“组策略”增强Windows系统安全的方法分析

梁春华

摘 要：操作系统是计算机体系中最基本的系统软件，它是连接底层硬件和上层软件的桥梁，操作系统的安全性是计算机系统安全的基本保障。文章详细介绍了运用Windows操作系统的组策略来增强系统的安全，展示了组策略在系统安全维护中的作用，并且给出了组策略的安全设置方法。

关键词：操作系统安全;Windows操作系统;组策略

1   常用的安全防御策略的模型

随着全球信息化时代的来临，使用因特网办公和娱乐的人们越来越多，但人们对网络和操作系统的安全意识却相对薄弱，这就使得人们所使用的计算机系统存在着很多的安全隐患。确保一个计算机系统的安全，可以考虑两方面的因素。一个是物理设施的安全，另一个就是系统设置的安全。本文涉及的就是一个常用的安全防御策略的模型。

在这个安全模型中，最外层的策略、过程和意识指对人的安全教育。很多时候系统的不安全都是由于人的误操作所导致的，这种误操作也许是不经意中做的，比如对一些不明应用程序的点击，导致了一些木马或病毒的激活，所以用户应该不断学习，增加安全知识和意识。物理安全指的是通过增加一些物理设施，比如对于一个企业而言，可以增加警卫，给放置服务器的机房上锁或安装一些跟踪设备等，来增强系统的安全。周边网络指的是当采取VPN技术的方式拨入企业内部网络时，由于客户端计算机带有病毒导致内部网络系统中毒，这样防范周边网络可采取安装防火墙、边界路由器等。内部网络的安全可启用NIDS网络入侵检测系统等方式。主机层安全指的就是系统自身的安全。数据层的安全可通过加密、备份与还原策略来实现[1]。

显然，若要建造一个非常安全的系统，那么就必须层层安全都做到。在确保物理安全的情况下，重点就是如何保证主机层的安全。

主机层的组成可分为硬件和软件两部分。硬件的安全隐患多来源于设计，只有采用新的功能增强的硬件才能提高其安全性能。而软件又可分为系统软件和应用软件两大部分，系统软件为应用软件提供服务平台，而操作系统又是系统软件的核心，它提供了系统硬件和上层应用程序之间的协调通信。

因此，操作系统的安全是确保整个计算机系统安全中最重要、最基本的要素。操作系统的任何安全漏洞，都将威胁整个计算机系统的安全。增强操作系统的安全就成了确保整个计算机系统安全的第一要务。

本文主要介绍了运用Windows系统中提供的组策略机制来增强Windows系统的安全，展示了组策略在系统安全维护中的作用，并且详细地给出了具体的安全设置方法。

2   Windows系统中提供的组策略机制

所谓策略，是Windows中的一种自动配置设置的机制[2]。组策略，顾名思义，就是基于组的策略。实际上组策略就是一种功能，能够完成网络集中化管理、用户环境管理、降低管理用户的开销、强制执行企业策略。

组策略和注册表密切相关，注册表是Windows系统中保存系统软件和应用软件配置的数据库，随着系统功能的增加，注册表里的配置项也越来越多，若要手工实现一个完善的配置，系数难度就比较大了。而组策略却能轻易实现，原因就是组策略是将系统重要的配置功能汇集成各种配置模块，用户可以直接使用，很方便地管理计算机。简单地说，组策略就是修改注册表中的配置。当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大[3]。

2.1   组策略简介

使用组策略首先打开“开始”菜单中的“运行”命令，在“运行”命令框中执行“gpedit.msc”命令，即可打开组策略编辑器窗口。左侧窗口中分为“计算机配置”和“用户配置”两大项，其实在这两项中设置的效果都是一样的。只不过“计算机配置”这一项对应的是注册表中“HKEY_LOCAL_MACHINE”，而“用户配置”对应的是注册表中“HKEY_CURRENT_USER”。所以“计算机配置”中的配置会作用于整个系统，而“用户配置”中的配置只显示在当前账号登录的时候。

若要设置整个系统，打开“计算机配置”/“windows设置”/“安全设置”后，就可以看到关于帐户策略、本地策略、公钥策略、软件限制策略和IP安全策略的各项设置，我们可以通过这里轻松实现。

