|
自从Windows server主要是靠组策略机制来管理的安全Windows网络几年来我倒觉得有组策略需要扩展因为有很多方面根本无法用组策略来控制所幸的是微软也承认组策略的相关缺陷并已在Windows彻底修改组策略在这一系列文章我将讨论一些新的组策略如果你曾经使用过组策略在过去你知道有很多组策略设置集成在操作系统仲很难对组策略进行扩展对于组策略的数字我很难给你一个确切的答案因为一些补丁更新包都带来一些组策略的变化我可以告诉你 Windows server service pack 中提供了约组策略设置这一数字已增至组策略在Windows vista和Windows server 既然如此我根本没有时间谈每一组策略的设置来提供给你们相反我将尝试谈论更为重要的组策略设置 病毒防护 近年来安全威胁很多其中最多的一直是电子邮件病毒大多数反病毒产品的设计与微软outlook集合 其想法是该软件能够在电子邮件附件被打开的时候被扫描即便如此windows一直缺乏一个统一的机制来确保杀毒软件的安装和正常工作幸好 vista和现在已经包含组策略设定可以允许你在组策略级别加入你们组织/公司的防毒策略 虽然我要向各位展示的是具体到windows vista和windows server 组策略设置 然后可以使它运行windows xp service pack 你可以找到相关的防毒组策略相关设置在组策略:User Configuration\Administrative Templates\Windows Components\Attachment Manager 当用户打开附件通知杀毒软件 这个组策略的设置是当电子邮件附件的打开时来通知你的杀毒软件时杀毒软件扫描电子邮件附件来查病毒 虽然这个组策略看起来很简单 虽然只有两个变量在你使用前必须了解 首先如果你的杀毒软件是可以自动扫描电子邮件附件在设置这个组策略是多余的 还有其他就是如果你设置啦这个组策略但是你的杀毒软件因为某个原因不能扫描插件那Windows就会阻止附件被打开 不要在文件附件中保留区域信息 在IE一个主要的安全概念就是区域IE允许管理员把分类域名放到各个区域其建立在管理员信任多少站点在windows和vista中区域的状态也可以作用在邮件上当一份邮件包含附件windows在ie的区域查找并比较发件人的域这可以使用域信息来确定附件是否值得信赖 然而这个特别的组策略设置看起来有点误导如果你启用设置区域信息会被忽略如果你要确保windows利用区域信息来保护电子邮件附件你必须禁用此策略的制定 一个关系到安全的方面你应该知道发件人的区域是作为文件属性存储的这就意味着必须存储在NTFS格式的分区空间上如果存储在FAT格式的分区上区域信息不会保留而且Windows不会报告失败 隐藏机制来去除区域信息 正常情况下相当容易为用户从文件移除带相关属性他们只要这样做只是要点击打开按钮找到该文件的属性表如果你想阻止用户剥离资料档案启用这个设置这样做将隐藏机制任何一个用户不可能消除区信息从一个文件 文件附件的默认风险级别 这个组策略的设置允许你给邮件附件一个默认设置高中或低风险级别我会在以后谈论关于风险界别 高风险文件类型的清单 显然有些类型的文件更有可能更容易携带恶意代码例如exe文件或pif文件比 pdf文件要恶意多拉正因为如此windows可以让你对各种文件 类型设置高中或低风险 windows提供独立的组策略来设置低中等和高风险的文件类型 之所以微软选择这么做是因为它允许更严格的安全设置优先考虑 在低级别的安全设置在发生沖突 假设举例说某一文件类型是在高风险和中等风险中 在这种情况下高风险的策略将高于中期策略风险 和文件类型将被视为高风险的文件类型被视为高风险的将主宰其他设置 那么如何区分一个文件类型属于高风险如果一个用户想打开一个文件windows窗口看起来不仅在文件类型判断而且也会在文件的来源是否来自禁止的区域来认定高风险windows禁止用户打开文件如果文件来自互联网在用户打开文件前windows会提示用户预防风险 低风险文件类型的清单 确定文件类型是否属于低风险类型和高风险有点类似但是有一点区别首先不同的是微软已经默认把某些类型的文件作为高风险的 