1、有人將組組策略比比作深藏藏在系統(tǒng)統(tǒng)中的“大內(nèi)高高手”，筆者者覺(jué)得這這個(gè)比喻喻的非常常恰當(dāng)?shù)牡摹＝M策策略確實(shí)實(shí)有其他他第三方方安全軟軟件所無(wú)無(wú)法比擬擬的優(yōu)勢(shì)勢(shì)，這不不僅是其其與Wiindoows系系統(tǒng)的密密切“關(guān)系”，更在在于它強(qiáng)強(qiáng)大的安安全功能能。除了了可通過(guò)過(guò)其進(jìn)行行系統(tǒng)配配置，而而且可對(duì)對(duì)系統(tǒng)中中幾乎所所有的軟軟硬件實(shí)實(shí)施管理理，全方方位地提提升系統(tǒng)統(tǒng)安全。到目前前為止，似乎沒(méi)沒(méi)有任何何一款第第三方軟軟件可提提供如果果多的配配置項(xiàng)。何況隨隨著Wiindoows系系統(tǒng)的更更新?lián)Q代代，組策策略也是是越來(lái)越越強(qiáng)大了了，比如如在Wiindoows 7中就就增加了了許多VVistta沒(méi)有有的安全全項(xiàng)

2、。本本文就以以當(dāng)前主主流的VVistta系統(tǒng)統(tǒng)為例，就Wiindoows組組策略的的安全特特性進(jìn)行行一番比比較深入入的解析析。 為了了便于說(shuō)說(shuō)明，筆筆者依據(jù)據(jù)組策略略的安全全配置功功能將其其劃分為為三部分分：系統(tǒng)統(tǒng)核心安安全配置置、應(yīng)用用程序和和設(shè)備限限制、IInteerneet EExplloreer(IIE)安安全。下下面就以以此為線線索，分分別談?wù)務(wù)劷M策略略的安全全特性。1、系統(tǒng)核核心安全全配置與系系統(tǒng)核心心安全相相關(guān)的組組策略設(shè)設(shè)置項(xiàng)主主要在“計(jì)算機(jī)機(jī)配置Winndowws配置置安全配配置”節(jié)點(diǎn)下下。(11).賬賬戶(hù)策略略對(duì)于于組策略略的這一一部分大大家應(yīng)該該非常熟熟悉，因因?yàn)樵谶@這里

3、可以以設(shè)置密密碼和賬賬戶(hù)的鎖鎖定策略略。例如如，在這這部分組組策略中中，我們們可以設(shè)設(shè)置密碼碼最小長(zhǎng)長(zhǎng)度或者者密碼需需要包含含復(fù)雜字字符。如如果在鏈鏈接到域域(如默默認(rèn)域策策略)的的組策略略對(duì)象(GPOO)中定定義這些些策略，域中的的所有域域控制器器(DCC)都會(huì)會(huì)處理密密碼策略略，并且且組策略略對(duì)象會(huì)會(huì)控制域域用戶(hù)賬賬戶(hù)的密密碼策略略。當(dāng)在在鏈接到到域的組組策略對(duì)對(duì)象中定定義密碼碼策略時(shí)時(shí)，域中中的所有有工作站站和成員員服務(wù)器器也會(huì)進(jìn)進(jìn)行處理理，并為為這些系系統(tǒng)中定定義的本本地賬戶(hù)戶(hù)設(shè)置賬賬戶(hù)策略略。(圖圖1) 圖1 安全設(shè)設(shè)置賬戶(hù)戶(hù)策略大家家知道，通過(guò)組組策略只只能定義義一個(gè)域域密碼策策略

4、，不不過(guò)，WWinddowss Seerveer 220088支持一一套新的的密碼策策略對(duì)象象，這些些在活動(dòng)動(dòng)目錄(AD)中定義義的密碼碼策略對(duì)對(duì)象為單單一域提提供了更更加細(xì)化化的密碼碼策略控控制。(2).本地策策略“本本地策略略” 下有有三個(gè)安安全策略略項(xiàng)，通通過(guò)配置置可以實(shí)實(shí)現(xiàn)Wiindoows系系統(tǒng)的各各種安全全需求。例如，其中的的“審計(jì)策策略”用于配配置服務(wù)務(wù)器的WWinddowss安全事事件日志志收集哪哪些事件件;“用戶(hù)權(quán)權(quán)限分配配”用于配配置哪些些用戶(hù)能能通過(guò)“遠(yuǎn)程桌桌面”訪問(wèn)指指定的服服務(wù)器或或工作站站;使用用“安全選選項(xiàng)”配置以以確定是是否激活活指定系系統(tǒng)上的的“管理員員” 賬

