“組策略”增強Windows系統(tǒng)安全的方法分析

梁春華

摘 要：操作系統(tǒng)是計算機體系中最基本的系統(tǒng)軟件，它是連接底層硬件和上層軟件的橋梁，操作系統(tǒng)的安全性是計算機系統(tǒng)安全的基本保障。文章詳細介紹了運用Windows操作系統(tǒng)的組策略來增強系統(tǒng)的安全，展示了組策略在系統(tǒng)安全維護中的作用，并且給出了組策略的安全設(shè)置方法。

關(guān)鍵詞：操作系統(tǒng)安全;Windows操作系統(tǒng);組策略

1 ? 常用的安全防御策略的模型

隨著全球信息化時代的來臨，使用因特網(wǎng)辦公和娛樂的人們越來越多，但人們對網(wǎng)絡(luò)和操作系統(tǒng)的安全意識卻相對薄弱，這就使得人們所使用的計算機系統(tǒng)存在著很多的安全隱患。確保一個計算機系統(tǒng)的安全，可以考慮兩方面的因素。一個是物理設(shè)施的安全，另一個就是系統(tǒng)設(shè)置的安全。本文涉及的就是一個常用的安全防御策略的模型。

在這個安全模型中，最外層的策略、過程和意識指對人的安全教育。很多時候系統(tǒng)的不安全都是由于人的誤操作所導致的，這種誤操作也許是不經(jīng)意中做的，比如對一些不明應(yīng)用程序的點擊，導致了一些木馬或病毒的激活，所以用戶應(yīng)該不斷學習，增加安全知識和意識。物理安全指的是通過增加一些物理設(shè)施，比如對于一個企業(yè)而言，可以增加警衛(wèi)，給放置服務(wù)器的機房上鎖或安裝一些跟蹤設(shè)備等，來增強系統(tǒng)的安全。周邊網(wǎng)絡(luò)指的是當采取VPN技術(shù)的方式撥入企業(yè)內(nèi)部網(wǎng)絡(luò)時，由于客戶端計算機帶有病毒導致內(nèi)部網(wǎng)絡(luò)系統(tǒng)中毒，這樣防范周邊網(wǎng)絡(luò)可采取安裝防火墻、邊界路由器等。內(nèi)部網(wǎng)絡(luò)的安全可啟用NIDS網(wǎng)絡(luò)入侵檢測系統(tǒng)等方式。主機層安全指的就是系統(tǒng)自身的安全。數(shù)據(jù)層的安全可通過加密、備份與還原策略來實現(xiàn)[1]。

顯然，若要建造一個非常安全的系統(tǒng)，那么就必須層層安全都做到。在確保物理安全的情況下，重點就是如何保證主機層的安全。

主機層的組成可分為硬件和軟件兩部分。硬件的安全隱患多來源于設(shè)計，只有采用新的功能增強的硬件才能提高其安全性能。而軟件又可分為系統(tǒng)軟件和應(yīng)用軟件兩大部分，系統(tǒng)軟件為應(yīng)用軟件提供服務(wù)平臺，而操作系統(tǒng)又是系統(tǒng)軟件的核心，它提供了系統(tǒng)硬件和上層應(yīng)用程序之間的協(xié)調(diào)通信。

因此，操作系統(tǒng)的安全是確保整個計算機系統(tǒng)安全中最重要、最基本的要素。操作系統(tǒng)的任何安全漏洞，都將威脅整個計算機系統(tǒng)的安全。增強操作系統(tǒng)的安全就成了確保整個計算機系統(tǒng)安全的第一要務(wù)。

本文主要介紹了運用Windows系統(tǒng)中提供的組策略機制來增強Windows系統(tǒng)的安全，展示了組策略在系統(tǒng)安全維護中的作用，并且詳細地給出了具體的安全設(shè)置方法。

