有人将组策略比作深藏在系统中的“大内高手”,笔者觉得这个比喻的非常恰当的。组策略确实有其他第三方安全软件所无法比拟的优势,这不仅是其与Windows系统的密切“关系”,更在于它强大的安全功能。除了可通过其进行系统配置,而且可对系统中几乎所有的软硬件实施管理,全方位地提升系统安全。到目前为止,似乎没有任何一款第三方软件可提供如果多的配置项。何况随着Windows系统的更新换代,组策略也是越来越强大了,比如在Windows 7中就增加了许多Vista没有的安全项。本文就以当前主流的Vista系统为例,就Windows组策略的安全特性进行一番比较深入的解析。
为了便于说明,笔者依据组策略的安全配置功能将其划分为三部分:系统核心安全配置、应用程序和设备限制、Internet Explorer(IE)安全。下面就以此为线索,分别谈谈组策略的安全特性。
1、系统核心安全配置
与系统核心安全相关的组策略设置项主要在“计算机配置→Windows配置→安全配置”节点下。
(1).账户策略
对于组策略的这一部分大家应该非常熟悉,因为在这里可以设置密码和账户的锁定策略。例如,在这部分组策略中,我们可以设置密码最小长度或者密码 需要包含复杂字符。如果在链接到域(如默认域策略)的组策略对象(GPO)中定义这些策略,域中的所有域控制器(DC)都会处理密码策略,并且组策略对象 会控制域用户账户的密码策略。当在链接到域的组策略对象中定义密码策略时,域中的所有工作站和成员服务器也会进行处理,并为这些系统中定义的本地账户设置账户策略。(图1)
图1 安全设置账户策略
大家知道,通过组策略只能定义一个域密码策略,不过,Windows Server 2008支持一套新的密码策略对象,这些在活动目录(AD)中定义的密码策略对象为单一域提供了更加细化的密码策略控制。
(2).本地策略
“本地策略” 下有三个安全策略项,通过配置可以实现Windows系统的各种安全需求。例如,其中的“审计策略”用于配置服务器的Windows安全事件日志收集哪些事件;“用户权限分配”用于配置哪些用户能通过“远程桌面”访问指定的服务器或工作站;使用“安全选项”配置以确定是否激活指定系统上的“管理员” 账户以及重命名“管理员”账户。
“审计策略”相当直接,允许我们控制Windows安全事件日志能收集哪些事件类型,在此指定成功或失败的事件,用于审计从活动目录访问到系统 对象访问(如文件和注册表键)的各种事件类型。根据组策略对象定义审计事件的链接位置,能激活对域控制器或成员服务器和工作站的审计。例如,如果将包含激 活目录服务访问审计的组策略对象链接到“域控制器”组织单元,则域中所有域控制器都将执行该策略,因此,所有对活动目录的访问都会作为访问请求被记录到域 控制器的日志中。(图2)
(责任编辑:武林网)
新闻热点
疑难解答