5、戶(hù)戶(hù)以及重重命名“管理員員”賬戶(hù)。“審審計(jì)策略略”相當(dāng)直直接，允允許我們們控制WWinddowss安全事事件日志志能收集集哪些事事件類(lèi)型型，在此此指定成成功或失失敗的事事件，用用于審計(jì)計(jì)從活動(dòng)動(dòng)目錄訪訪問(wèn)到系系統(tǒng)對(duì)象象訪問(wèn)(如文件件和注冊(cè)冊(cè)表鍵)的各種種事件類(lèi)類(lèi)型。根根據(jù)組策策略對(duì)象象定義審審計(jì)事件件的鏈接接位置，能激活活對(duì)域控控制器或或成員服服務(wù)器和和工作站站的審計(jì)計(jì)。例如如，如果果將包含含激活目目錄服務(wù)務(wù)訪問(wèn)審審計(jì)的組組策略對(duì)對(duì)象鏈接接到“域控制制器”組織單單元，則則域中所所有域控控制器都都將執(zhí)行行該策略略，因此此，所有有對(duì)活動(dòng)動(dòng)目錄的的訪問(wèn)都都會(huì)作為為訪問(wèn)請(qǐng)請(qǐng)求被記記錄到域域控制器器的日

6、志志中。(圖2)圖22 安全全設(shè)置本本地策略略“用用戶(hù)權(quán)限限分配”是組策策略中另另一個(gè)強(qiáng)強(qiáng)大的安安全工具具，能用用于控制制誰(shuí)能在在指定系系統(tǒng)上做做什么事事情。用用戶(hù)權(quán)限限的例子子包括“本地登登錄”權(quán)限，用于控控制誰(shuí)能能交互式式登錄服服務(wù)器或或工作站站的控制制臺(tái);“加載和和卸載設(shè)設(shè)備驅(qū)動(dòng)動(dòng)”權(quán)限，用于賦賦予組或或用戶(hù)安安裝設(shè)備備驅(qū)動(dòng)的的權(quán)限。例如安安裝打印印機(jī)和顯顯示驅(qū)動(dòng)動(dòng) 通過(guò)過(guò)創(chuàng)建鏈鏈接到域域級(jí)別的的組策略略對(duì)象，并為“認(rèn)證用用戶(hù)”組賦予予“拒絕本本地登錄錄”權(quán)限，能有效效防止活活動(dòng)目錄錄域中的的所有用用戶(hù)登錄錄自己的的工作站站。當(dāng)然然，這個(gè)個(gè)例子不不是為了了說(shuō)明如如何進(jìn)行行破壞，而是要要說(shuō)

7、明“用戶(hù)權(quán)權(quán)限分配配”是如何何強(qiáng)大，并在需需要使用用時(shí)必須須小心謹(jǐn)謹(jǐn)慎。同同其它策策略設(shè)置置一樣，我們只只需確保保設(shè)置用用戶(hù)權(quán)限限的組策策略對(duì)象象只被應(yīng)應(yīng)用到所所希望使使用的計(jì)計(jì)算機(jī)上上就可以以了，但但要針對(duì)對(duì)正確的的用戶(hù)組組賦予或或撤銷(xiāo)權(quán)權(quán)限。需需要說(shuō)明明的是，“用戶(hù)權(quán)權(quán)限分配配”的權(quán)限限列表會(huì)會(huì)因Wiindoows版版本的不不同而喲喲變化。有時(shí)候候，運(yùn)行行在Wiincttowss Viistaa上的組組策略對(duì)對(duì)象定義義用戶(hù)權(quán)權(quán)限，該該組策略略對(duì)象被被應(yīng)用到到Winndowws XXP系統(tǒng)統(tǒng)上時(shí)，由于WWinddowssP可能能并不了了解該用用戶(hù)權(quán)限限，所以以將在執(zhí)執(zhí)行策略略時(shí)忽略略該策略略

8、。(圖圖3)圖33 本地地策略有有戶(hù)權(quán)限限分配“本地策策略”的最后后一部分分是“安全選選項(xiàng)”，位于于“本地策策略安全全選項(xiàng)”中，由由于這些些策略定定義了控控制與系系統(tǒng)安全全相關(guān)的的配置行行為，因因此與系系統(tǒng)安全全攸關(guān)。比如，在此我我們可以以配置WWinddowss Viistaa的“用戶(hù)賬賬戶(hù)控制制(UAAC)”。“安全選選項(xiàng)”中最有有意思的的應(yīng)該是是其中出出現(xiàn)的安安全選項(xiàng)項(xiàng)列表。它是由由一個(gè)名名為sccereegvll.innf的文文件進(jìn)行行配置的的，該文文件位于于%wiindiir%inff文件夾夾中。打打開(kāi)該文文件后，可以看看到“安全選選項(xiàng)”中定義義的每一一條圖44 增加加希望組組策略進(jìn)