如果设定其中的文件类型作为低风险 那么您会凌驾于windows的内置设置 档案将被视为低风险 当然如果你已经手工增加了一个文件型向高风险名单然后把它添加到低风险名单 该文件将被视为高风险因为高风险名单优于低风险清单 如果你是好奇允许用户开低风险档案不管属于哪个区域 中度风险文件类型的清单 确定文件类型是否属于中度风险类型和高 低风险有点类似唯一区别如果文件来自被禁止的区域或是internetwindows只是在用户打开文件前显示一个警告信息 在这一系列文章的第一部分我解释过windows vista和windows server 比windows server 和windows xp多提供了数百个组策略设置在这篇文章我想继续讨论谈起组策略设置是用来控制用户账户和硬件设备 我将要讨论的组策略设置都是位于计算机配置/Window设置/安全设置/本地策略/安全选项正如你看到的图安全选项有太多的组策略设置我来讨论因此我将只讨论到最有用的或最有趣的策略的设置 管理员帐户状态 在以往windows操作系统中的一个主要的安全弱点工作站一直存在着一个本地管理员帐户上而windows vista确实也存在本地管理员帐户帐户:管理员帐户状态设置可用于禁用管理员用户默认情况下管理员帐户被激活但禁用它也十分简单在你禁用它之前关于禁用的后果你要有所了解如果你禁用管理员帐号你将不能再次启用他除非本地管理员帐户的密码符合最小密码长度和复杂性要求除非你再有一个管理员账户来重新设置它的密码 如果你发现自己被一台机器锁定并没有其他管理员帐户可以重置密码那也没关系安全模式下本地管理员帐户是总是启用的因此你可以启动机器到安全模式用本地管理员登陆然后重新设置密码这时你应该可以重新启用本地管理员账户 限制使用空密码 一般来说在你们的任何组织都不能有一个空密码限制空密码只能控制台登陆的策略设置来防止空密码带来的危险这是这个策略的默认设置它让没有密码的用户只能本地登陆而不能通过远程桌面等来登陆 重命名Adminsitrator 十多年来微软公司一直在告诉我们重命名Adminsitrator是出于安全原因问题是这样每一个工作站都有自己的管理员帐户必须手工改名vista和服务器提供了一个组策略设置可以用来自动重命名dminsitrator帐户组策略:重命名Adminsitrator利用这一政策的制定所有你需要做的就是进入了一个新的名称为管理员帐户以及改变将会通过组策略应用到所有的机器 审计备份和恢复 其中比较有趣的组策略设置是审计:审计使用数据备份和恢复的权限设置如果你选择使它(策略的设定默认) 然后对备份和恢复操作进行审核 之所以我说这是一个比较有趣的策略设置是因为它既有其优点和缺点这项策略是好的因为它允许您核实负责人备份系统真的是根据公司策略来执行备份 它还允许你查看到到任何恢复操作缺点是这个策略的制定使得每次备份都会产生大量日志是为这意味着你的备份数据可能充斥大量的审计备份和还原的审计日志 当然写这样一个日志条目使用少量的磁盘和cpu资源如果你是写入成千上万的日志那样会可能严重影响性能 可移动设备 许多公司根本不允许使用可移动设备比如外接光驱这样可以让用户携带未经许可的数据带出公司或复制敏感数据和删除数据从公司来说对可移动设备往往望而却步基于此微软添加关于可移动设备的组策略:允许格式化和弹出可移动设备策略正如其名称所示这项政策的制定可用于防止用户从格式化或弹出可移动设备 打印机驱动 windows的设计方式如果用户要打印到网络打印机他们通常并不需要一个打印机驱动程序也不需要下载驱动程序在网络上当用户使用UNC连接到打印机是共享的一个打印机打印机主机检查用户的工作站上看它是否有一个合适的驱动程序如果驱动不存在则该打印机的主机发送一份打印机驱动机器到客户机上去 在大多数情况下这恐怕是一个可取的行为因为它允许用户每次需要打印到不同的打印机无需找技术人员就能自己搞好在较高的安全环境虽然它可能被视为高风险让用户打印到尚未指定给他们的打印机防止用户打印到未授权给他们打印的打印机的方法之一是防止用户安装打印驱动 你可以通过阻止用户安装打印机驱动程序的策略制定来阻止用户安装打印机驱动工作站默认设置是允许安装的服务器是禁止安装的 