Windows系統(tǒng)安全策略分析

于佳麗?曹明?施科峰

摘 要：操作系統(tǒng)安全策略的基本設(shè)置是信息安全等級保護(hù)的基礎(chǔ)。本文從信息安全等級保護(hù)的角度出發(fā)，分析和闡述了Windows操作系統(tǒng)安全策略的現(xiàn)狀和設(shè)置等方法，從用戶賬號策略設(shè)置、設(shè)備管理策略設(shè)置、審核策略設(shè)置、安全選項(xiàng)策略設(shè)置等四個方面闡述了進(jìn)行windows操作系統(tǒng)基本的安全策略設(shè)置方法，表述了對操作系統(tǒng)基線策略設(shè)置的實(shí)施。

關(guān)鍵詞：Windows系統(tǒng)；系統(tǒng)安全；安全策略

操作系統(tǒng)安全涉及各個方面，其中安全策略[1]起到了至關(guān)重要的作用，因此，Windows系統(tǒng)的安全策略設(shè)置方法也層出不窮，本文從用戶賬號策略、設(shè)備管理策略、安全選項(xiàng)策略等幾方面分別分析闡述了Windows系統(tǒng)安全策略的現(xiàn)狀和設(shè)置等方法。

1 Windows系統(tǒng)安全策略安全設(shè)置

1.1 用戶賬號策略

用戶權(quán)限分配用于確定哪些用戶或組擁有在組織機(jī)構(gòu)內(nèi)部計(jì)算機(jī)上進(jìn)行登錄的權(quán)利或特權(quán)。登錄權(quán)限與特權(quán)控制著用戶在目標(biāo)系統(tǒng)上所擁有的權(quán)限。它們用以授予執(zhí)行特定操作（例如在網(wǎng)絡(luò)或本地進(jìn)行登錄）或管理任務(wù)（例如生成新的登錄令牌）所需的權(quán)限。

來賓（Guests）組及Guest用戶帳號和Support_388945a0在不同域間擁有唯一的SID。因此，這種面向用戶權(quán)限分配的組策略可能需要在那些只存在特定目標(biāo)組的系統(tǒng)上予以修改。或者，也可對策略模板進(jìn)行單獨(dú)編輯，以便在.inf文件中包含適當(dāng)?shù)慕M。舉例來說，應(yīng)當(dāng)在測試環(huán)境中的某臺域控制器上創(chuàng)建一個域控制器組策略。

通過網(wǎng)絡(luò)[2]訪問此計(jì)算機(jī)用戶權(quán)限決定了允許哪些用戶和組通過網(wǎng)絡(luò)與計(jì)算機(jī)建立連接。在Windows Server 2003操作系統(tǒng)中，盡管授予Everyone安全組的權(quán)限將不再為匿名用戶提供訪問權(quán)限，Guests組和Guest帳號仍將通過Everyone安全組被授予訪問權(quán)限。因此，在高安全性運(yùn)行環(huán)境中從網(wǎng)絡(luò)訪問此計(jì)算機(jī)用戶權(quán)限中刪除Everyone安全組，以便進(jìn)一步抵御通過來賓訪問方式對域發(fā)動的攻擊。

強(qiáng)制通過遠(yuǎn)程系統(tǒng)關(guān)機(jī)用戶權(quán)限允許用戶通過網(wǎng)絡(luò)從遠(yuǎn)程位置上關(guān)閉計(jì)算機(jī)。所有能夠關(guān)閉計(jì)算機(jī)的用戶均可發(fā)動拒絕服務(wù)（DoS）攻擊，因此，這種權(quán)限的分配應(yīng)受到嚴(yán)格限制。

通過身份驗(yàn)證后對特定客戶端進(jìn)行模擬的權(quán)限允許代表某個用戶運(yùn)行應(yīng)用程序，以便對特定客戶端進(jìn)行模擬。針對此類模擬方式設(shè)置這種用戶權(quán)限將有效防止未經(jīng)授權(quán)的用戶欺騙指定客戶端與某種他（她）所創(chuàng)建的服務(wù)建立連接，進(jìn)而將自身權(quán)限提升至管理或系統(tǒng)級別。

1.2 設(shè)備管理策略

裝載與卸載設(shè)備驅(qū)動程序權(quán)限決定了哪些用戶可以動態(tài)裝載并卸載設(shè)備驅(qū)動程序。具備裝載與卸載設(shè)備驅(qū)動程序權(quán)限的用戶可以隨意安裝那些偽裝成設(shè)備驅(qū)動程序的惡意代碼。因此，管理員應(yīng)加倍小心，并且僅僅安裝那些經(jīng)過數(shù)字簽署認(rèn)證的驅(qū)動程序。在高安全性運(yùn)行環(huán)境中，這種用戶權(quán)限則應(yīng)用以加強(qiáng)缺省管理員組。