9、進(jìn)行控制制的設(shè)置置策略略，并且且可以編編輯這個(gè)個(gè)文件，增加希希望組策策略進(jìn)行行控制的的設(shè)置。(圖44)(3).受限制制組的策策略“受受限制組組”策略的的目的是是提供一一種控制制機(jī)制，控制成成員服務(wù)務(wù)器和工工作站上上的本地地組成員員。“受限制制組”有兩種種操作模模式：“成員”和“作為成成員”。“成員”模式是是最嚴(yán)格格的模式式，只有有列出的的用戶(hù)和和組是其其中的成成員，所所有其他他組或用用戶(hù)都被被移除。與之相相反，“作為成成員”模式允允許為其其他組添添加用戶(hù)戶(hù)和組，也就是是說(shuō)，我我們能在在任何計(jì)計(jì)算機(jī)上上創(chuàng)建一一條策略略，“總是將將桌面管管理員組組作為本本地管理理員組的的成員”，并加加以執(zhí)行行，在

10、這這種情況況下，“桌面管管理員”會(huì)被添添加到本本地“管理員員”組，但但是不會(huì)會(huì)影響其其他的組組成員。(44).系系統(tǒng)服務(wù)務(wù)策略“系系統(tǒng)服務(wù)務(wù)”策略允允許我們們控制在在指定計(jì)計(jì)算機(jī)上上啟動(dòng)哪哪些Wiindoows服服務(wù)，還還可以控控制服務(wù)務(wù)的權(quán)限限。例如如，能夠夠使用這這些策略略只允許許服務(wù)器器管理員員停止和和啟動(dòng)所所有作為為打印服服務(wù)器的的Winndowws服務(wù)務(wù)器上的的“打印池池”服務(wù)，并能使使用“系統(tǒng)服服務(wù)”策略賦賦予指定定用戶(hù)組組執(zhí)行某某些任務(wù)務(wù)的權(quán)限限，而不不必需要要成為系系統(tǒng)的管管理員才才能進(jìn)行行訪問(wèn)。此外，位于“計(jì)算機(jī)機(jī)配置選項(xiàng)服務(wù)”中的“組策略略選項(xiàng)”也提供供了控制制系統(tǒng)服服務(wù)的

11、策策略。這這個(gè)功能能還提供供了對(duì)于于服務(wù)配配置的更更多控制制，包括括能夠修修改一系系列系統(tǒng)統(tǒng)上的服服務(wù)賬戶(hù)戶(hù)和服務(wù)務(wù)賬戶(hù)密密碼。(5).注冊(cè)冊(cè)表和文文件系統(tǒng)統(tǒng)策略這些些策略能能夠集中中分別管管理文件件系統(tǒng)和和注冊(cè)表表鍵的權(quán)權(quán)限。例例如，如如果想鎖鎖定所有有桌面系系統(tǒng)中的的某個(gè)文文件或文文件夾，比如為為了避免免惡意軟軟件輕易易進(jìn)行修修改，需需要鎖定定工作站站的HOOSTSS文件，在這種種情況，可以使使用“文件系系統(tǒng)”策略集集中定義義所有計(jì)計(jì)算機(jī)上上執(zhí)行該該策略的的文件權(quán)權(quán)限和權(quán)權(quán)限繼承承。但是是一般來(lái)來(lái)說(shuō)，文文件系統(tǒng)統(tǒng)和注冊(cè)冊(cè)表安全全策略作作為一種種集中管管理文件件系統(tǒng)和和注冊(cè)表表安全的的方式并

12、并不常用用，而且且如果誤誤用會(huì)造造成問(wèn)題題。這些些策略對(duì)對(duì)于大型型的文件件和文件件夾樹(shù)結(jié)結(jié)構(gòu)或注注冊(cè)表鍵鍵的重新新分配權(quán)權(quán)限并不不適用，在組策策略處理理過(guò)程中中并不能能很好地地執(zhí)行，并且在在執(zhí)行過(guò)過(guò)程中已已知會(huì)降降低系統(tǒng)統(tǒng)性能。由于默默認(rèn)情況況下，即即使沒(méi)有有發(fā)生策策略變更更，安全全策略每每16個(gè)個(gè)小時(shí)也也會(huì)自動(dòng)動(dòng)刷新， 因此此這個(gè)問(wèn)問(wèn)題就更更加嚴(yán)重重。如果果需要加加強(qiáng)文件件系統(tǒng)或或注冊(cè)表表權(quán)限，筆者建建議使用用其他方方法，例例如腳本本、Wiindoows安安全模板板或是第第三方安安全工具具。也就就是說(shuō)，如果只只是修改改少量文文件、文文件夾或或注冊(cè)表表鍵的權(quán)權(quán)限，確確保這些些關(guān)鍵資資源受到到保

