如何运用组策略和活动目录实现window操作系统安全管理?

如题所述

自Windows诞生以来，很多人就抱怨它像漏勺一样浑身是漏洞。诚然，一些用户的系统被攻破，Windows的漏洞是一个因素，但很多人没有安全意识，设置不当也是一个非常重要的原因。其实，就系统安全来说，只要你及时安装补丁，设置得当，Windows的安全性还是值得信赖的。本文就从组策略入手，介绍如何使你的Windows 2000 Server更安全（本文也适用于Windows 2000以上的其它Server版本）。　　

　　重命名默认帐户

　　通过IPC$或终端服务（IPC$或终端服务是Windows为了共享资源和远程管理而设置的功能，但由于设置不当，很多系统被黑客通过IPS$或终端服务控制，所以有些人也把IPS$或终端服务叫做系统漏洞）可以远程登录到计算机。如图1所示，在这个终端服务客户端的窗口中，只要我们正确输入了Windows的管理员帐户和密码，就能像操作本地电脑那样操作远程的IP地址为222.57.88.143的计算机。Windows内置了Administrator和Guest帐户，而Administrator就是具有全部权限的管理员帐户。一些“爆破手”可以通过密码猜测或暴力破解的方法获得这一帐户的口令，所以建议你重命名这两个帐户：在“开始”菜单单击“运行”，输入“gpedit.msc”打开组策略编辑器，依次展开“计算机配置”　“Windows设置”　“安全设置”　“本地策略”　“安全选项”，在右侧分别双击“重命名系统管理员帐户”、“重命名来宾帐户”策略，在弹出的对话框上重新输入一个帐户名即可重命名Administrator和Guest帐户。
组策略为你打造安全的操作系统　　

　 提示：对于黑客来说，得到Administrator帐户的密码是他们梦寐以求的事情，但Administrator帐户又不能被删除或禁用（即便改名以后也不能被删除或禁用，这样可以确保用户不会因为删除或禁用所有的管理员帐户而失去添加或删除帐户的管理权限），所以要保证该帐户的安全，可行的办法就是改名或使用一个复杂的密码。

　　启用帐户锁定策略

　　有些黑客会利用帐户词典和密码词典远程破解Windows帐户以便通过IPC$或终端服务远程登录到Windows。启用帐户锁定策略可以有效防止黑客通过这种方法远程破解Windows帐户。打开组策略编辑器，依次展开“计算机配置”　“Windows设置”　“安全设置”　“帐户策略”　“帐户锁定策略”，在右侧双击“帐户锁定阈值”，在弹出的对话框上输入“5”（登录失败5次被猜测的帐户将被锁定），接着，再双击“账户锁定时间”，在弹出的对话框输入“30”（30分钟之后锁定将被解除），这样，就可有效地防止黑客利用软件采用穷举法远程破解Windows帐户。

　 提示：有些用户喜欢把Administrator帐户改名为Admin、Root之类的名字，这样改了等于没改，因为在黑客使用的大多数帐户词典中，这类帐户早就被列为爆破的对象。　
启用密码策略

　　从上面的介绍可以看出Windows帐户和密码的重要性，但是大多数Windows用户的帐户使用的却是“弱口令”（密码极易被破解的口令），甚至有些用户的Administrator帐户是空口令。为了防止帐户和密码设置上的“轻率”，使你的Windows帐户有一个复杂的密码，建议按以下方法启用密码策略：打开组策略编辑器，依次展开“计算机配置”　“Windows设置”　“安全设置”　“帐户策略”　“密码策略”，双击相应的策略，在弹出的对话框上启用“密码必须符合复杂性要求”策略，并设置密码长度的最小值为8个字符，强制密码历史为3个，密码最长存留期为30天。

　　提示：短密码的安全性很低，因为使用词典破解工具可以很容易地破解短密码，但不是说长密码就一定很安全，很长的密码可能会造成密码输入错误而导致帐户被锁定，另外，太长的密码为了便于记忆你可能会写下来或保存在电脑中，这反而会降低密码的安全性，所以大多数环境下笔者建议你使用由8个字符组成的密码，因为这种密码足够长，可提供充分的安全性；同时也足够短，能够便于记忆。

