁止這個。

在前面的文章中，我講啦關于UAC的組策略如何工作的。雖然vista和2008比xp和2003提供啦數(shù)以百計的新組策略，但是UAC是其中最重要的組策略。因為UAC可以幫助用戶抵制惡意軟件的威脅。我們接著講組策略中關于UAC其他的設定。

UAC:只提升簽名并驗證的可執(zhí)行文件

如果你真的要想想，把UAC放在首位的原因是為啦防止未授權(quán)的代碼在網(wǎng)絡工作站運行。但是如何界定代碼是否授權(quán)又是個問題。

一般時候來界定代碼是否安全就是看代碼是否有數(shù)字簽名。大部分的軟件不是所有的都有數(shù)字簽名來證明代碼是由發(fā)行者發(fā)行的，不是由別人修改過的。數(shù)字簽名也證明了代碼并沒有被改變，因為這是簽名。

只因為一部分代碼簽名并不一定意味著該守則是值得信賴。對我們來說是否信任該數(shù)字簽名仍然是個問題。當你決定信任該數(shù)字簽名該數(shù)字簽名的發(fā)布者將添加到windows信任當中。

這就是UAC:只提升簽名并驗證的可執(zhí)行文件。當你啟用它后，這個組策略的設置進行pki簽名關注任何需要提升權(quán)限的交互的應用程序。如果他的數(shù)字簽名已經(jīng)被允許，則提升權(quán)限得到允許。反之則拒絕。

還有一點需要注意的是：在ms文檔中說明這個策略只對交互的應用程序起作用，對服務和腳本不會起作用如果文檔正確的話。

欲知更多windows系統(tǒng)組策略的新特性，請點擊windows 2000和vista系統(tǒng)組策略的新特性二。

【編輯推薦】

1. 組策略管理控制臺概述
2. 巧用組策略除去軟件廣告
3. 組策略管理器被禁用如何進行解鎖？
4. 如何恢復WindowsXP Home版操作系統(tǒng)組策略？
5. 利用組策略如何修改活動目錄域緩存登錄次數(shù)？