[[91314]]

【51CTO精選譯文】在企業(yè)當(dāng)中，最常見的微軟Windows計算機配置方案就是采用組策略。在大多數(shù)情況下，組策略代表著一整套設(shè)置方案，能夠直接被納入目標(biāo)計算機的注冊表從而實現(xiàn)安全設(shè)置及其它操作活動。組策略既可以由Active Directory負責(zé)向下推送（實際上是由客戶端提?。部梢酝ㄟ^配置本地組策略實現(xiàn)。

利用組策略來設(shè)定并配置安全設(shè)置的能力一直都是Windows計算機的一大優(yōu)勢所在。沒錯，當(dāng)下的很多操作系統(tǒng)都提供類似的管理系統(tǒng)，但Windows無疑是這類方案的先驅(qū)者——組策略早在1998年10月發(fā)布的Windows NT 4.0 SP4上就已經(jīng)出現(xiàn)了。哦，我還記得利用secedit.exe進行本地組策略配置的時光。基于Active Directory的組策略機制直到2000年2月Windows 2000發(fā)布時才正式誕生，但十余年的實踐經(jīng)驗證明，這是一套出色的企業(yè)計算機安全管理方案。

我自1990年開始就一直從事Windows計算機安全領(lǐng)域的相關(guān)工作，多年的從業(yè)經(jīng)歷也讓我不斷跟組策略打交道。在為客戶服務(wù)的時候，我最常做的就是幫助他們在每個組策略對象當(dāng)中進行仔細檢查各項組策略設(shè)置。在Windows 8.1與Windows Server 2012 R2中，兩款操作系統(tǒng)各自擁有超過3700項設(shè)置。至于與IE相關(guān)的設(shè)定或者針對微軟Office等應(yīng)用程序的組策略方案更是成百上千，我?guī)缀鯚o法準(zhǔn)確計算出其具體數(shù)量。

但今天我要跟大家分享一個小秘密：我只需要關(guān)注其中十項設(shè)置，就能基本搞定安全問題。

并不是說只靠這十項設(shè)置就可以高枕無憂，畢竟每和項經(jīng)過合理配置的組策略都能讓風(fēng)險水平有所降低。我只是希望與大家分享自己的一點心得，幫助各位了解能夠決定大部分風(fēng)險水平的這十種設(shè)置——其它設(shè)置在它們面前只能算是錦上添花。當(dāng)我面對一種自己此前從未見過的新型組策略時，第一件事就是重新回顧下面要提到的這十項基本設(shè)置。只要它們得到合理配置，我就可以松一口氣——因為我知道客戶基本上做好了設(shè)置工作，我的任務(wù)也會變得比較簡單。

十大Windows組策略設(shè)置

只要將這一項設(shè)置處理好，大家就可以算是在保障Windows環(huán)境安全性的道路上取得了階段性勝利。這十項設(shè)置全部位于Computer Configuration\Windows Setting\Security Settings之下。

對本地管理員賬戶進行重新命名：如果惡意人士不知道管理員賬戶的名稱，則很可能需要花掉大量時間才能找到攻擊突破口。

禁用訪客賬戶：我們所作出的最糟糕的安全決定之一就是啟用訪客賬戶。它能夠?qū)indows計算機進行相當(dāng)程度的訪問，同時又不設(shè)密碼——說到這里，相信大家已經(jīng)明白我的意思了。

禁用LM與NTLM v1：LM（即局域網(wǎng)管理器）與NTLMv1認證協(xié)議存在漏洞。請務(wù)必使用NTLMv2與Kerberos。在默認情況下，大部分Windows系統(tǒng)都會接收全部四種協(xié)議。除非大家仍然在使用陳舊不堪而且沒有安裝更新補丁的老爺系統(tǒng)（也就是超過十年的系統(tǒng)版本），否則我們真的沒什么理由非要使用早期協(xié)議版本。

禁用LM散列存儲：LM密碼散列極易被轉(zhuǎn)換成明文密碼內(nèi)容，因此絕對不要允許Windows系統(tǒng)將其儲存在磁盤上——黑客轉(zhuǎn)儲工具會輕松地將其找出來。

