實(shí)現(xiàn)系統(tǒng)多層次深度防御

利用組策略，提高系統(tǒng)安全性

這里就從組策略的角度出發(fā)，來(lái)說(shuō)明如何通過(guò)合理的配置提高系統(tǒng)的安全性，這包括安全模板、用戶權(quán)限、安全選項(xiàng)、UAC賬戶控制、安全審核、限制組等。

利用組策略實(shí)現(xiàn)系統(tǒng)安全，系統(tǒng)內(nèi)置了一些專用的模板，其范圍包括賬戶策略、本地策略、事件日志、限制組、系統(tǒng)服務(wù)、注冊(cè)表、文件系統(tǒng)等。對(duì)于組策略的管理，實(shí)際針對(duì)的是本地組策略和活動(dòng)目錄上的組策略兩種。對(duì)于前者來(lái)說(shuō)，可以直接運(yùn)行“gpedit.msc”程序，對(duì)組策略進(jìn)行管理。

如果針對(duì)本機(jī)上不同的用戶進(jìn)行管理，可以運(yùn)行“mmc”程序，在控制臺(tái)上依次點(diǎn)擊菜單“文件”、“添加/刪除管理單元”項(xiàng)，選擇“組策略對(duì)象編輯器”項(xiàng)，點(diǎn)擊“添加”按鈕，在彈出窗口中點(diǎn)擊“瀏覽”按鈕，在瀏覽組策略對(duì)象面板中選擇目標(biāo)賬戶，將其添加到控制臺(tái)中。這樣，可以針對(duì)不同的賬戶分別配置其組策略參數(shù)。對(duì)于后者來(lái)說(shuō)，當(dāng)在DC控制器上啟動(dòng)組策略管理器后，在其左側(cè)選擇“林”→“域”→“域名”→“組策略對(duì)象”項(xiàng)，在其右鍵菜單上點(diǎn)擊“新建”項(xiàng)，輸入名稱后，創(chuàng)建新的組策略對(duì)象。

之后在其右鍵菜單上點(diǎn)擊“編輯”項(xiàng)，對(duì)其內(nèi)容進(jìn)行合理的配置。編輯完畢后，可以將其鏈接到不同的容器中。例如在域名節(jié)點(diǎn)上點(diǎn)擊“鏈接現(xiàn)有GPO”項(xiàng)，選擇上述組策略對(duì)象，就可以將其應(yīng)用到域中的所有主機(jī)中。例如，在Windows Server 2012域控制器上打開(kāi)服務(wù)器管理器窗口，點(diǎn)擊菜單“工具”→“組策略管理”項(xiàng)，在其中打開(kāi)“組策略管理”→“林”→“域”→“某個(gè)域名”→“組策略對(duì)象”項(xiàng)，在其下選擇某個(gè)策略對(duì)象，在其右鍵菜單上點(diǎn)擊“編輯”項(xiàng)，在編輯窗口左側(cè)選擇“策略名”→“計(jì)算機(jī)配置”→“策略”→“Windows設(shè)置”→“安全設(shè)置”項(xiàng)，在其下可以找到很多與安全性有關(guān)的項(xiàng)目。

例如選擇賬戶策略，可以配置密碼策略，賬戶鎖定策略等。包括密碼復(fù)雜性要求、密碼長(zhǎng)度值、使用期限、強(qiáng)制密碼歷史、賬戶鎖定時(shí)間、鎖定閥值等。在本地策略中包含審核策略，用戶權(quán)限分配，安全選項(xiàng)等，在日志事件策略中可以設(shè)置很多與日志有關(guān)的安全項(xiàng)目，包括安全日志保留天數(shù)、安全日志最大值、系統(tǒng)日志保留的天數(shù)與方法、防止本地來(lái)賓組訪問(wèn)安全日志和應(yīng)用程序日志、限制來(lái)賓組訪問(wèn)系統(tǒng)日志等，對(duì)受限制的組、系統(tǒng)服務(wù)、注冊(cè)表和文件系統(tǒng)、高級(jí)安全Windows防火墻、軟件限制策略、網(wǎng)絡(luò)訪問(wèn)保護(hù)、應(yīng)用程序控制等策略進(jìn)行管理。