在內(nèi)存中鎖定頁面：作為批處理作業(yè)登錄用戶權(quán)限允許用戶通過諸如任務(wù)計(jì)劃程序服務(wù)之類的批處理隊(duì)列機(jī)制進(jìn)行登錄。由于遭受攻擊的風(fēng)險較低，因此，缺省設(shè)置即可。這種拒絕作為批處理作業(yè)登錄用戶權(quán)限設(shè)置將覆蓋作為批處理作業(yè)登錄用戶權(quán)限設(shè)置。具備這種登錄權(quán)限的帳號可用于對消耗過多系統(tǒng)資源以至于可能導(dǎo)致DoS現(xiàn)象的作業(yè)進(jìn)行調(diào)度。因此，請不要將拒絕作為批處理作業(yè)登錄用戶權(quán)限分配給那些可能對安全性造成威脅的帳號。

恢復(fù)文件與目錄用戶權(quán)限決定了哪些用戶在恢復(fù)備份文件與目錄時可以繞過文件、目錄、注冊表及其它永久對象權(quán)限。同時，這種用戶權(quán)限還決定了哪些用戶可以將合法安全主體設(shè)置為對象所有者。在企業(yè)級或高安全性運(yùn)行環(huán)境中，只有管理員組成員有權(quán)對文件與目錄進(jìn)行恢復(fù)。文件恢復(fù)作業(yè)通常由管理員組或其它指定委托安全組成員來完成，這種方式尤其適用于具有高度敏感性的服務(wù)器和域控制器。

關(guān)閉系統(tǒng)用戶權(quán)限決定了哪些本地登錄用戶能夠通過關(guān)機(jī)命令關(guān)閉操作系統(tǒng)。濫用這種用戶權(quán)限可能造成DoS攻擊。關(guān)閉域控制器的能力應(yīng)被限制在少數(shù)深受信賴的管理員范圍內(nèi)。雖然關(guān)閉系統(tǒng)還需具備登錄到服務(wù)器的能力，但是，仍需謹(jǐn)慎對待哪些允許關(guān)閉域控制器的帳號和組。在高安全性運(yùn)行環(huán)境中，只有管理員組應(yīng)被授予關(guān)閉系統(tǒng)用戶權(quán)限。

同步目錄服務(wù)數(shù)據(jù)用戶權(quán)限允許進(jìn)程讀取目錄中的所有對象和屬性，而不必關(guān)心這些對象和屬性是否存在保護(hù)措施。LDAP目錄同步服務(wù)需要使用這種權(quán)限。這種用戶權(quán)限的缺省設(shè)置并未指定任何帳號，在高安全性運(yùn)行環(huán)境中，必須將其配置為吊銷所有安全組和帳號。

獲取文件或其它對象的所有權(quán)用戶權(quán)限允許用戶獲取系統(tǒng)中任意安全對象的所有權(quán)，其中包括Active Directory對象、NTFS文件系統(tǒng)（NTFS）文件與文件夾、打印機(jī)、注冊表鍵、服務(wù)、進(jìn)程以及線程等。請確保只有本地管理員組擁有獲取文件或其它對象所有權(quán)用戶權(quán)限。

更改系統(tǒng)時間用戶權(quán)限決定了哪些用戶和組能夠更改計(jì)算機(jī)內(nèi)部時鐘的時間與日期。由于事件日志將反映調(diào)整后的新時間，而非事件發(fā)生的真實(shí)時間，因此，需將更改系統(tǒng)時間特權(quán)限制在系統(tǒng)運(yùn)維人員范圍內(nèi)。

1.3 審核策略

管理員應(yīng)當(dāng)創(chuàng)建一種審核策略。這種審核策略用于確定需要報(bào)告至網(wǎng)絡(luò)管理員以便使特定事件類別中的用戶或系統(tǒng)活動得到及時記錄的安全事件。當(dāng)用戶登錄到計(jì)算機(jī)、從計(jì)算機(jī)上注銷，或?qū)徍瞬呗栽O(shè)置進(jìn)行修改時，管理員可以對諸如特定對象訪問者之類的安全活動加以監(jiān)控。

在實(shí)現(xiàn)審核策略前，必須首先完成的一項(xiàng)工作便是確定需要在運(yùn)行環(huán)境中對哪些事件類別進(jìn)行審核。管理員針對事件類別所選擇的審核設(shè)置將用于定義審核策略。通過定義針對特定事件類別的審核設(shè)置，管理員可以創(chuàng)建出適合于整體安全需求的審核策略。

如果未對審核方式加以配置，管理員將很難甚至不可能確定在安全事故中發(fā)生了哪些事件。相反，如果審核方式過于繁瑣，以至于過多授權(quán)活動都將生成事件，那么，安全事件日志將被大量無用數(shù)據(jù)填滿。因此，以下建議做出對哪些事件進(jìn)行監(jiān)控的權(quán)衡決策。