2 ? Windows系統(tǒng)中提供的組策略機制

所謂策略，是Windows中的一種自動配置設(shè)置的機制[2]。組策略，顧名思義，就是基于組的策略。實際上組策略就是一種功能，能夠完成網(wǎng)絡(luò)集中化管理、用戶環(huán)境管理、降低管理用戶的開銷、強制執(zhí)行企業(yè)策略。

組策略和注冊表密切相關(guān)，注冊表是Windows系統(tǒng)中保存系統(tǒng)軟件和應(yīng)用軟件配置的數(shù)據(jù)庫，隨著系統(tǒng)功能的增加，注冊表里的配置項也越來越多，若要手工實現(xiàn)一個完善的配置，系數(shù)難度就比較大了。而組策略卻能輕易實現(xiàn)，原因就是組策略是將系統(tǒng)重要的配置功能匯集成各種配置模塊，用戶可以直接使用，很方便地管理計算機。簡單地說，組策略就是修改注冊表中的配置。當然，組策略使用自己更完善的管理組織方法，可以對各種對象中的設(shè)置進行管理和配置，遠比手工修改注冊表方便、靈活，功能也更加強大[3]。

2.1 ? 組策略簡介

使用組策略首先打開“開始”菜單中的“運行”命令，在“運行”命令框中執(zhí)行“gpedit.msc”命令，即可打開組策略編輯器窗口。左側(cè)窗口中分為“計算機配置”和“用戶配置”兩大項，其實在這兩項中設(shè)置的效果都是一樣的。只不過“計算機配置”這一項對應(yīng)的是注冊表中“HKEY_LOCAL_MACHINE”，而“用戶配置”對應(yīng)的是注冊表中“HKEY_CURRENT_USER”。所以“計算機配置”中的配置會作用于整個系統(tǒng)，而“用戶配置”中的配置只顯示在當前賬號登錄的時候。

若要設(shè)置整個系統(tǒng)，打開“計算機配置”/“windows設(shè)置”/“安全設(shè)置”后，就可以看到關(guān)于帳戶策略、本地策略、公鑰策略、軟件限制策略和IP安全策略的各項設(shè)置，我們可以通過這里輕松實現(xiàn)。

2.2 ?組策略功能應(yīng)用

2.2.1 ?屏蔽可疑程序

木馬是一種非常危險的惡性程序。一般情況，多數(shù)木馬都模仿遠程控制軟件的功能，但木馬的獨到之處在于其隱蔽性，它的啟動和所有操作都是在隱蔽之中完成的。

為了實現(xiàn)其隱蔽性，木馬都會存放到系統(tǒng)文件夾下，如系統(tǒng)的回收站、系統(tǒng)還原文件夾、system文件夾、drivers文件夾等，有時還會再加上隱藏屬性，使用戶很難發(fā)現(xiàn)。但在正常情況下，這些文件夾中是沒有可執(zhí)行程序文件的。所以系統(tǒng)可以通過阻止可執(zhí)行文件出現(xiàn)在這些文件夾中，達到防范木馬的目的。具體方式如下：

（1）打開“組策略編輯器”窗口，點擊“計算機配置”下的“Windows設(shè)置”，打開“安全設(shè)置”菜單中的“軟件限制策略”，會看到“安全級別”和“其他規(guī)則”兩項（如果以前未設(shè)置過安全策略，則在“軟件限制策略”上點擊鼠標右鍵，選擇菜單中的“創(chuàng)建新的策略”命令，這時就會出現(xiàn)“安全級別”和“其他規(guī)則”兩項）。

（2）在“其他規(guī)則”上點擊右鍵，打開“新建路徑規(guī)則”窗口，選擇菜單中的“ 新路徑規(guī)則” 命令。在“ 路徑” 選項中輸入“？ ： ＼Recycled ＼*.exe”，由于每個磁盤根目錄都包括一個回收站文件夾，因此這里使用的是通配符路徑。然后在“安全級別”列表選擇“不允許的”即可。