此外，在組策略中使用IPSec策略，可以有效保證通訊雙方的數(shù)據(jù)安全。對(duì)于一些可能影響系統(tǒng)運(yùn)行的程序，可以利用軟件限制策略對(duì)其進(jìn)行控制，利用文件限制策略以及應(yīng)用程序控制策略來(lái)限制對(duì)目標(biāo)文件的訪問(wèn)，利用高級(jí)審核策略可以對(duì)文件的訪問(wèn)情況進(jìn)行有效控制，使用注冊(cè)表控制策略可以對(duì)注冊(cè)表訪問(wèn)進(jìn)行管控等。這些操作實(shí)現(xiàn)起來(lái)都比較簡(jiǎn)單，這里就不再贅述了。

使用安全模板，快速調(diào)整安全配置

實(shí)際上，對(duì)于企業(yè)管理員來(lái)說(shuō)，應(yīng)該根據(jù)實(shí)際需要，來(lái)手工創(chuàng)建所需的安全模板。而且應(yīng)該基于不同的服務(wù)器角色，來(lái)創(chuàng)建滿足該角色安全需要的模板。

例如對(duì)于Web服務(wù)器、DNS服務(wù)器來(lái)說(shuō)，需要為其分別創(chuàng)建安全策略模板，來(lái)保證不同角色的安全。所謂模板，指的是基本的通用的，使用者必須遵守的安全規(guī)則內(nèi)容，當(dāng)將模板創(chuàng)建好并應(yīng)用到目標(biāo)服務(wù)器上之后，可以根據(jù)需要對(duì)其進(jìn)行適當(dāng)修改，來(lái)快速的實(shí)現(xiàn)安全部署，而無(wú)需從頭費(fèi)時(shí)費(fèi)力的開(kāi)始為每臺(tái)主機(jī)配置安全策略。

可以使用多種方法，來(lái)創(chuàng)建安全模板。例如運(yùn)行“mmc”命令，在控制臺(tái)窗口中依次點(diǎn)擊菜單“文件”、“添加/刪除管理單元”項(xiàng)，在彈出窗口左側(cè)的“可用的管理單元”列表中選擇“安全模板”項(xiàng)，點(diǎn)擊“添加”按鈕，在控制臺(tái)左側(cè)選擇“安全模板”、“C:UsersAdministratorDocumentsSecurityTemplates”項(xiàng)，在其右鍵菜單上點(diǎn)擊“新加模板”項(xiàng)，輸入模板名（例如“Web Server Templates”）和描述信息，表示專門針對(duì)Web服務(wù)器之用。點(diǎn)擊“添加”按鈕，完成該模板的創(chuàng)建。之后打開(kāi)該模板項(xiàng)，可以發(fā)現(xiàn)其中的所有策略項(xiàng)目全部處于未定義狀態(tài)。

您可以根據(jù)具體的需要，來(lái)靈活的設(shè)置所需的安全項(xiàng)目。例如對(duì)于Web服務(wù)器來(lái)說(shuō)，可以依次選擇“本地策略”、“安全選項(xiàng)”項(xiàng)，在右側(cè)選擇“交互式登錄：提示用戶在過(guò)期之前更改密碼”項(xiàng)，在彈出窗口中選擇“在模板中定義此策略設(shè)置”項(xiàng)，在其下設(shè)置具體的天數(shù)。這樣，可以在規(guī)定時(shí)間內(nèi)提醒使用者更改密碼。

雙擊“交互式登錄：不顯示最后的用戶名”項(xiàng)，在彈出窗口中選擇“在模板中定義此策略設(shè)置”和“已啟用”項(xiàng)，可以禁止顯示上次登錄使用者的賬戶名信息。以及是否從網(wǎng)絡(luò)上匿名訪問(wèn)本機(jī)的共享數(shù)據(jù)，超過(guò)登錄時(shí)間后強(qiáng)制注銷，關(guān)機(jī)時(shí)清除內(nèi)存頁(yè)面文件等大量的項(xiàng)目。

