Windows系統(tǒng)安全策略分析

于佳麗?曹明?施科峰

摘 要：操作系統(tǒng)安全策略的基本設(shè)置是信息安全等級保護的基礎(chǔ)。本文從信息安全等級保護的角度出發(fā)，分析和闡述了Windows操作系統(tǒng)安全策略的現(xiàn)狀和設(shè)置等方法，從用戶賬號策略設(shè)置、設(shè)備管理策略設(shè)置、審核策略設(shè)置、安全選項策略設(shè)置等四個方面闡述了進行windows操作系統(tǒng)基本的安全策略設(shè)置方法，表述了對操作系統(tǒng)基線策略設(shè)置的實施。

關(guān)鍵詞：Windows系統(tǒng)；系統(tǒng)安全；安全策略

操作系統(tǒng)安全涉及各個方面，其中安全策略[1]起到了至關(guān)重要的作用，因此，Windows系統(tǒng)的安全策略設(shè)置方法也層出不窮，本文從用戶賬號策略、設(shè)備管理策略、安全選項策略等幾方面分別分析闡述了Windows系統(tǒng)安全策略的現(xiàn)狀和設(shè)置等方法。

1 Windows系統(tǒng)安全策略安全設(shè)置

1.1 用戶賬號策略

用戶權(quán)限分配用于確定哪些用戶或組擁有在組織機構(gòu)內(nèi)部計算機上進行登錄的權(quán)利或特權(quán)。登錄權(quán)限與特權(quán)控制著用戶在目標系統(tǒng)上所擁有的權(quán)限。它們用以授予執(zhí)行特定操作（例如在網(wǎng)絡(luò)或本地進行登錄）或管理任務(wù)（例如生成新的登錄令牌）所需的權(quán)限。

來賓（Guests）組及Guest用戶帳號和Support_388945a0在不同域間擁有唯一的SID。因此，這種面向用戶權(quán)限分配的組策略可能需要在那些只存在特定目標組的系統(tǒng)上予以修改?；蛘撸部蓪Σ呗阅０暹M行單獨編輯，以便在.inf文件中包含適當?shù)慕M。舉例來說，應(yīng)當在測試環(huán)境中的某臺域控制器上創(chuàng)建一個域控制器組策略。

通過網(wǎng)絡(luò)[2]訪問此計算機用戶權(quán)限決定了允許哪些用戶和組通過網(wǎng)絡(luò)與計算機建立連接。在Windows Server 2003操作系統(tǒng)中，盡管授予Everyone安全組的權(quán)限將不再為匿名用戶提供訪問權(quán)限，Guests組和Guest帳號仍將通過Everyone安全組被授予訪問權(quán)限。因此，在高安全性運行環(huán)境中從網(wǎng)絡(luò)訪問此計算機用戶權(quán)限中刪除Everyone安全組，以便進一步抵御通過來賓訪問方式對域發(fā)動的攻擊。

強制通過遠程系統(tǒng)關(guān)機用戶權(quán)限允許用戶通過網(wǎng)絡(luò)從遠程位置上關(guān)閉計算機。所有能夠關(guān)閉計算機的用戶均可發(fā)動拒絕服務(wù)（DoS）攻擊，因此，這種權(quán)限的分配應(yīng)受到嚴格限制。

通過身份驗證后對特定客戶端進行模擬的權(quán)限允許代表某個用戶運行應(yīng)用程序，以便對特定客戶端進行模擬。針對此類模擬方式設(shè)置這種用戶權(quán)限將有效防止未經(jīng)授權(quán)的用戶欺騙指定客戶端與某種他（她）所創(chuàng)建的服務(wù)建立連接，進而將自身權(quán)限提升至管理或系統(tǒng)級別。

1.2 設(shè)備管理策略

裝載與卸載設(shè)備驅(qū)動程序權(quán)限決定了哪些用戶可以動態(tài)裝載并卸載設(shè)備驅(qū)動程序。具備裝載與卸載設(shè)備驅(qū)動程序權(quán)限的用戶可以隨意安裝那些偽裝成設(shè)備驅(qū)動程序的惡意代碼。因此，管理員應(yīng)加倍小心，并且僅僅安裝那些經(jīng)過數(shù)字簽署認證的驅(qū)動程序。在高安全性運行環(huán)境中，這種用戶權(quán)限則應(yīng)用以加強缺省管理員組。

