注册表是Windows系统中保存系统软件和应用软件配置的数据库,而随着Windows功能越来越丰富,注册表里的配置项目也越来越多,很多配置都可以自定义设置,但这些配置分布在注册表的各个角落,如果是手工配置,可以想像是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供用户直接使用,从而达到方便管理计算机的目的。
其实简单地说,组策略设置就是在修改注册表中的配置。当然,组策略使用了更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。
Windows组策略保障共享目录安全
在日常的办公应用中,为了使用的方便,我们习惯于将自己计算机上的一些文档、目录共享出来,以便于别人调用。
但是对于共享的文件夹常常无法做到在使用后即将其关闭,这样网络上一些别有用心的人则可能对我们的共享文件进行破坏,对于这种情况,我们可以借助组策略来保护共享内容。
一、禁止共享空密码
Windows默认状态下,允许远程用户可以使用空用户连接方式获得网络上某一台计算机的共享资源列表和所有帐户名称。这个功能的开放,则容易让非未能用户使用空密码或暴力破译得到共享的密码,从而达到侵入共享目录的目的。
对于这种情况,我们首先可以关闭SAM账号和共享的匿名枚举功能。打开开始菜单中的“运行”窗口,输入“gpedit.msc”打开组策略编辑器,在左侧依次找到“计算机配置”—“Windows设置”—“安全设置”—“本地策略”—“安全选项”,双击右侧的“网络访问:不允许SAM账号和共享的匿名枚举”项,在弹出的窗口中选中“已启用”选项,最后单击“确定”按钮保存设置。经过这样的设置之后,非法用户就无法直接获得共享信息和账户列表了。
二、禁止匿名SID/名称转换
在前面我们已经禁止非法用户直接获得账户列表,但是非法用户仍然可以使用管理员账号的SID来获取默认的administrator的真实名称。对此,我们需要在组策略中打开“计算机配置”—“Windows设置”—“安全设置”—“本地策略”—“安全选项”,然后修改“网络访问:允许匿名SID/名称转换”为“已停用”。不过这样一来,可能会造成网络上低版本的用户在访问共享资源时出现 一些问题。因此网络有多个版本的系统时须谨慎使用该项配置。
三、修改匿名访问对象
从安全角度和实用角度来看,Windows XP很多默认设置并不符合用户的需要,针对网络访问的匿名访问设置包括共享、命名管道和注册表路径等。
对此,我们需要进入组策略编辑器,选择“计算机配置”—“Windows设置”—“安全设置”—“本地策略”—“安全选项”,双击“网络访问:可匿名访问的共享”,在打开的窗口中将所有的项目删除,然后根据自己的实际使用需要,将一些确实需要让所有用户长期访问的文件夹添加进来即可。注意,在添加这些共享文件夹时,必须提前做好其NTFS操作权限设置。在设置权限的时候,必须遵循权限的最小性原则。最小性原则包括不要对账户授予多余的权限,不要为多余账户授予权限。
同理,在修改好可匿名访问的共享后,需要继续双击打开“网络访问:可匿名访问的命名管道”和“网络访问:可远程访问的注册表路径”,将多余的项目都删除掉。
四、禁止非授权访问
为了符合权限的最小性原则,我们可以对网络访问的账户作出严格限制。在打开的组策略编辑器中,依次选择“计算机配置”—“Windows设置”—“安全设置”—“本地策略”—“用户权利指派”,双击右侧的“从网络访问此计算机”,然后将一些必须使用网络访问的账户添加进来,然后将例如Everyone、Guest之类的账户删除。如果管理员不需要远程登录,同样可以将其删除,而只保留用于访问共享目录的授权帐户;然后再打开“拒绝从网络访问这台计算机”,同样的道理只将用于访问共享目录的授权帐户添加进来,将其它用户全部删除。
五、设置正确访问模式
对于共享文件的访问,Windows XP提供了经典和仅来宾两种不同的模式。为了使用的方便,很多人选择了“仅来宾”方式,这样这样所有的登录将自动使用Guest账户访问共享目录,即所有人都可以自由访问,这样无法对共享资源提供精确的访问控制。
因此,我们建议大家在“安全选项”列表右侧双击“网络访问:本地账户的共享和安全模式”,将其设置为“经典-本地用户以用户的身份验证”项即可。不过需要注意的是,使用经典模式,虽然需要知道本地帐户名称方可访问,但由于很多用户帐户并没有设置密码,这样仍然是不安全的,必须设置密码以保护本地帐户。
六、预防EveryOny组权限延伸
很多人都认为匿名用户的权限和Everyone组的权限是一样的,其实这种看法是极其错误的。虽然两者之间的权限有部分是相同的,但并不是完全一致的。默认情况下Everyone组的权限要大于匿名用户。但是在Windows XP中,却允许将“Everyone”组权限应用于匿名用户。
对此,我们需要禁止这种做法。在组策略中打开“安全选项”,然后在右侧双击“网络访问:让每个人权限应用于匿名用户”,将其设置为“已停用”即可。不过,虽然我们将该项已设置为停用,但是我们仍然不建议用户将过多的权限直接授予Everyone组,因为这不符合权限授予的最小性原则。
七、禁止非空密码交互式登录
为了防止管理员添加账号时没有设置密码,并且对没有密码的本地账户进行了授权访问。对此,我们可以禁止空白密码的本地账户进行交互式登录访问共享目录。
在“安全选项”下双击“账户:使用空白密码的本地账户只允许进行控制台登录”,将其设置为“已启用”。同时为了防止管理员设置过于简单的密码,还需要在组策略编辑器的“安全设置”下,选择“帐户策略”—“密码策略”,然后设置“密码长度最小值”和“密码必须符合复杂性要求”选项。
八、做好访问记录