13、護(hù)。2、應(yīng)用用程序和和設(shè)備限限制(11).應(yīng)應(yīng)用程序序限制應(yīng)用用程序限限制相對(duì)對(duì)應(yīng)組策策略來(lái)說(shuō)說(shuō)就是“軟件限限制策略略(SRRP)”，這些些策略位位于“計(jì)算機(jī)機(jī)和用戶(hù)戶(hù)配置Winnd0wws設(shè)置置安全設(shè)設(shè)置軟件限限制策略略”節(jié)點(diǎn)。SRRP可以以有三種種不同的的運(yùn)行模模式：默默認(rèn)模式式允許所所有代碼碼執(zhí)行，管理員員只對(duì)那那些明惡惡意的程程序或腳腳本進(jìn)行行限制，俗稱(chēng)“黑名單單”。這種種方式雖雖然對(duì)于于管理來(lái)來(lái)說(shuō)非常常容易，但是并并不安全全，因?yàn)闉閷?duì)于一一些未知知的程序序或者腳腳本管理理員無(wú)法法進(jìn)行判判斷和處處理。第第二種模模式稱(chēng)為為“白名單單”，是使使用SRRP最安安全的方方式，但但是需要要管理員

14、員做更多多的管理理工作，因?yàn)橐獎(jiǎng)?chuàng)建各各種規(guī)則則。最后后一種模模式，稱(chēng)稱(chēng)為“基本用用戶(hù)”，在WWinddowss Viistaa中首先先出現(xiàn)。，當(dāng)設(shè)設(shè)置基本本用戶(hù)的的默認(rèn)級(jí)級(jí)別時(shí)，管理員員運(yùn)行的的所有進(jìn)進(jìn)程會(huì)被被剝離管管理令牌牌，強(qiáng)制制這些進(jìn)進(jìn)程作為為非管理理員用戶(hù)戶(hù)運(yùn)行。當(dāng)我們們不希望望管理員員使用其其管理賬賬戶(hù)運(yùn)行行某些進(jìn)進(jìn)程時(shí)，這種方方式非常常有用。(圖55)對(duì)于這一一部分內(nèi)內(nèi)容，如如果大家家感興趣趣可以參參考詳詳解Wiindoows 7下的的程序運(yùn)運(yùn)行控制制(hhttpp:/Lonnghoorn/3400/899778840_1.sshtmml)。該文以以Winndowws 77系統(tǒng)為

15、為例介紹紹了通過(guò)過(guò)其組策策略對(duì)應(yīng)應(yīng)用程序序的安裝裝和運(yùn)行行進(jìn)行限限制，策策略方法法和Viistaa下的類(lèi)類(lèi)似，筆筆者就不不贅述了了。(22).設(shè)設(shè)備限制制所謂謂設(shè)備限限制，主主要指存存儲(chǔ)限制制即對(duì)移移動(dòng)存儲(chǔ)儲(chǔ)設(shè)備的的限制。我們知知道，在在企業(yè)環(huán)環(huán)境中，通過(guò)移移動(dòng)設(shè)備備進(jìn)行竊竊密是比比較普遍遍的。從從Vissta開(kāi)開(kāi)始，微微軟在組組策略中中提供了了對(duì)移動(dòng)動(dòng)設(shè)備的的限制。其組策策略項(xiàng)位位于“計(jì)算機(jī)機(jī)(或用用戶(hù)配置置)管理模模板系統(tǒng)可移動(dòng)動(dòng)存儲(chǔ)訪訪問(wèn)”節(jié)點(diǎn)下下，在此此我們可可以設(shè)置置對(duì)任何何可移動(dòng)動(dòng)存儲(chǔ)設(shè)設(shè)備的拒拒絕讀或或?qū)?或或可讀寫(xiě)寫(xiě))訪問(wèn)問(wèn)，支持持的可移移動(dòng)存儲(chǔ)儲(chǔ)設(shè)備包包括U盤(pán)盤(pán)、可寫(xiě)寫(xiě)CD和

