實現(xiàn)系統(tǒng)多層次深度防御

利用組策略，提高系統(tǒng)安全性

這里就從組策略的角度出發(fā)，來說明如何通過合理的配置提高系統(tǒng)的安全性，這包括安全模板、用戶權(quán)限、安全選項、UAC賬戶控制、安全審核、限制組等。

利用組策略實現(xiàn)系統(tǒng)安全，系統(tǒng)內(nèi)置了一些專用的模板，其范圍包括賬戶策略、本地策略、事件日志、限制組、系統(tǒng)服務(wù)、注冊表、文件系統(tǒng)等。對于組策略的管理，實際針對的是本地組策略和活動目錄上的組策略兩種。對于前者來說，可以直接運行“gpedit.msc”程序，對組策略進行管理。

如果針對本機上不同的用戶進行管理，可以運行“mmc”程序，在控制臺上依次點擊菜單“文件”、“添加/刪除管理單元”項，選擇“組策略對象編輯器”項，點擊“添加”按鈕，在彈出窗口中點擊“瀏覽”按鈕，在瀏覽組策略對象面板中選擇目標賬戶，將其添加到控制臺中。這樣，可以針對不同的賬戶分別配置其組策略參數(shù)。對于后者來說，當在DC控制器上啟動組策略管理器后，在其左側(cè)選擇“林”→“域”→“域名”→“組策略對象”項，在其右鍵菜單上點擊“新建”項，輸入名稱后，創(chuàng)建新的組策略對象。

之后在其右鍵菜單上點擊“編輯”項，對其內(nèi)容進行合理的配置。編輯完畢后，可以將其鏈接到不同的容器中。例如在域名節(jié)點上點擊“鏈接現(xiàn)有GPO”項，選擇上述組策略對象，就可以將其應(yīng)用到域中的所有主機中。例如，在Windows Server 2012域控制器上打開服務(wù)器管理器窗口，點擊菜單“工具”→“組策略管理”項，在其中打開“組策略管理”→“林”→“域”→“某個域名”→“組策略對象”項，在其下選擇某個策略對象，在其右鍵菜單上點擊“編輯”項，在編輯窗口左側(cè)選擇“策略名”→“計算機配置”→“策略”→“Windows設(shè)置”→“安全設(shè)置”項，在其下可以找到很多與安全性有關(guān)的項目。

例如選擇賬戶策略，可以配置密碼策略，賬戶鎖定策略等。包括密碼復雜性要求、密碼長度值、使用期限、強制密碼歷史、賬戶鎖定時間、鎖定閥值等。在本地策略中包含審核策略，用戶權(quán)限分配，安全選項等，在日志事件策略中可以設(shè)置很多與日志有關(guān)的安全項目，包括安全日志保留天數(shù)、安全日志最大值、系統(tǒng)日志保留的天數(shù)與方法、防止本地來賓組訪問安全日志和應(yīng)用程序日志、限制來賓組訪問系統(tǒng)日志等，對受限制的組、系統(tǒng)服務(wù)、注冊表和文件系統(tǒng)、高級安全Windows防火墻、軟件限制策略、網(wǎng)絡(luò)訪問保護、應(yīng)用程序控制等策略進行管理。

此外，在組策略中使用IPSec策略，可以有效保證通訊雙方的數(shù)據(jù)安全。對于一些可能影響系統(tǒng)運行的程序，可以利用軟件限制策略對其進行控制，利用文件限制策略以及應(yīng)用程序控制策略來限制對目標文件的訪問，利用高級審核策略可以對文件的訪問情況進行有效控制，使用注冊表控制策略可以對注冊表訪問進行管控等。這些操作實現(xiàn)起來都比較簡單，這里就不再贅述了。

使用安全模板，快速調(diào)整安全配置

實際上，對于企業(yè)管理員來說，應(yīng)該根據(jù)實際需要，來手工創(chuàng)建所需的安全模板。而且應(yīng)該基于不同的服務(wù)器角色，來創(chuàng)建滿足該角色安全需要的模板。

例如對于Web服務(wù)器、DNS服務(wù)器來說，需要為其分別創(chuàng)建安全策略模板，來保證不同角色的安全。所謂模板，指的是基本的通用的，使用者必須遵守的安全規(guī)則內(nèi)容，當將模板創(chuàng)建好并應(yīng)用到目標服務(wù)器上之后，可以根據(jù)需要對其進行適當修改，來快速的實現(xiàn)安全部署，而無需從頭費時費力的開始為每臺主機配置安全策略。

