[安全]提升Windows 系统安全性的组策略设置

　　有人将组策略比作深藏在系统中的“大内高手”，笔者觉得这个比喻的非常恰当的。组策略确实有其他第三方安全软件所无法比拟的优势，这不仅是其与Windows系统的密切“关系”，更在于它强大的安全功能。除了可通过其进行系统配置，而且可对系统中几乎所有的软硬件实施管理，全方位地提升系统安全。到目前为止，似乎没有任何一款第三方软件可提供如果多的配置项。何况随着Windows系统的更新换代，组策略也是越来越强大了，比如在Windows 7中就增加了许多Vista没有的安全项。本文就以当前主流的Vista系统为例，就Windows组策略的安全特性进行一番比较深入的解析。

　　为了便于说明，笔者依据组策略的安全配置功能将其划分为三部分：系统核心安全配置、应用程序和设备限制、Internet Explorer(IE)安全。下面就以此为线索，分别谈谈组策略的安全特性。

　　1、系统核心安全配置

　　与系统核心安全相关的组策略设置项主要在“计算机配置→Windows配置→安全配置”节点下。

　　(1).账户策略

　　对于组策略的这一部分大家应该非常熟悉，因为在这里可以设置密码和账户的锁定策略。例如，在这部分组策略中，我们可以设置密码最小长度或者密码需要包含复杂字符。如果在链接到域(如默认域策略)的组策略对象(GPO)中定义这些策略，域中的所有域控制器(DC)都会处理密码策略，并且组策略对象会控制域用户账户的密码策略。当在链接到域的组策略对象中定义密码策略时，域中的所有工作站和成员服务器也会进行处理，并为这些系统中定义的本地账户设置账户策略。(图1)

1.jpg (100.87 KB)
2009-7-15 12:19

　　图1 安全设置账户策略

　　大家知道，通过组策略只能定义一个域密码策略，不过，Windows Server 2008支持一套新的密码策略对象，这些在活动目录(AD)中定义的密码策略对象为单一域提供了更加细化的密码策略控制。