通過(guò)合理的設(shè)置，可以有效提升系統(tǒng)安全性。當(dāng)設(shè)置完畢后，在模板名稱（例如“Web Server Templates”）的 右 鍵 菜 單上點(diǎn)擊“保存”項(xiàng)，存儲(chǔ)修改的信息。有了安全模板后，就可以靈活的執(zhí)加以應(yīng)用了。例如在Windows Server 2012域控制器上打開(kāi)服務(wù)器管理器窗口，點(diǎn)擊菜單“工具”、“組策略管理”項(xiàng)，在其中打開(kāi)“組策略管理”→“林”→“域”→“某個(gè)域名”→“組策略對(duì)象”項(xiàng)，在其下選擇某個(gè)策略對(duì)象，在其右鍵菜單上點(diǎn)擊“編輯”項(xiàng)，在編輯窗口左側(cè)選擇“策略名”→“計(jì)算機(jī)配置”→“策略”→“Windows設(shè)置”→“安全設(shè)置”項(xiàng)，在其右鍵菜單上點(diǎn)擊“導(dǎo)入策略”項(xiàng)，選擇上述模板文件，就可直接導(dǎo)入進(jìn)來(lái)，實(shí)現(xiàn)了快速的安全部署?？梢钥吹剑揽堪踩０蹇梢詷O大地簡(jiǎn)化安全設(shè)置，使用起來(lái)很方便。當(dāng)需要統(tǒng)一調(diào)整安全策略時(shí)，只需要對(duì)模板進(jìn)行調(diào)整即可。

利用安全配置向?qū)В焖俨渴鸢踩呗?/h2>

此外，利用系統(tǒng)提供的安全配置向?qū)В梢詭椭鷦?chuàng)建一個(gè)安全策略，您可以將其應(yīng)用到網(wǎng)絡(luò)上的任何服務(wù)器。該安全策略基于服務(wù)器的配置服務(wù)和網(wǎng)絡(luò)安全，并配置審核和注冊(cè)表設(shè)置。

例如，可以在先本機(jī)上配置好相關(guān)的安全策略，在服務(wù)器管理器中點(diǎn)擊菜單“工具”、“安全配置向?qū)А表?xiàng)，在向?qū)Ы缑嬷悬c(diǎn)擊“下一步”按鈕，選擇“新建安全策略”項(xiàng)，在“下一步”窗口中點(diǎn)擊“瀏覽”按鈕，選擇一個(gè)服務(wù)器作為此安全策略的基準(zhǔn)，即可以將此策略應(yīng)用到選定的服務(wù)器，也可以將其應(yīng)用到任何配置與其相似的服務(wù)器上。這里選擇“本機(jī)”，點(diǎn)擊“下一步”按鈕，該程序可以對(duì)本機(jī)進(jìn)行檢測(cè)，來(lái)了解和本機(jī)相關(guān)的配置信息。點(diǎn)擊“查看配置數(shù)據(jù)庫(kù)”按鈕，在SCW查看器窗口中可以從服務(wù)器角色、客戶端功能、管理和其他選項(xiàng)、服務(wù)、Windows防火墻等方面，來(lái)詳細(xì)的了解本機(jī)的全部配置信息。

點(diǎn)擊“下一步”按鈕，可基于角色對(duì)服務(wù)進(jìn)行配置。在選擇服務(wù)器角色窗口中顯示本機(jī)安裝的所有角色，對(duì)于在目標(biāo)服務(wù)器上沒(méi)有的角色（例如故障轉(zhuǎn)移群集、打印服務(wù)器、卷影副本等），可以取消其選擇狀態(tài)，在下一步的選擇客戶端功能項(xiàng)列表中顯示本機(jī)安裝的功能組件，可以根據(jù)需要進(jìn)行取舍。之后依次點(diǎn)擊“下一步”按鈕，執(zhí)行選擇所需的管理和其他選項(xiàng)，選擇所需的系統(tǒng)服務(wù)，對(duì)于沒(méi)有找到的服務(wù)，采取禁用或者不更改的操作，確認(rèn)服務(wù)更改等操作。

在網(wǎng)絡(luò)安全規(guī)則窗口中顯示本機(jī)所有的防火墻規(guī)則，您可以根據(jù)需要進(jìn)行取舍。對(duì)于沒(méi)有選用的防火墻規(guī)則，當(dāng)本安全配置策略應(yīng)用到目標(biāo)服務(wù)器后，是處于禁用狀態(tài)的。點(diǎn)擊“下一步”按鈕，在出站身份驗(yàn)證方法窗口中選擇服務(wù)器用來(lái)對(duì)遠(yuǎn)程計(jì)算機(jī)進(jìn)行驗(yàn)證的方法，包括域賬戶、遠(yuǎn)程計(jì)算機(jī)上的本地賬戶、文件共享密碼等。在“下一步”窗口中選擇出站身份驗(yàn)證方式，在系統(tǒng)審核策略窗口中選擇審核的目標(biāo)，包括不審核、審核成功的操作、審核成功和不成功的操作等。在安全策略文件名窗口中點(diǎn)擊“瀏覽”按鈕，選擇安全策略文件保存路徑，點(diǎn)擊“包括安全模板”按鈕，可以添加所需的安全模板文件。選擇“稍后應(yīng)用”項(xiàng)，點(diǎn)擊“完成”按鈕，關(guān)閉安全配置向?qū)Ы缑妗?/p>