在內(nèi)存中鎖定頁面：作為批處理作業(yè)登錄用戶權(quán)限允許用戶通過諸如任務(wù)計劃程序服務(wù)之類的批處理隊列機制進行登錄。由于遭受攻擊的風(fēng)險較低，因此，缺省設(shè)置即可。這種拒絕作為批處理作業(yè)登錄用戶權(quán)限設(shè)置將覆蓋作為批處理作業(yè)登錄用戶權(quán)限設(shè)置。具備這種登錄權(quán)限的帳號可用于對消耗過多系統(tǒng)資源以至于可能導(dǎo)致DoS現(xiàn)象的作業(yè)進行調(diào)度。因此，請不要將拒絕作為批處理作業(yè)登錄用戶權(quán)限分配給那些可能對安全性造成威脅的帳號。

恢復(fù)文件與目錄用戶權(quán)限決定了哪些用戶在恢復(fù)備份文件與目錄時可以繞過文件、目錄、注冊表及其它永久對象權(quán)限。同時，這種用戶權(quán)限還決定了哪些用戶可以將合法安全主體設(shè)置為對象所有者。在企業(yè)級或高安全性運行環(huán)境中，只有管理員組成員有權(quán)對文件與目錄進行恢復(fù)。文件恢復(fù)作業(yè)通常由管理員組或其它指定委托安全組成員來完成，這種方式尤其適用于具有高度敏感性的服務(wù)器和域控制器。

關(guān)閉系統(tǒng)用戶權(quán)限決定了哪些本地登錄用戶能夠通過關(guān)機命令關(guān)閉操作系統(tǒng)。濫用這種用戶權(quán)限可能造成DoS攻擊。關(guān)閉域控制器的能力應(yīng)被限制在少數(shù)深受信賴的管理員范圍內(nèi)。雖然關(guān)閉系統(tǒng)還需具備登錄到服務(wù)器的能力，但是，仍需謹慎對待哪些允許關(guān)閉域控制器的帳號和組。在高安全性運行環(huán)境中，只有管理員組應(yīng)被授予關(guān)閉系統(tǒng)用戶權(quán)限。

同步目錄服務(wù)數(shù)據(jù)用戶權(quán)限允許進程讀取目錄中的所有對象和屬性，而不必關(guān)心這些對象和屬性是否存在保護措施。LDAP目錄同步服務(wù)需要使用這種權(quán)限。這種用戶權(quán)限的缺省設(shè)置并未指定任何帳號，在高安全性運行環(huán)境中，必須將其配置為吊銷所有安全組和帳號。

獲取文件或其它對象的所有權(quán)用戶權(quán)限允許用戶獲取系統(tǒng)中任意安全對象的所有權(quán)，其中包括Active Directory對象、NTFS文件系統(tǒng)（NTFS）文件與文件夾、打印機、注冊表鍵、服務(wù)、進程以及線程等。請確保只有本地管理員組擁有獲取文件或其它對象所有權(quán)用戶權(quán)限。

更改系統(tǒng)時間用戶權(quán)限決定了哪些用戶和組能夠更改計算機內(nèi)部時鐘的時間與日期。由于事件日志將反映調(diào)整后的新時間，而非事件發(fā)生的真實時間，因此，需將更改系統(tǒng)時間特權(quán)限制在系統(tǒng)運維人員范圍內(nèi)。

1.3 審核策略

管理員應(yīng)當創(chuàng)建一種審核策略。這種審核策略用于確定需要報告至網(wǎng)絡(luò)管理員以便使特定事件類別中的用戶或系統(tǒng)活動得到及時記錄的安全事件。當用戶登錄到計算機、從計算機上注銷，或?qū)徍瞬呗栽O(shè)置進行修改時，管理員可以對諸如特定對象訪問者之類的安全活動加以監(jiān)控。

在實現(xiàn)審核策略前，必須首先完成的一項工作便是確定需要在運行環(huán)境中對哪些事件類別進行審核。管理員針對事件類別所選擇的審核設(shè)置將用于定義審核策略。通過定義針對特定事件類別的審核設(shè)置，管理員可以創(chuàng)建出適合于整體安全需求的審核策略。

如果未對審核方式加以配置，管理員將很難甚至不可能確定在安全事故中發(fā)生了哪些事件。相反，如果審核方式過于繁瑣，以至于過多授權(quán)活動都將生成事件，那么，安全事件日志將被大量無用數(shù)據(jù)填滿。因此，以下建議做出對哪些事件進行監(jiān)控的權(quán)衡決策。