審核事件包括：審核帳號登錄事件、審核帳號管理、審核目錄服務(wù)訪問、審核登錄事件，下面以審核審核帳號登錄事件為例。審核帳號登錄事件設(shè)置用于確定是否對每個用戶實(shí)例登錄或注銷另一臺需要驗(yàn)證帳號的計(jì)算機(jī)的活動進(jìn)行審核。在域控制器上對域用戶帳號進(jìn)行身份驗(yàn)證時將產(chǎn)生一個帳號登錄事件。這個事件將被記錄到域控制器的安全日志中。在本地計(jì)算機(jī)上對本地用戶進(jìn)行身份驗(yàn)證時將產(chǎn)生一個登錄事件。這個事件將被記錄到本地安全日志中。對于帳號注銷事件，則沒有任何信息需要記錄。

1.4 安全選項(xiàng)策略

組策略的安全選項(xiàng)部分用以配置針對計(jì)算機(jī)的安全設(shè)置，例如數(shù)據(jù)數(shù)字簽署、管理員與Guest帳號名稱、軟盤驅(qū)動器與CD-ROM驅(qū)動器訪問能力、驅(qū)動器安裝方式以及登錄提示信息等等。

帳號： Guest 帳號狀態(tài)安全選項(xiàng)設(shè)置用于指示Guest帳號是否已被啟用或禁用。這種帳號允許未經(jīng)身份驗(yàn)證的網(wǎng)絡(luò)用戶通過以來賓身份登錄的方式獲取系統(tǒng)訪問權(quán)限。因此，應(yīng)配置為禁用。限制本地帳號只能在控制臺登錄過程中使用空白密碼安全選項(xiàng)設(shè)置決定了不受密碼保護(hù)的本地帳號是否可以從物理計(jì)算機(jī)控制臺以外的其它位置上進(jìn)行登錄。啟用這項(xiàng)設(shè)置能夠防止具有非空密碼的本地帳號通過網(wǎng)絡(luò)從遠(yuǎn)程客戶端上進(jìn)行登錄，不受密碼保護(hù)的本地帳號將只能通過計(jì)算機(jī)鍵盤進(jìn)行物理登錄。

審核：審核備份與恢復(fù)權(quán)限使用情況安全設(shè)置選項(xiàng)決定了是否在審核特權(quán)使用策略設(shè)置生效后對包括備份與恢復(fù)在內(nèi)的所有用戶權(quán)限使用情況進(jìn)行審核。啟用這種策略將產(chǎn)生大量安全事件，進(jìn)而導(dǎo)致服務(wù)器響應(yīng)速度降低并強(qiáng)制安全事件日志記錄大量意義不大的事件。

設(shè)備：僅限本地登錄用戶訪問軟盤驅(qū)動器安全選項(xiàng)設(shè)置決定了是否同時允許本地及遠(yuǎn)程用戶訪問可移動軟盤媒體。啟用這項(xiàng)設(shè)置將只允許通過交互方式登錄的用戶訪問可移動軟盤媒體。如果這項(xiàng)策略已被啟用，且沒有任何用戶通過交互方式進(jìn)行登錄，那么，軟盤媒體將能夠通過網(wǎng)絡(luò)進(jìn)行訪問。

域控制器：對來自安全通道的數(shù)據(jù)進(jìn)行數(shù)字加密/簽署安全選項(xiàng)設(shè)置用于決定域成員是否需要針對它們發(fā)起的所有安全通道通信操作嘗試就加密/簽署事宜進(jìn)行協(xié)商。啟用這項(xiàng)設(shè)置將促使域成員為所有安全通道通信內(nèi)容請求加密/簽署。禁用這項(xiàng)設(shè)置則會阻止域成員協(xié)商安全通道加密/簽署事宜。因此，這種安全選項(xiàng)的取值均被設(shè)置為啟用。

2 結(jié)束語

操作系統(tǒng)安全涉及各個方面，其中安全策略起到了至關(guān)重要的作用。操作系統(tǒng)安全策略的基本設(shè)置是信息安全等級保護(hù)的基礎(chǔ)。本文從信息安全等級保護(hù)的角度出發(fā)，分析和闡述了Windows操作系統(tǒng)安全策略的現(xiàn)狀和設(shè)置等方法，從用戶賬號策略設(shè)置、設(shè)備管理策略設(shè)置、審核策略設(shè)置、安全選項(xiàng)策略設(shè)置四個方面闡述了進(jìn)行windows操作系統(tǒng)基本的安全策略設(shè)置方法，表述了對操作系統(tǒng)基線策略設(shè)置的實(shí)施。

參考文獻(xiàn)

[1]高愛乃.淺析Windows Server 2003安全策略[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.

[2] 李新偉.應(yīng)力.信息安全策略分析[J].信息網(wǎng)絡(luò)安全.2010.2.

[3] 馬文.江翰.彭秋霞.電力信息安全基線自動化核查[J].云南電力技術(shù).2013.2.

作者簡介

于佳麗（1986-），女，寧夏中寧人，助理工程師，從事電力行業(yè)信息安全工作。

曹明（1967-），男，寧夏中衛(wèi)人，高級工程師，從事電力行業(yè)信息安全工作。

施科峰（1979-），男，寧夏中寧人，工程師，從事電力行業(yè)信息通信工作。