這樣，就可以將本機(jī)的安全配置信息提取出來(lái)，之后就可將其應(yīng)用到其他服務(wù)器上。方法是將上述安全策略文件復(fù)制到其他服務(wù)器上，在該機(jī)上的服務(wù)器管理器中點(diǎn)擊菜單“工具”、“安全配置向?qū)А表?xiàng)，在向?qū)Ы缑嬷悬c(diǎn)擊“下一步”按鈕，在配置操作窗口中選擇“應(yīng)用現(xiàn)有的安全策略”項(xiàng)，點(diǎn)擊“瀏覽”按鈕，選擇上述安全策略文件，點(diǎn)擊“下一步”按鈕，就可應(yīng)用到當(dāng)前的服務(wù)器上。如果應(yīng)用后發(fā)現(xiàn)了問(wèn)題影響到本服務(wù)器的運(yùn)行，可以選擇“回滾上一次應(yīng)用的安全策略”項(xiàng)，取消上一次的應(yīng)用操作，恢復(fù)到原始的運(yùn)行狀態(tài)。

對(duì)用戶訪問(wèn)權(quán)限進(jìn)行管控

對(duì)于用戶權(quán)限來(lái)說(shuō)，包括特權(quán)和登錄權(quán)限等方面。例如，在組策略管理器中選擇“本地策略”下的“安全選項(xiàng)”和“用戶權(quán)限”項(xiàng)，在右側(cè)可以針對(duì)是否允許用戶本地登錄、允許關(guān)機(jī)的用戶、允許哪些用戶將工作站加入到域、拒絕哪些用戶本地登錄、在登錄后強(qiáng)制注銷等等。為了防止不法用戶攻擊Administrator管理員賬戶，可以雙擊“賬戶:重名命系統(tǒng)管理員賬戶”項(xiàng)，選擇“在模板中定義此策略設(shè)置”項(xiàng)，輸入新的管理員賬戶名。這樣，就可以更改管理員賬戶的名稱。

對(duì)于某些用戶來(lái)說(shuō)，在分配權(quán)限時(shí)，應(yīng)該采用最小化權(quán)限原則，即盡可能為其分配剛好滿足其需要的權(quán)限，而不要為其分配更多的權(quán)限。對(duì)于不同的服務(wù)，最好為其單獨(dú)指派管理員。對(duì)于管理員組來(lái)說(shuō)，應(yīng)該盡量限制其成員的數(shù)量。使用組策略，可以有效對(duì)某些特殊組進(jìn)行管控。

例如，在組策略管理器中選擇的“安全設(shè)置”、“受限制的組”項(xiàng)，在其右側(cè)窗口的右鍵菜單中點(diǎn)擊“添加組”項(xiàng)，在彈出窗口中點(diǎn)擊“瀏覽”按鈕，在選擇組窗口中找到某個(gè)組（例 如“Domain Admins”），點(diǎn)擊“確定”按鈕，在其屬性窗口中的“這個(gè)組的成員”欄中點(diǎn)擊“添加”按鈕，選擇所需的賬戶。在“這個(gè)組隸屬于”欄中點(diǎn)擊“添加”按鈕，可以選擇所需的組名。這樣，該賬戶組就處于限制狀態(tài)，別人就無(wú)法隨意向其中添加賬戶了。

對(duì)于賬戶的設(shè)置，必須保證其安全性。對(duì)于賬戶密碼來(lái)說(shuō)，應(yīng)該保證其復(fù)雜度和合適的期限。利用在密碼策略中，雙擊“密碼必須符合復(fù)雜性要求”項(xiàng)，使其處于激活狀態(tài)，這樣密碼必須由大小寫字符，特殊符合和數(shù)字組成。設(shè)置密碼長(zhǎng)度最小值、密碼最短使用期限、密碼最長(zhǎng)使用期限等。在“輕質(zhì)密碼歷史”項(xiàng)中設(shè)置合適的數(shù)值，這樣就不能使用指定數(shù)量的歷史密碼。例如將其設(shè)置為3個(gè)記住的密碼，表示不能使用前三次使用過(guò)的密碼。配合賬戶鎖定策略，可以有效防止暴力破解行為。