通过日志,可以记录所有账户对共享目录的访问、操作情况。不过要想日志进行记录,必须启用审核对象访问。打开组策略编辑器,在“本地策略”下选择“审核策略”,然后双击右侧的“审核对象访问”,在打开的窗口中将“成功”和“失败”项全部选中。
接下来再打开共享目录的属性窗口,在“安全”标签中单击“高级”按钮,切换到“审核”标签,单击“添加”按钮,将所有有权访问共享目录的账户都添加进来并保存设置。
经过这样的设置后,我们就可以进入“控制面板”的“管理工具”文件夹,双击其中的“事件查看器”,然后查找ID号为560、562、564的事件,即可了解详细的访问情况了。
其实,安全问题并非我们想象中的那样复杂,只要我们平时注意做好防范,能够用好系统提供的保护措施,那么即可防范绝大部分的入侵破坏活动。
安全设置Windows组策略有效阻止黑客
如果你没有进行测试,我建议你下载和安装微软的组策略管理控制台(GPMC)来做这些改变。这个程序能够把组策略管理任务集中到一个单一的界面让你更全面地查看你的域名。要开始这个编辑流程,你就上载GPMC,扩展你的域名,用鼠标右键点击“缺省域名策略”,然后选择“编辑”。这样就装载了组策略对象编辑器。如果你要以更快的速度或者“次企业级”的方式编辑你的域名组策略对象,你可以在“开始”菜单中运行“gpedit.msc”。
1.确定一个缺省的口令策略,使你的机构设置位于“计算机配置/Windows设置/安全设置/账号策略/口令策略”之下。
2.为了防止自动口令破解,在“计算机配置/Windows设置/安全设置/账号策略/账号关闭策略”中进行如下设置
·账号关闭持续时间(确定至少5-10分钟
·账号关闭极限(确定最多允许5至10次非法登录
·随后重新启动关闭的账号(确定至少10-15分钟以后
3.在“计算机配置/Windows设置/安全设置/本地策略/检查策略”中启用如下功能
·检查账号管理
·检查登录事件
·检查策略改变
·检查权限使用
·检查系统事件
理想的情况是,你要启用记录成功和失败的登录。但是,这取决于你要保留什么类型的记录以及你是否能够管理这些记录。Roberta Bragg在这里介绍了一些普通的检查记录设置。要记住,启用每一种类型的记录都需要你的系统处理器和硬盘提供更多的资源。
4.作为增强Windows安全的最佳做法和为攻击者设置更多的障碍以减少对Windows的攻击,你可以在“计算机配置/Windows设置/安全设置/本地策略/安全选项”中进行如下设置
·账号:重新命名管理员账号–不是要求更有效而是增加一个安全层(确定一个新名字
·账号:重新命名客户账号(确定一个新名字
·交互式登录:不要显示最后一个用户的名字(设置为启用
·交互式登录:不需要最后一个用户的名字(设置为关闭
·交互式登录: 为企图登录的用户提供一个消息文本(确定为让用户阅读banner text(旗帜文本),内容大致为“这是专用和受控的系统。
如果你滥用本系统,你将受到制裁。–首先让你的律师运行这个程序
·交互式登录: 为企图登录的用户提供的消息题目–在警告!!!后面写的东西
·网络接入:不允许SAM账号和共享目录(设置为“启用”
·网络接入:将“允许每一个人申请匿名用户”设置为关闭
·网络安全:“不得存储局域网管理员关于下一个口令变化的散列值”设置为“启用”
·关机:“允许系统在没有登录的情况下关闭”设置为“关闭”
·关机:“清除虚拟内存的页面文件”设置为“启用”
如果你没有Windows Server 2003域名控制器,你在这里可以找到有哪些Windows XP本地安全设置的细节,以及这里有哪些详细的Windows 2000 Server组策略的设置。要了解更多的有关Windows Server 2003组策略的信息,请查看微软的专门网页。
电脑组策略被禁用的修复问题
组策略被禁用后的修复问题某些机器做过什么优化或者杀毒后,出现组策略被禁用了。
一、在注册表键值HKEY_CURRENT_USERSoftwarePoliciesMicrosoftMMC 将 RestrictToPermittedSnapins 的值设置为 0 或者删除这个键。
二、在注册表键值 HKEY_CURRENT_USERSoftwarePoliciesMicrosoftMmc{8FC0B734-A0E1-11D1-A7D3-0000F87571E3}Restrict_Run 和HKEY_CURRENT_USERSoftwarePoliciesMicrosoftMMC{0F6B957E-509E-11D1-A7CC-0000F87571E3}Restrict_Run 请将 Restrict_Run 的值设置为 0 或者直接删除HKEY_CURRENT_USERSoftwarePoliciesMicrosoftMmc键 修改完毕后重启。
三、在注册表键值HKEY_CLASSES_ROOTCLSID{8FC0B734-A0E1-11D1-A7D3-0000F87571E3}InProcServer32 把其中的default改成:%SystemRoot%System32GPEdit.dll 修改完毕后重启。
四、检查环境变量: 右击桌面我的电脑–属性–高级 在“高级”标签页中点击“环境变量”按钮 在“环境变量”中的“系统变量”框中的变量名为Path中修改变量值为: %Systemroot%System32;%Systemroot%;%Systemroot%system32WBEM。
五、注册 filemgmt.dll 开始“运行” 输入"regsvr32 filemgmt.dll" –回车 如果组策略找不到 framedyn.dll,就可能会出现这种错误。试着将将Framedyn.dll文件从windowssystem32wbem目录下拷贝到windowssystem32目录下!移动后在注册一次这个dll文件。