可以使用多種方法，來創(chuàng)建安全模板。例如運行“mmc”命令，在控制臺窗口中依次點擊菜單“文件”、“添加/刪除管理單元”項，在彈出窗口左側(cè)的“可用的管理單元”列表中選擇“安全模板”項，點擊“添加”按鈕，在控制臺左側(cè)選擇“安全模板”、“C:UsersAdministratorDocumentsSecurityTemplates”項，在其右鍵菜單上點擊“新加模板”項，輸入模板名（例如“Web Server Templates”）和描述信息，表示專門針對Web服務(wù)器之用。點擊“添加”按鈕，完成該模板的創(chuàng)建。之后打開該模板項，可以發(fā)現(xiàn)其中的所有策略項目全部處于未定義狀態(tài)。

您可以根據(jù)具體的需要，來靈活的設(shè)置所需的安全項目。例如對于Web服務(wù)器來說，可以依次選擇“本地策略”、“安全選項”項，在右側(cè)選擇“交互式登錄：提示用戶在過期之前更改密碼”項，在彈出窗口中選擇“在模板中定義此策略設(shè)置”項，在其下設(shè)置具體的天數(shù)。這樣，可以在規(guī)定時間內(nèi)提醒使用者更改密碼。

雙擊“交互式登錄：不顯示最后的用戶名”項，在彈出窗口中選擇“在模板中定義此策略設(shè)置”和“已啟用”項，可以禁止顯示上次登錄使用者的賬戶名信息。以及是否從網(wǎng)絡(luò)上匿名訪問本機的共享數(shù)據(jù)，超過登錄時間后強制注銷，關(guān)機時清除內(nèi)存頁面文件等大量的項目。

通過合理的設(shè)置，可以有效提升系統(tǒng)安全性。當設(shè)置完畢后，在模板名稱（例如“Web Server Templates”）的 右 鍵 菜 單上點擊“保存”項，存儲修改的信息。有了安全模板后，就可以靈活的執(zhí)加以應(yīng)用了。例如在Windows Server 2012域控制器上打開服務(wù)器管理器窗口，點擊菜單“工具”、“組策略管理”項，在其中打開“組策略管理”→“林”→“域”→“某個域名”→“組策略對象”項，在其下選擇某個策略對象，在其右鍵菜單上點擊“編輯”項，在編輯窗口左側(cè)選擇“策略名”→“計算機配置”→“策略”→“Windows設(shè)置”→“安全設(shè)置”項，在其右鍵菜單上點擊“導入策略”項，選擇上述模板文件，就可直接導入進來，實現(xiàn)了快速的安全部署。可以看到，依靠安全模板可以極大地簡化安全設(shè)置，使用起來很方便。當需要統(tǒng)一調(diào)整安全策略時，只需要對模板進行調(diào)整即可。

利用安全配置向?qū)В焖俨渴鸢踩呗?/h2>

此外，利用系統(tǒng)提供的安全配置向?qū)В梢詭椭鷦?chuàng)建一個安全策略，您可以將其應(yīng)用到網(wǎng)絡(luò)上的任何服務(wù)器。該安全策略基于服務(wù)器的配置服務(wù)和網(wǎng)絡(luò)安全，并配置審核和注冊表設(shè)置。

例如，可以在先本機上配置好相關(guān)的安全策略，在服務(wù)器管理器中點擊菜單“工具”、“安全配置向?qū)А表棧谙驅(qū)Ы缑嬷悬c擊“下一步”按鈕，選擇“新建安全策略”項，在“下一步”窗口中點擊“瀏覽”按鈕，選擇一個服務(wù)器作為此安全策略的基準，即可以將此策略應(yīng)用到選定的服務(wù)器，也可以將其應(yīng)用到任何配置與其相似的服務(wù)器上。這里選擇“本機”，點擊“下一步”按鈕，該程序可以對本機進行檢測，來了解和本機相關(guān)的配置信息。點擊“查看配置數(shù)據(jù)庫”按鈕，在SCW查看器窗口中可以從服務(wù)器角色、客戶端功能、管理和其他選項、服務(wù)、Windows防火墻等方面，來詳細的了解本機的全部配置信息。

點擊“下一步”按鈕，可基于角色對服務(wù)進行配置。在選擇服務(wù)器角色窗口中顯示本機安裝的所有角色，對于在目標服務(wù)器上沒有的角色（例如故障轉(zhuǎn)移群集、打印服務(wù)器、卷影副本等），可以取消其選擇狀態(tài)，在下一步的選擇客戶端功能項列表中顯示本機安裝的功能組件，可以根據(jù)需要進行取舍。之后依次點擊“下一步”按鈕，執(zhí)行選擇所需的管理和其他選項，選擇所需的系統(tǒng)服務(wù)，對于沒有找到的服務(wù)，采取禁用或者不更改的操作，確認服務(wù)更改等操作。