　　不显示上次登录的用户名　　

　　在默认设置下，Windows 2000 Server在交互式登录窗口上会显示上次登录的帐户名（如图2），为了防止用户猜测或破解这一帐户，我们可以让Windows 2000 Server的交互式登录窗口不显示上次登录的帐户名。具体做法是：打开组策略编辑器，依次展开“计算机配置”　“Windows设置”　“安全设置”　“本地策略”　“安全选项”，在右侧双击“登录屏幕上不要显示上次登录的用户名”策略，在弹出的对话框上选择“已启用”即可。
启用审核策略　　

　　审核策略启用后（如图3），Windows会通过安全日志记录被审核对象的操作，可以通过“事件查看器”查看安全日志，比如，如果黑客通过终端服务登录失败，而你又审核“成功”或“失败”的登录事件，那么在“事件查看器”中Windows就会记录如图3所示的事件。从图4上可以看出，在2005年8月9日10点45分，黑客使用“X-cov”的帐户登录时，由于系统中不存在该账户或密码错误，致使该黑客没有登录成功。　　

　　

　　

　　

　　提示：这里需要说明的是启用审核策略会消耗掉一部分系统资源，而且审核太多的对象会使安全事件骤增，这也不利于查看事件。所以审核策略不是“越多越好”，要根据“需要和可能”权衡而定。

默认安装完Windows XP之后，我们的Windows XP并不很安全。因此，我们有必要对系统进行一些修修补补， 一般情况下我们都要动用到注册表。诚然，修改注册表是一种非常有效的方法，但是它需要一定的计算机知识，否则极有可能会引起系统崩溃。不过，如果我们注意使用Windows XP中的组策略，就可以轻松地打造一个安全的Windows XP，而无需我们动用注册表编辑器!

　　一、了解XP的组策略

　　大家还记得Windows 98时代，我们曾用过Windows 98安装光盘上的“策略编辑器”的软件，当时想必也为它的神奇功能而惊叹不已!“组策略”工具的原理与Windows 98中的“策略编辑器”原理相同。利用它可以把很多平时需要冒着危险修改注册表才能够完成的操作在更为直观的界面中操作完成。

　　因此，通俗地说，“组策略”就是一个另类的注册表编辑器，利用它就可以更改系统中的某些重要设置。不仅可以省去记忆键值的痛苦，还可以免受修改注册表不慎带来的危险。

　　小提示

　　组策略不等同于“注册表编辑器”，“注册表编辑器”理论上可以更改任意的键值，从而让它更满足我们的要求。但是组策略只是对某些项目进行控制，因此从某种意义上来说，组策略能够完成的任务，修改注册表一定能够完成。但反之，修改注册表能够完成的任务，通过组策略就不一定能够有效。

　　二、组策略的启动

　　单击“开始”→“运行”命令，在“运行”对话框的“打开”栏中输入“gpedit.msc”，然后单击“确定”按扭即可启动Windows XP组策略编辑器。

　　在打开的组策略窗口中(如图1所示)，我们可以发现左侧窗格中是以树状结构给出的控制对象，右侧窗格中则是针对左边某一配置可以设置的具体策略。

　　小提示 “计算机配置”和“用户配置”的联系与区别

　　另外，您或许已经注意到，左侧窗格中的“本地计算机”策略是由“计算机配置”和“用户配置”两大子键构成，并且这两者中的部分项目是重复的，如两者下面都含有“软件设置”、“Windows设置”等。那么在不同子键下进行相同项目的设置有何区别呢?其实，这里的“计算机配置”是对整个计算机中的系统配置进行设置的，它对当前计算机中所有用户的运行环境都起作用；而“用户配置”则是对当前用户的系统配置进行设置的，它仅对当前用户起作用。例如，二者都提供了“停用自动播放”功能的设置，如果是在“计算机配置”中选择了该功能，那么所有用户的光盘自动运行功能都会失效；如果是在“用户配置”中选择了此项功能，那么仅仅是该用户的光盘自动运行功能失效，其他用户则不受影响。设置时需注意这一点。

　　三、用组策略打造完全XP

　　通过组策略工具，我们可以对系统进行一些设置，使它更加安全。下面就是非常实用的例子：

　　1.限制IE浏览器的保存功能

　　当多人共用一台计算机时，为了保持硬盘的整洁，需要对浏览器的保存功能进行限制使用，那么如何才能实现呢?具体方法为：选择“用户设置”→“管理模板”→“Windows组件”→“Internet Explorer”→“浏览器菜单”分支。双击右侧窗格中的“‘文件’菜单：禁用‘另存为…’菜单项”(如图2)，在打开的设置窗口中选中“已启用”单选按钮(如图3)。