最低密碼長度值：我們應(yīng)該將密碼的最低長度值設(shè)置在12位或者更高。不要滿足于區(qū)區(qū)8位的系統(tǒng)密碼（這也是我最常見到的密碼長度）。Windows密碼即使達到12位長度，其安全效果其實也不容樂觀——真正的安全性要到15位才有保障。在Windows驗證領(lǐng)域，15位是個魔術(shù)般的臨界點。只要能夠達到這樣的長度，所有形式的后門都會被緊緊關(guān)閉。而低于15位的任何密碼長度設(shè)置都等于是在增加不必要的風(fēng)險。

最長密碼使用期限：大部分密碼的使用周期都不應(yīng)該超過九十天。不過如果大家選擇了15位乃至更長的密碼內(nèi)容，那么一年的使用周期也是可以接受的。已經(jīng)有很多公共以及私人研究證實，長度在12個字符乃至以上的密碼的破解時耗更長，因此在以九十天為基準(zhǔn)的密碼輪換機制下安全性也相對更好。

事件日志：啟用事件日志，利用它來記錄所有成功以及失敗的操作流程。正如我之前多次提到，如果堅持關(guān)注事件日志內(nèi)容，大部分計算機犯罪活動的受害者本應(yīng)該更早發(fā)現(xiàn)端倪、進而防止嚴(yán)重違規(guī)事件的發(fā)生。

禁用匿名SID枚舉：SID（即安全標(biāo)識符）是針對Windows系統(tǒng)或者Active Directory之下每一個用戶、群組以及其它安全主體所分配的數(shù)字。在早期系統(tǒng)版本當(dāng)中，未通過身份驗證的用戶可以通過查詢這些數(shù)字來判斷用戶（例如管理員）及群組的重要性，而這一特性也使其成為黑客們的最愛。

不要讓匿名賬戶駐留在每個群組當(dāng)中：這兩種設(shè)置一旦出現(xiàn)失誤，就會導(dǎo)致匿名（或者為空）黑客以遠超權(quán)限范圍的方式訪問系統(tǒng)。自2000年以來，這些設(shè)置就已經(jīng)被默認禁用——大家要做的就是確認自己沒有對默認方案作出改動。

啟用用戶賬戶控制：最后，自從Windows Vista開始，UAC機制就成了保護網(wǎng)絡(luò)瀏覽者們的頭號工具。我發(fā)現(xiàn)很多客戶會將這項功能關(guān)閉，僅僅是為了能讓某些陳舊應(yīng)用的兼容性問題不再每次都進行詢問。目前大部分這類問題已經(jīng)得到解決，剩下尚未解決的部分在微軟提供的免費應(yīng)用兼容性故障排查工具面前也不再令人頭痛?？傊?，如果大家禁用了UAC，那么相當(dāng)于遠離現(xiàn)代操作系統(tǒng)而重新回到Windows NT時代——這可不太明智。

再來告訴大家一個好消息：前面提到的所有設(shè)置在Windows Vista/Server 2008以及更新版本當(dāng)中都會以默認狀態(tài)調(diào)整到位。大部分Windows安全指南資料都希望指導(dǎo)大家如何在現(xiàn)有基礎(chǔ)之上進一步提升安全保護效果。但根據(jù)我個人的感受，目前各位最好別去輕易改動這些設(shè)置。每一次發(fā)現(xiàn)問題，都是因為用戶改變了其初始運作方式、從而導(dǎo)致安全效果遭到削弱——這絕對不是什么好事。

在大家著手梳理組策略之前，還有其它一些重要事項值得關(guān)注，例如完善補丁安裝以及預(yù)防用戶安裝木馬程序等。不過在搞定了這些工作之后，確保組策略配置的正確有效就是邁向下一個輝煌成功的起點。

如果各位想利用最少的資源實現(xiàn)最具性價比的安全保護效果，那么請拋開那3700多種設(shè)置——只需以上十項，大家的業(yè)務(wù)環(huán)境就將擁有相當(dāng)可靠的運行狀態(tài)。

原文鏈接：http://www.infoworld.com/t/security/the-10-windows-group-policy-settings-you-need-get-right-231623

原文標(biāo)題：The 10 Windows group policy settings you need to get right