在網(wǎng)絡(luò)安全規(guī)則窗口中顯示本機所有的防火墻規(guī)則，您可以根據(jù)需要進行取舍。對于沒有選用的防火墻規(guī)則，當本安全配置策略應(yīng)用到目標服務(wù)器后，是處于禁用狀態(tài)的。點擊“下一步”按鈕，在出站身份驗證方法窗口中選擇服務(wù)器用來對遠程計算機進行驗證的方法，包括域賬戶、遠程計算機上的本地賬戶、文件共享密碼等。在“下一步”窗口中選擇出站身份驗證方式，在系統(tǒng)審核策略窗口中選擇審核的目標，包括不審核、審核成功的操作、審核成功和不成功的操作等。在安全策略文件名窗口中點擊“瀏覽”按鈕，選擇安全策略文件保存路徑，點擊“包括安全模板”按鈕，可以添加所需的安全模板文件。選擇“稍后應(yīng)用”項，點擊“完成”按鈕，關(guān)閉安全配置向?qū)Ы缑妗?/p>

這樣，就可以將本機的安全配置信息提取出來，之后就可將其應(yīng)用到其他服務(wù)器上。方法是將上述安全策略文件復制到其他服務(wù)器上，在該機上的服務(wù)器管理器中點擊菜單“工具”、“安全配置向?qū)А表棧谙驅(qū)Ы缑嬷悬c擊“下一步”按鈕，在配置操作窗口中選擇“應(yīng)用現(xiàn)有的安全策略”項，點擊“瀏覽”按鈕，選擇上述安全策略文件，點擊“下一步”按鈕，就可應(yīng)用到當前的服務(wù)器上。如果應(yīng)用后發(fā)現(xiàn)了問題影響到本服務(wù)器的運行，可以選擇“回滾上一次應(yīng)用的安全策略”項，取消上一次的應(yīng)用操作，恢復到原始的運行狀態(tài)。

對用戶訪問權(quán)限進行管控

對于用戶權(quán)限來說，包括特權(quán)和登錄權(quán)限等方面。例如，在組策略管理器中選擇“本地策略”下的“安全選項”和“用戶權(quán)限”項，在右側(cè)可以針對是否允許用戶本地登錄、允許關(guān)機的用戶、允許哪些用戶將工作站加入到域、拒絕哪些用戶本地登錄、在登錄后強制注銷等等。為了防止不法用戶攻擊Administrator管理員賬戶，可以雙擊“賬戶:重名命系統(tǒng)管理員賬戶”項，選擇“在模板中定義此策略設(shè)置”項，輸入新的管理員賬戶名。這樣，就可以更改管理員賬戶的名稱。

對于某些用戶來說，在分配權(quán)限時，應(yīng)該采用最小化權(quán)限原則，即盡可能為其分配剛好滿足其需要的權(quán)限，而不要為其分配更多的權(quán)限。對于不同的服務(wù)，最好為其單獨指派管理員。對于管理員組來說，應(yīng)該盡量限制其成員的數(shù)量。使用組策略，可以有效對某些特殊組進行管控。

例如，在組策略管理器中選擇的“安全設(shè)置”、“受限制的組”項，在其右側(cè)窗口的右鍵菜單中點擊“添加組”項，在彈出窗口中點擊“瀏覽”按鈕，在選擇組窗口中找到某個組（例 如“Domain Admins”），點擊“確定”按鈕，在其屬性窗口中的“這個組的成員”欄中點擊“添加”按鈕，選擇所需的賬戶。在“這個組隸屬于”欄中點擊“添加”按鈕，可以選擇所需的組名。這樣，該賬戶組就處于限制狀態(tài)，別人就無法隨意向其中添加賬戶了。

對于賬戶的設(shè)置，必須保證其安全性。對于賬戶密碼來說，應(yīng)該保證其復雜度和合適的期限。利用在密碼策略中，雙擊“密碼必須符合復雜性要求”項，使其處于激活狀態(tài)，這樣密碼必須由大小寫字符，特殊符合和數(shù)字組成。設(shè)置密碼長度最小值、密碼最短使用期限、密碼最長使用期限等。在“輕質(zhì)密碼歷史”項中設(shè)置合適的數(shù)值，這樣就不能使用指定數(shù)量的歷史密碼。例如將其設(shè)置為3個記住的密碼，表示不能使用前三次使用過的密碼。配合賬戶鎖定策略，可以有效防止暴力破解行為。