　　小提示

　　在图2窗格中，我们还可以对“‘文件’菜单：禁用另存为网页菜单项”、“‘查看’菜单：禁用‘源文件’菜单项”和“禁用上下文菜单”等策略项目进行修改，这样我们的IE将会安全一些。

　　2.禁止修改IE浏览器的主页

　　如果您不希望他人或网络上的一些恶意代码对自己设定的IE浏览器主页进行随意更改的话，我们可以选择“用户配置”→“管理模板”→“Windows 组件”→“Internet Explorer”分支，然后在右侧窗格中，双击“禁用更改主页设置”策略启用即可(如图4)。

　　小提示

　　(1)在图4窗格中，还提供了更改历史记录设置、更改颜色设置和更改Internet临时文件设置等项目的禁用功能。如果启用了这个策略，在IE浏览器的“Internet 选项”对话框中，其“常规”选项卡的“主页”区域的设置将变灰。

　　(2)如果设置了位于“用户配置”→“管理模板”→“Windows 组件”→“Internet Explorer”→“Internet 控制面板”中的“禁用常规页”策略，则无需设置该策略，因为“禁用常规页”策略将删除界面上的“常规”选项卡。

　　(3)逐级展开“用户设置”→“管理模板”→“Windows组件”→“Internet Explorer”分支，我们可以在其下发现“Internet控制面板”、“脱机页”、“浏览器菜单”、“工具栏”、“持续行为”和“管理员认可的控件”等策略选项。利用它可以充分打造一个极有个性和安全的IE。

　　3.给我们的IP添加安全策略

　　在“计算机配置”→“Windows设置”→“安全设置”→“IP 安全策略，在本地计算机”下与有与网络有关的几个设置项目。如果大家对Internet较为熟悉，那也可以通过它来添加或修改更多的网络安全设置，这样在Windows上运行网络程序或者畅游Internet时将会更加安全。

　　小提示

　　由于此项较为专业，其间会涉及到很多的专业概念，一般用户用不到，在这里只是给网络管理员们提个醒，因此在此略过。

　　4.禁用IE组件自动安装

　　选择“计算机配置”→“管理模板”→“Windows组件”→“Internet Explorer”项目，双击右边窗口中“禁用Internet Explorer组件的自动安装”项目，在打开的窗口中选择“已启用”单选按钮，将会禁止 Internet Explorer 自动安装组件。这样可以防止 Internet Explorer 在用户访问到需要某个组件的网站时下载该组件，篡改IE的行为也会得到遏制!相对来说IE也会安全许多!

　　小提示

　　如果禁用该策略或不对其进行配置，则用户在访问需要某个组件的网站时，将会收到一则消息，提示用户下载并安装该组件。有时用户看也不看就选择“安装”则往往会出问题。网上的很多恶意代码往往都是这样工作的。

　　5.把用户的行动都记录下来

　　可能很多人都使用Windows XP作为局域网的域控制器，这样登录的用户必然较多。同时，Windows XP也是一个运行多用户的操作平台，因此，我们有必要对每个用户的行为进行一定的记录，以便到时对它们的行为进行监控，并进行记录，以供系统管理员查看和分析。所有的这些几乎全部集中在“计算机配置”→“Windows设置”→“安全设置”→“本地策略”→“审核策略”下。如图5，我们可以看到有很多与审核有关的项目：如审核策略更改、审核登录事件、审核对象访问、审核过程追踪、审核目录服务访问、审核特权使用、审核系统事件、审核账户登录事件和审核账户管理等等。双击某一个项目后，会出现如图6所示窗口，勾选成功和失败前复选框。

　　小提示

　　(1)审核(Audit)是Microsoft从Windows NT起开始使用的一项技术，所有被审核的对象会在系统的日志中创建出相应的项目，并会被记录下操作的时间、审核类别及相应的结果。

　　(2)所有的审核记录结果，可以通过选择“开始”→“控制面板”→“管理工具”→“管理工具”→“系统工具”→“事件查看器”来查看。如果双击其中的某个审核项目，还可以看到它的详细资料，包括审核项目的日期、来源、时间、类别、类型、信息 、事件、用户、计算机、描述和数据等项目(如图7)。相信通过它，对于我们更加方便、安全地管理计算机是相当有用的。

　　当然，Windows XP中的组策略功能非常强大。有很多有用的设置可供我们修改，只是限于篇幅，笔者不能在这里一一说明了。

温馨提示：答案为网友推荐，仅供参考

当前网址：http://77.wendadaohang.com/zd/WWvIpqpp8.html