有人將組策略比作深藏在系統(tǒng)中的“大內(nèi)高手”，筆者覺(jué)得這個(gè)比喻的非常恰當(dāng)?shù)摹＝M策略確實(shí)有其他第三方安全軟件所無(wú)法比擬的優(yōu)勢(shì)，這不僅是其與Windows系統(tǒng)的密切“關(guān)系”，更在于它強(qiáng)大的安全功能。除了可通過(guò)其進(jìn)行系統(tǒng)配置，而且可對(duì)系統(tǒng)中幾乎所有的軟硬件實(shí)施管理，全方位地提升系統(tǒng)安全。到目前為止，似乎沒(méi)有任何一款第三方軟件可提供如果多的配置項(xiàng)。何況隨著Windows系統(tǒng)的更新?lián)Q代，組策略也是越來(lái)越強(qiáng)大了，比如在Windows 7中就增加了許多Vista沒(méi)有的安全項(xiàng)。本文就以當(dāng)前主流的Vista系統(tǒng)為例，就Windows組策略的安全特性進(jìn)行一番比較深入的解析。

　　為了便于說(shuō)明，筆者依據(jù)組策略的安全配置功能將其劃分為三部分：系統(tǒng)核心安全配置、應(yīng)用程序和設(shè)備限制、Internet Explorer(IE)安全。下面就以此為線索，分別談?wù)劷M策略的安全特性。

　　1、系統(tǒng)核心安全配置

　　與系統(tǒng)核心安全相關(guān)的組策略設(shè)置項(xiàng)主要在“計(jì)算機(jī)配置→Windows配置→安全配置”節(jié)點(diǎn)下。

　　(1).賬戶策略

　　對(duì)于組策略的這一部分大家應(yīng)該非常熟悉，因?yàn)樵谶@里可以設(shè)置密碼和賬戶的鎖定策略。例如，在這部分組策略中，我們可以設(shè)置密碼最小長(zhǎng)度或者密碼 需要包含復(fù)雜字符。如果在鏈接到域(如默認(rèn)域策略)的組策略對(duì)象(GPO)中定義這些策略，域中的所有域控制器(DC)都會(huì)處理密碼策略，并且組策略對(duì)象 會(huì)控制域用戶賬戶的密碼策略。當(dāng)在鏈接到域的組策略對(duì)象中定義密碼策略時(shí)，域中的所有工作站和成員服務(wù)器也會(huì)進(jìn)行處理，并為這些系統(tǒng)中定義的本地賬戶設(shè)置賬戶策略。(圖1)

    圖1 安全設(shè)置賬戶策略

　　大家知道，通過(guò)組策略只能定義一個(gè)域密碼策略，不過(guò)，Windows Server 2008支持一套新的密碼策略對(duì)象，這些在活動(dòng)目錄(AD)中定義的密碼策略對(duì)象為單一域提供了更加細(xì)化的密碼策略控制。

   (2).本地策略

　　“本地策略” 下有三個(gè)安全策略項(xiàng)，通過(guò)配置可以實(shí)現(xiàn)Windows系統(tǒng)的各種安全需求。例如，其中的“審計(jì)策略”用于配置服務(wù)器的Windows安全事件日志收集哪些事件;“用戶權(quán)限分配”用于配置哪些用戶能通過(guò)“遠(yuǎn)程桌面”訪問(wèn)指定的服務(wù)器或工作站;使用“安全選項(xiàng)”配置以確定是否激活指定系統(tǒng)上的“管理員” 賬戶以及重命名“管理員”賬戶。

　　“審計(jì)策略”相當(dāng)直接，允許我們控制Windows安全事件日志能收集哪些事件類型，在此指定成功或失敗的事件，用于審計(jì)從活動(dòng)目錄訪問(wèn)到系統(tǒng) 對(duì)象訪問(wèn)(如文件和注冊(cè)表鍵)的各種事件類型。根據(jù)組策略對(duì)象定義審計(jì)事件的鏈接位置，能激活對(duì)域控制器或成員服務(wù)器和工作站的審計(jì)。例如，如果將包含激 活目錄服務(wù)訪問(wèn)審計(jì)的組策略對(duì)象鏈接到“域控制器”組織單元，則域中所有域控制器都將執(zhí)行該策略，因此，所有對(duì)活動(dòng)目錄的訪問(wèn)都會(huì)作為訪問(wèn)請(qǐng)求被記錄到域 控制器的日志中。(圖2)
(責(zé)任編輯：武林網(wǎng))