Windows系統安全策略分析

于佳麗?曹明?施科峰

摘 要：操作系統安全策略的基本設置是信息安全等級保護的基礎。本文從信息安全等級保護的角度出發，分析和闡述了Windows操作系統安全策略的現狀和設置等方法，從用戶賬號策略設置、設備管理策略設置、審核策略設置、安全選項策略設置等四個方面闡述了進行windows操作系統基本的安全策略設置方法，表述了對操作系統基線策略設置的實施。

關鍵詞：Windows系統；系統安全；安全策略

操作系統安全涉及各個方面，其中安全策略[1]起到了至關重要的作用，因此，Windows系統的安全策略設置方法也層出不窮，本文從用戶賬號策略、設備管理策略、安全選項策略等幾方面分別分析闡述了Windows系統安全策略的現狀和設置等方法。

1 Windows系統安全策略安全設置

1.1 用戶賬號策略

用戶權限分配用于確定哪些用戶或組擁有在組織機構內部計算機上進行登錄的權利或特權。登錄權限與特權控制著用戶在目標系統上所擁有的權限。它們用以授予執行特定操作（例如在網絡或本地進行登錄）或管理任務（例如生成新的登錄令牌）所需的權限。

來賓（Guests）組及Guest用戶帳號和Support_388945a0在不同域間擁有唯一的SID。因此，這種面向用戶權限分配的組策略可能需要在那些只存在特定目標組的系統上予以修改。或者，也可對策略模板進行單獨編輯，以便在.inf文件中包含適當的組。舉例來說，應當在測試環境中的某臺域控制器上創建一個域控制器組策略。

通過網絡[2]訪問此計算機用戶權限決定了允許哪些用戶和組通過網絡與計算機建立連接。在Windows Server 2003操作系統中，盡管授予Everyone安全組的權限將不再為匿名用戶提供訪問權限，Guests組和Guest帳號仍將通過Everyone安全組被授予訪問權限。因此，在高安全性運行環境中從網絡訪問此計算機用戶權限中刪除Everyone安全組，以便進一步抵御通過來賓訪問方式對域發動的攻擊。

強制通過遠程系統關機用戶權限允許用戶通過網絡從遠程位置上關閉計算機。所有能夠關閉計算機的用戶均可發動拒絕服務（DoS）攻擊，因此，這種權限的分配應受到嚴格限制。

通過身份驗證后對特定客戶端進行模擬的權限允許代表某個用戶運行應用程序，以便對特定客戶端進行模擬。針對此類模擬方式設置這種用戶權限將有效防止未經授權的用戶欺騙指定客戶端與某種他（她）所創建的服務建立連接，進而將自身權限提升至管理或系統級別。

1.2 設備管理策略

裝載與卸載設備驅動程序權限決定了哪些用戶可以動態裝載并卸載設備驅動程序。具備裝載與卸載設備驅動程序權限的用戶可以隨意安裝那些偽裝成設備驅動程序的惡意代碼。因此，管理員應加倍小心，并且僅僅安裝那些經過數字簽署認證的驅動程序。在高安全性運行環境中，這種用戶權限則應用以加強缺省管理員組。

在內存中鎖定頁面：作為批處理作業登錄用戶權限允許用戶通過諸如任務計劃程序服務之類的批處理隊列機制進行登錄。由于遭受攻擊的風險較低，因此，缺省設置即可。這種拒絕作為批處理作業登錄用戶權限設置將覆蓋作為批處理作業登錄用戶權限設置。具備這種登錄權限的帳號可用于對消耗過多系統資源以至于可能導致DoS現象的作業進行調度。因此，請不要將拒絕作為批處理作業登錄用戶權限分配給那些可能對安全性造成威脅的帳號。

恢復文件與目錄用戶權限決定了哪些用戶在恢復備份文件與目錄時可以繞過文件、目錄、注冊表及其它永久對象權限。同時，這種用戶權限還決定了哪些用戶可以將合法安全主體設置為對象所有者。在企業級或高安全性運行環境中，只有管理員組成員有權對文件與目錄進行恢復。文件恢復作業通常由管理員組或其它指定委托安全組成員來完成，這種方式尤其適用于具有高度敏感性的服務器和域控制器。

關閉系統用戶權限決定了哪些本地登錄用戶能夠通過關機命令關閉操作系統。濫用這種用戶權限可能造成DoS攻擊。關閉域控制器的能力應被限制在少數深受信賴的管理員范圍內。雖然關閉系統還需具備登錄到服務器的能力，但是，仍需謹慎對待哪些允許關閉域控制器的帳號和組。在高安全性運行環境中，只有管理員組應被授予關閉系統用戶權限。

同步目錄服務數據用戶權限允許進程讀取目錄中的所有對象和屬性，而不必關心這些對象和屬性是否存在保護措施。LDAP目錄同步服務需要使用這種權限。這種用戶權限的缺省設置并未指定任何帳號，在高安全性運行環境中，必須將其配置為吊銷所有安全組和帳號。

獲取文件或其它對象的所有權用戶權限允許用戶獲取系統中任意安全對象的所有權，其中包括Active Directory對象、NTFS文件系統（NTFS）文件與文件夾、打印機、注冊表鍵、服務、進程以及線程等。請確保只有本地管理員組擁有獲取文件或其它對象所有權用戶權限。