16、和DVDD以及可可移動(dòng)硬硬盤(pán)。此此外，與與設(shè)備限限制相關(guān)關(guān)，我們們?cè)捘憧煽梢酝ㄟ^(guò)過(guò)組策略略隱藏磁磁盤(pán)或者者限制用用戶(hù)對(duì)磁磁盤(pán)分區(qū)區(qū)的訪問(wèn)問(wèn)，以保保護(hù)磁盤(pán)盤(pán)數(shù)據(jù)，其設(shè)置置項(xiàng)在“本地計(jì)計(jì)算機(jī)策策略用戶(hù)配配置管理模模板Winndowws組件件Winndowws資源源管理器器”節(jié)點(diǎn)下下。至于于如何設(shè)設(shè)置大家家可以參參考文章章Viistaa 組策策略深度度挖掘 實(shí)現(xiàn)非非常任務(wù)務(wù)(hhttpp:/vissta/2200/822147720.shttml)。(圖圖6)3、IEE安全 之所所以把IIE的組組策略項(xiàng)項(xiàng)單獨(dú)拿拿出來(lái)分分析，不不僅僅因因?yàn)镮EE是Wiindoows系系統(tǒng)集成成的瀏覽覽器，更更主要是是

17、因?yàn)樗褂米钭顝V泛的的瀏覽器器軟件，同時(shí)也也是Wiindoows系系統(tǒng)中面面臨安全全威脅最最大的系系統(tǒng)組件件。在VVistta的組組策略中中，我們們可以在在三個(gè)不不同的組組策略節(jié)節(jié)點(diǎn)來(lái)配配置IEE。這三三個(gè)節(jié)點(diǎn)點(diǎn)分別是是：“用戶(hù)配配置Winndowws設(shè)置置IE維維護(hù)策略略”即“IE維維護(hù)策略略”;“計(jì)算機(jī)機(jī)或用戶(hù)戶(hù)配置管理模模板Winndowws組件件Intternnet Expplorrer”即“管理模模板策略略”;“用戶(hù)配配置選項(xiàng)管理控控制面板板Intternnet設(shè)設(shè)置”即“組策略略選項(xiàng)”功能。其實(shí)實(shí)，上述述每種方方式在配配置IEE時(shí)都各各有優(yōu)缺缺點(diǎn)。例例如，要要配置IIE代理理或者

18、首首頁(yè)，可可以使用用“IE維維護(hù)策略略”或“組策略略選項(xiàng)”。筆者者建議大大家盡量量使用“組策略略選項(xiàng)”，因?yàn)闉樵谟颦h(huán)環(huán)境下“IE維維護(hù)”在向客客戶(hù)端分分發(fā)策略略時(shí)并不不可靠。需要說(shuō)說(shuō)明的是是，通過(guò)過(guò)“組策略略選項(xiàng)”或者“IE維維護(hù)”修改IIE配置置，并不不能防止止用戶(hù)更更改。所所以，我我們一般般要使用用“管理模模板”策略選選項(xiàng)禁止止用戶(hù)訪訪問(wèn)IEE設(shè)置頁(yè)頁(yè)面。通通常情況況下，使使用“管理模模板”策略鎖鎖定某些些IE設(shè)設(shè)置，就就能夠防防止用戶(hù)戶(hù)修改IIE配置置來(lái)繞過(guò)過(guò)限制。如果果我們要要設(shè)置IIE的區(qū)區(qū)域安全全或者設(shè)設(shè)置彈出出屏蔽網(wǎng)網(wǎng)址類(lèi)表表，可以以同時(shí)使使用這三三種方式式進(jìn)行控控制，因因?yàn)槊恳灰环N方式式具有不不同的行行為，支支持不同同的選項(xiàng)項(xiàng)。例如如，使用用“計(jì)算機(jī)機(jī)或用戶(hù)戶(hù)配置管理模模板Winndowws組件件Intternnet ExpplorrerIntternnet控控制面板板安全全頁(yè)面”下的策策略對(duì)每每個(gè)IEE區(qū)域進(jìn)進(jìn)行安全全配置，并使用用區(qū)域站站點(diǎn)分配配類(lèi)表為為用戶(hù)在在每個(gè)安安全區(qū)域域中添加加指定網(wǎng)網(wǎng)站。使使用這種種方式，用戶(hù)就就不能自自行修改改這些IIE設(shè)置置了，但但如果使使用“IE維維護(hù)”策略，雖然也也可以進(jìn)進(jìn)行想要要的配置置，但是是用戶(hù)可可以修改改配置。使