如果你有准备在公司推行这个策略有几件事你必须记住第一这项政策的制定并不阻止用户添加本地打印机它只有阻止用户安装网络打印机的驱动另一件事要切记的是这一政策不会阻止用户打印到用户本机已经有驱动的一台网络打印机最后此设置并没有对管理员不起作用 安全是ms现在的首要关注所以当开发windows server 和vista的时候一些新的组策略设置涉及很多方面的安全特性这不值得惊讶首先我从这篇文章开始这篇文章谈论一个新的关于安全方面的组策略设置User Account ProtectionUAC 如果不是对UAC了解其实UAC就是一个用来减少用户过多特权来保护windows的安全特性在windows xp中用户经常需要本地管理员来完成他们的任务 在开发vista的时候微软花啦很长时间关注标准用户实际需要的权限而不必要赋予本地管理员权限举例来说在vista中一个普通用户可以执行安装打印机输入WEP密码配置VPN连接安装应用更新等操作无需本地管理员权限 User Account Protection不只是给予用户额外权限也是用来给本地管理员保护他们自己即使有人实用本地管理员登陆windows也会认为他是普通用户如果用户想某些需要本地管理员权限的操作windows会提示用户是否临时提升他的权限来执行这项操作 管理员也可以作为普通用户登陆如果一个普通用户想执行需要管理员权限的奥做不需要实用RunAs命令vista会自动提示用户输入一个可以执行这项操作的凭证 刚才我们讲啦一下UAC的背景现在我来看看关于UAC的组策略设置和大部分我在这个系列讨论的组策略设置一样只能在和vista上作用因此面市而且基于的域控在你们的网络环境否则这些组策略只能作为本地组策略来执行 关于UAC的组策略在Computer Configuration | Windows Settings | Security Settings | Local Policies | Security Options中设置 首先设置关于UAC的组策略就是UAC:管理员批准模式和内置管理员设置这个设置默认是开启的管理员被认为是一个普通用户任何需要管理员权限的操作windows都会提示用户是否执行如果这个设置被关闭vista就和XP一样管理员可以完成所有的操作无需提示 下一项设置是UAC:管理员批准模式中管理员的提升提示行为因为你已经知道vista是这样设置的没有管理的统一是无法执行管理的操作这个选项允许你控制管理员的提升提示行为具体的说明请看下图无提示提升不建议使用 就像wvista可以限制管理员没有允许不能做一项操作可以限制一个普通用的能力你可以控制当普通用户操作一项需要提升权限的操作是否允许提升UAC标准用户的提升提示行为具体说明看下图 虽然vista涉及执行相关操作需要提升权限但是有些操作能被设置不需要提升权限一个例子就是安装软件这个设置是:检测应用程序行为并提示提升 软件安装不提示提升似乎有点莫顿但有一些情况使用比较适当在一个管理环境有些软件通过组策略Sms等等用来分发在这种环境就不需要在买个桌面提示提升行为因此你可以禁止这个 在前面的文章中我讲啦关于UAC的组策略如何工作的虽然vista和比xp和提供啦数以百计的新组策略但是UAC是其中最重要的组策略因为UAC可以帮助用户抵制恶意软件的威胁我们接着讲组策略中关于UAC其他的设定 UAC:只提升签名并验证的可执行文件 如果你真的要想想把UAC放在首位的原因是为啦防止未授权的代码在网络工作站运行但是如何界定代码是否授权又是个问题 一般时候来界定代码是否安全就是看代码是否有数字签名大部分的软件不是所有的都有数字签名来证明代码是由发行者发行的不是由别人修改过的数字签名也证明了代码并没有被改变因为这是签名 只因为一部分代码签名并不一定意味着该守则是值得信赖对我们来说是否信任该数字签名仍然是个问题当你决定信任该数字签名该数字签名的发布者将添加到windows信任当中 这就是UAC:只提升签名并验证的可执行文件当你启用它后这个组策略的设置进行pki签名关注任何需要提升权限的交互的应用程序如果他的数字签名已经被允许则提升权限得到允许反之则拒绝 还有一点需要注意的是在ms文档中说明这个策略只对交互的应用程序起作用对服务和脚本不会起作用如果文档正确的话 |