2.2  组策略功能应用

2.2.1  屏蔽可疑程序

木馬是一种非常危险的恶性程序。一般情况，多数木马都模仿远程控制软件的功能，但木马的独到之处在于其隐蔽性，它的启动和所有操作都是在隐蔽之中完成的。

为了实现其隐蔽性，木马都会存放到系统文件夹下，如系统的回收站、系统还原文件夹、system文件夹、drivers文件夹等，有时还会再加上隐藏属性，使用户很难发现。但在正常情况下，这些文件夹中是没有可执行程序文件的。所以系统可以通过阻止可执行文件出现在这些文件夹中，达到防范木马的目的。具体方式如下：

（1）打开“组策略编辑器”窗口，点击“计算机配置”下的“Windows设置”，打开“安全设置”菜单中的“软件限制策略”，会看到“安全级别”和“其他规则”两项（如果以前未设置过安全策略，则在“软件限制策略”上点击鼠标右键，选择菜单中的“创建新的策略”命令，这时就会出现“安全级别”和“其他规则”两项）。

（2）在“其他规则”上点击右键，打开“新建路径规则”窗口，选择菜单中的“ 新路径规则” 命令。在“ 路径” 选项中输入“？ ： ＼Recycled ＼*.exe”，由于每个磁盘根目录都包括一个回收站文件夹，因此这里使用的是通配符路径。然后在“安全级别”列表选择“不允许的”即可。

（3）按照相同的方法，屏蔽系统还原文件夹（？：＼System Volume information＼*.exe）、Drivers文件夹（%windir % ＼system＼*.exe）、System文件夹（%windir%＼system32 ＼Drivers＼*.exe）里面的可执行文件。

通过制定这些规则，增加了系统防御木马的能力。

2.2.2  禁用IE组件自动安装

有时候，当用户在访问某个网站时，会收到一则消息，提示用户下载并安装某个指定的组件，否则，无法查看用户的信息或不能实现某些功能，一般用户会毫无疑问地点击“安装”。这正是一些病毒程序的突破口。

设置“禁用Internet Explore组件的自动安装”项，增强系统这方面的防御能力。具体步骤如下：

（1）打开“组策略编辑器”窗口，点击“计算机配置”下的“管理模板”，打开“Internet Explore”选项。

（2）双击右边窗口中的“禁用Internet Explore组件的自动安装”项目，在打开的窗口中选择“已启动”单选按钮，即可禁止Internet Explore自动安装组件。同时中还提供了很多关于Internet Explore安全方面的设置，比如“禁止用户添加删除站点”“禁止用户更改策略”以及“Internet控制面板”等，通过设置这些策略选项，可以更进一步提高IE的安全。

2.2.3  自动记录操作

Windows网络操作系统都设计有各种日志文件，如应用程序日志、安全日志、系统日志等。我们在系统上进行一些操作时，这些日志文件通常会记录下操作的相关内容，这些内容对系统安全工作人员相当有用。查看这些日志文件可以通过“事件查看器”完成。

但系统的设置不一样，生成的日志也不相同，我们可以通过“组策略”制定更详细的日志。方法如下：

（1）打开“组策略编辑器”窗口，点击“计算机配置”下的“Windows设置”， 打开其中的“安全设置”菜单中的“本地策略”，就会看到“审核策略”，双击“审核策略”，在右边窗口中看到可以审核策略更改、登录事件、对象访问、过程跟踪、目录服务访问以及特权使用、账户登录事件等。

（2）双击“审核策略更改”，打开该审核策略的属性窗口，选中审核操作中的“成功”和“失败”两项，这样只要组策略被修改过，系统就会记录下来。同样的方式可启用其他的审核。

这样，当组策略被修改后，系统发生了问题，在“事件查看器”里就会及时查到哪些策略被修改了。若设置了“审核登录事件”，还可查看到详细的登录事件。

3   结语

确保系统安全的软件有很多，但操作系统本身的安全在确保整个信息系统安全中扮演着非常重要的角色，没有操作系统的安全保障，那些安全软件也无法发挥其应有的安全防范作用。组策略是设置操作系统安全最好的途径。随着网络技术的不断发展，网络操作系统版本的不断提升，组策略功能也在日益强大。

[参考文献]

[1]戴有炜.Windows server 2003网络专业指南[M].北京：清華大学出版社，2004.

[2]鞠光明.Windows服务器维护与管理[M].北京：北京大学出版社，2006.

[3]吕瑞霞，贺春林.关于windows下组策略管理的讨论[J].电脑知识与技术，2008（4）：1001-1002.

（编辑 傅金睿）