（3）按照相同的方法，屏蔽系統(tǒng)還原文件夾（？：＼System Volume information＼*.exe）、Drivers文件夾（%windir % ＼system＼*.exe）、System文件夾（%windir%＼system32 ＼Drivers＼*.exe）里面的可執(zhí)行文件。

通過制定這些規(guī)則，增加了系統(tǒng)防御木馬的能力。

2.2.2 ?禁用IE組件自動安裝

有時候，當用戶在訪問某個網(wǎng)站時，會收到一則消息，提示用戶下載并安裝某個指定的組件，否則，無法查看用戶的信息或不能實現(xiàn)某些功能，一般用戶會毫無疑問地點擊“安裝”。這正是一些病毒程序的突破口。

設(shè)置“禁用Internet Explore組件的自動安裝”項，增強系統(tǒng)這方面的防御能力。具體步驟如下：

（1）打開“組策略編輯器”窗口，點擊“計算機配置”下的“管理模板”，打開“Internet Explore”選項。

（2）雙擊右邊窗口中的“禁用Internet Explore組件的自動安裝”項目，在打開的窗口中選擇“已啟動”單選按鈕，即可禁止Internet Explore自動安裝組件。同時中還提供了很多關(guān)于Internet Explore安全方面的設(shè)置，比如“禁止用戶添加刪除站點”“禁止用戶更改策略”以及“Internet控制面板”等，通過設(shè)置這些策略選項，可以更進一步提高IE的安全。

2.2.3 ?自動記錄操作

Windows網(wǎng)絡(luò)操作系統(tǒng)都設(shè)計有各種日志文件，如應(yīng)用程序日志、安全日志、系統(tǒng)日志等。我們在系統(tǒng)上進行一些操作時，這些日志文件通常會記錄下操作的相關(guān)內(nèi)容，這些內(nèi)容對系統(tǒng)安全工作人員相當有用。查看這些日志文件可以通過“事件查看器”完成。

但系統(tǒng)的設(shè)置不一樣，生成的日志也不相同，我們可以通過“組策略”制定更詳細的日志。方法如下：

（1）打開“組策略編輯器”窗口，點擊“計算機配置”下的“Windows設(shè)置”， 打開其中的“安全設(shè)置”菜單中的“本地策略”，就會看到“審核策略”，雙擊“審核策略”，在右邊窗口中看到可以審核策略更改、登錄事件、對象訪問、過程跟蹤、目錄服務(wù)訪問以及特權(quán)使用、賬戶登錄事件等。

（2）雙擊“審核策略更改”，打開該審核策略的屬性窗口，選中審核操作中的“成功”和“失敗”兩項，這樣只要組策略被修改過，系統(tǒng)就會記錄下來。同樣的方式可啟用其他的審核。

這樣，當組策略被修改后，系統(tǒng)發(fā)生了問題，在“事件查看器”里就會及時查到哪些策略被修改了。若設(shè)置了“審核登錄事件”，還可查看到詳細的登錄事件。

3 ? 結(jié)語

確保系統(tǒng)安全的軟件有很多，但操作系統(tǒng)本身的安全在確保整個信息系統(tǒng)安全中扮演著非常重要的角色，沒有操作系統(tǒng)的安全保障，那些安全軟件也無法發(fā)揮其應(yīng)有的安全防范作用。組策略是設(shè)置操作系統(tǒng)安全最好的途徑。隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)操作系統(tǒng)版本的不斷提升，組策略功能也在日益強大。

[參考文獻]

[1]戴有煒.Windows server 2003網(wǎng)絡(luò)專業(yè)指南[M].北京：清華大學出版社，2004.

[2]鞠光明.Windows服務(wù)器維護與管理[M].北京：北京大學出版社，2006.

[3]呂瑞霞，賀春林.關(guān)于windows下組策略管理的討論[J].電腦知識與技術(shù)，2008（4）：1001-1002.

（編輯 傅金睿）