更改系統時間用戶權限決定了哪些用戶和組能夠更改計算機內部時鐘的時間與日期。由于事件日志將反映調整后的新時間，而非事件發生的真實時間，因此，需將更改系統時間特權限制在系統運維人員范圍內。

1.3 審核策略

管理員應當創建一種審核策略。這種審核策略用于確定需要報告至網絡管理員以便使特定事件類別中的用戶或系統活動得到及時記錄的安全事件。當用戶登錄到計算機、從計算機上注銷，或對審核策略設置進行修改時，管理員可以對諸如特定對象訪問者之類的安全活動加以監控。

在實現審核策略前，必須首先完成的一項工作便是確定需要在運行環境中對哪些事件類別進行審核。管理員針對事件類別所選擇的審核設置將用于定義審核策略。通過定義針對特定事件類別的審核設置，管理員可以創建出適合于整體安全需求的審核策略。

如果未對審核方式加以配置，管理員將很難甚至不可能確定在安全事故中發生了哪些事件。相反，如果審核方式過于繁瑣，以至于過多授權活動都將生成事件，那么，安全事件日志將被大量無用數據填滿。因此，以下建議做出對哪些事件進行監控的權衡決策。

審核事件包括：審核帳號登錄事件、審核帳號管理、審核目錄服務訪問、審核登錄事件，下面以審核審核帳號登錄事件為例。審核帳號登錄事件設置用于確定是否對每個用戶實例登錄或注銷另一臺需要驗證帳號的計算機的活動進行審核。在域控制器上對域用戶帳號進行身份驗證時將產生一個帳號登錄事件。這個事件將被記錄到域控制器的安全日志中。在本地計算機上對本地用戶進行身份驗證時將產生一個登錄事件。這個事件將被記錄到本地安全日志中。對于帳號注銷事件，則沒有任何信息需要記錄。

1.4 安全選項策略

組策略的安全選項部分用以配置針對計算機的安全設置，例如數據數字簽署、管理員與Guest帳號名稱、軟盤驅動器與CD-ROM驅動器訪問能力、驅動器安裝方式以及登錄提示信息等等。

帳號： Guest 帳號狀態安全選項設置用于指示Guest帳號是否已被啟用或禁用。這種帳號允許未經身份驗證的網絡用戶通過以來賓身份登錄的方式獲取系統訪問權限。因此，應配置為禁用。限制本地帳號只能在控制臺登錄過程中使用空白密碼安全選項設置決定了不受密碼保護的本地帳號是否可以從物理計算機控制臺以外的其它位置上進行登錄。啟用這項設置能夠防止具有非空密碼的本地帳號通過網絡從遠程客戶端上進行登錄，不受密碼保護的本地帳號將只能通過計算機鍵盤進行物理登錄。

審核：審核備份與恢復權限使用情況安全設置選項決定了是否在審核特權使用策略設置生效后對包括備份與恢復在內的所有用戶權限使用情況進行審核。啟用這種策略將產生大量安全事件，進而導致服務器響應速度降低并強制安全事件日志記錄大量意義不大的事件。

設備：僅限本地登錄用戶訪問軟盤驅動器安全選項設置決定了是否同時允許本地及遠程用戶訪問可移動軟盤媒體。啟用這項設置將只允許通過交互方式登錄的用戶訪問可移動軟盤媒體。如果這項策略已被啟用，且沒有任何用戶通過交互方式進行登錄，那么，軟盤媒體將能夠通過網絡進行訪問。

域控制器：對來自安全通道的數據進行數字加密/簽署安全選項設置用于決定域成員是否需要針對它們發起的所有安全通道通信操作嘗試就加密/簽署事宜進行協商。啟用這項設置將促使域成員為所有安全通道通信內容請求加密/簽署。禁用這項設置則會阻止域成員協商安全通道加密/簽署事宜。因此，這種安全選項的取值均被設置為啟用。

2 結束語

操作系統安全涉及各個方面，其中安全策略起到了至關重要的作用。操作系統安全策略的基本設置是信息安全等級保護的基礎。本文從信息安全等級保護的角度出發，分析和闡述了Windows操作系統安全策略的現狀和設置等方法，從用戶賬號策略設置、設備管理策略設置、審核策略設置、安全選項策略設置四個方面闡述了進行windows操作系統基本的安全策略設置方法，表述了對操作系統基線策略設置的實施。

參考文獻

[1]高愛乃.淺析Windows Server 2003安全策略[J].網絡安全技術與應用.

[2] 李新偉.應力.信息安全策略分析[J].信息網絡安全.2010.2.

[3] 馬文.江翰.彭秋霞.電力信息安全基線自動化核查[J].云南電力技術.2013.2.

作者簡介

于佳麗（1986-），女，寧夏中寧人，助理工程師，從事電力行業信息安全工作。

曹明（1967-），男，寧夏中衛人，高級工程師，從事電力行業信息安全工作。

施科峰（1979-），男，寧夏中寧人，工程師，從事電力行業信息通信工作。