審核事件包括：審核帳號登錄事件、審核帳號管理、審核目錄服務(wù)訪問、審核登錄事件，下面以審核審核帳號登錄事件為例。審核帳號登錄事件設(shè)置用于確定是否對每個用戶實例登錄或注銷另一臺需要驗證帳號的計算機的活動進行審核。在域控制器上對域用戶帳號進行身份驗證時將產(chǎn)生一個帳號登錄事件。這個事件將被記錄到域控制器的安全日志中。在本地計算機上對本地用戶進行身份驗證時將產(chǎn)生一個登錄事件。這個事件將被記錄到本地安全日志中。對于帳號注銷事件，則沒有任何信息需要記錄。

1.4 安全選項策略

組策略的安全選項部分用以配置針對計算機的安全設(shè)置，例如數(shù)據(jù)數(shù)字簽署、管理員與Guest帳號名稱、軟盤驅(qū)動器與CD-ROM驅(qū)動器訪問能力、驅(qū)動器安裝方式以及登錄提示信息等等。

帳號： Guest 帳號狀態(tài)安全選項設(shè)置用于指示Guest帳號是否已被啟用或禁用。這種帳號允許未經(jīng)身份驗證的網(wǎng)絡(luò)用戶通過以來賓身份登錄的方式獲取系統(tǒng)訪問權(quán)限。因此，應(yīng)配置為禁用。限制本地帳號只能在控制臺登錄過程中使用空白密碼安全選項設(shè)置決定了不受密碼保護的本地帳號是否可以從物理計算機控制臺以外的其它位置上進行登錄。啟用這項設(shè)置能夠防止具有非空密碼的本地帳號通過網(wǎng)絡(luò)從遠程客戶端上進行登錄，不受密碼保護的本地帳號將只能通過計算機鍵盤進行物理登錄。

審核：審核備份與恢復(fù)權(quán)限使用情況安全設(shè)置選項決定了是否在審核特權(quán)使用策略設(shè)置生效后對包括備份與恢復(fù)在內(nèi)的所有用戶權(quán)限使用情況進行審核。啟用這種策略將產(chǎn)生大量安全事件，進而導(dǎo)致服務(wù)器響應(yīng)速度降低并強制安全事件日志記錄大量意義不大的事件。

設(shè)備：僅限本地登錄用戶訪問軟盤驅(qū)動器安全選項設(shè)置決定了是否同時允許本地及遠程用戶訪問可移動軟盤媒體。啟用這項設(shè)置將只允許通過交互方式登錄的用戶訪問可移動軟盤媒體。如果這項策略已被啟用，且沒有任何用戶通過交互方式進行登錄，那么，軟盤媒體將能夠通過網(wǎng)絡(luò)進行訪問。

域控制器：對來自安全通道的數(shù)據(jù)進行數(shù)字加密/簽署安全選項設(shè)置用于決定域成員是否需要針對它們發(fā)起的所有安全通道通信操作嘗試就加密/簽署事宜進行協(xié)商。啟用這項設(shè)置將促使域成員為所有安全通道通信內(nèi)容請求加密/簽署。禁用這項設(shè)置則會阻止域成員協(xié)商安全通道加密/簽署事宜。因此，這種安全選項的取值均被設(shè)置為啟用。

2 結(jié)束語

操作系統(tǒng)安全涉及各個方面，其中安全策略起到了至關(guān)重要的作用。操作系統(tǒng)安全策略的基本設(shè)置是信息安全等級保護的基礎(chǔ)。本文從信息安全等級保護的角度出發(fā)，分析和闡述了Windows操作系統(tǒng)安全策略的現(xiàn)狀和設(shè)置等方法，從用戶賬號策略設(shè)置、設(shè)備管理策略設(shè)置、審核策略設(shè)置、安全選項策略設(shè)置四個方面闡述了進行windows操作系統(tǒng)基本的安全策略設(shè)置方法，表述了對操作系統(tǒng)基線策略設(shè)置的實施。

參考文獻

[1]高愛乃.淺析Windows Server 2003安全策略[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.

[2] 李新偉.應(yīng)力.信息安全策略分析[J].信息網(wǎng)絡(luò)安全.2010.2.

[3] 馬文.江翰.彭秋霞.電力信息安全基線自動化核查[J].云南電力技術(shù).2013.2.

作者簡介

于佳麗（1986-），女，寧夏中寧人，助理工程師，從事電力行業(yè)信息安全工作。

曹明（1967-），男，寧夏中衛(wèi)人，高級工程師，從事電力行業(yè)信息安全工作。

施科峰（1979-），男，寧夏中寧人，工程師，從事電力行業(yè)信息通信工作。