實現系統多層次深度防御

利用組策略，提高系統安全性

這里就從組策略的角度出發，來說明如何通過合理的配置提高系統的安全性，這包括安全模板、用戶權限、安全選項、UAC賬戶控制、安全審核、限制組等。

利用組策略實現系統安全，系統內置了一些專用的模板，其范圍包括賬戶策略、本地策略、事件日志、限制組、系統服務、注冊表、文件系統等。對于組策略的管理，實際針對的是本地組策略和活動目錄上的組策略兩種。對于前者來說，可以直接運行“gpedit.msc”程序，對組策略進行管理。

如果針對本機上不同的用戶進行管理，可以運行“mmc”程序，在控制臺上依次點擊菜單“文件”、“添加/刪除管理單元”項，選擇“組策略對象編輯器”項，點擊“添加”按鈕，在彈出窗口中點擊“瀏覽”按鈕，在瀏覽組策略對象面板中選擇目標賬戶，將其添加到控制臺中。這樣，可以針對不同的賬戶分別配置其組策略參數。對于后者來說，當在DC控制器上啟動組策略管理器后，在其左側選擇“林”→“域”→“域名”→“組策略對象”項，在其右鍵菜單上點擊“新建”項，輸入名稱后，創建新的組策略對象。

之后在其右鍵菜單上點擊“編輯”項，對其內容進行合理的配置。編輯完畢后，可以將其鏈接到不同的容器中。例如在域名節點上點擊“鏈接現有GPO”項，選擇上述組策略對象，就可以將其應用到域中的所有主機中。例如，在Windows Server 2012域控制器上打開服務器管理器窗口，點擊菜單“工具”→“組策略管理”項，在其中打開“組策略管理”→“林”→“域”→“某個域名”→“組策略對象”項，在其下選擇某個策略對象，在其右鍵菜單上點擊“編輯”項，在編輯窗口左側選擇“策略名”→“計算機配置”→“策略”→“Windows設置”→“安全設置”項，在其下可以找到很多與安全性有關的項目。

例如選擇賬戶策略，可以配置密碼策略，賬戶鎖定策略等。包括密碼復雜性要求、密碼長度值、使用期限、強制密碼歷史、賬戶鎖定時間、鎖定閥值等。在本地策略中包含審核策略，用戶權限分配，安全選項等，在日志事件策略中可以設置很多與日志有關的安全項目，包括安全日志保留天數、安全日志最大值、系統日志保留的天數與方法、防止本地來賓組訪問安全日志和應用程序日志、限制來賓組訪問系統日志等，對受限制的組、系統服務、注冊表和文件系統、高級安全Windows防火墻、軟件限制策略、網絡訪問保護、應用程序控制等策略進行管理。

此外，在組策略中使用IPSec策略，可以有效保證通訊雙方的數據安全。對于一些可能影響系統運行的程序，可以利用軟件限制策略對其進行控制，利用文件限制策略以及應用程序控制策略來限制對目標文件的訪問，利用高級審核策略可以對文件的訪問情況進行有效控制，使用注冊表控制策略可以對注冊表訪問進行管控等。這些操作實現起來都比較簡單，這里就不再贅述了。

使用安全模板，快速調整安全配置

實際上，對于企業管理員來說，應該根據實際需要，來手工創建所需的安全模板。而且應該基于不同的服務器角色，來創建滿足該角色安全需要的模板。

例如對于Web服務器、DNS服務器來說，需要為其分別創建安全策略模板，來保證不同角色的安全。所謂模板，指的是基本的通用的，使用者必須遵守的安全規則內容，當將模板創建好并應用到目標服務器上之后，可以根據需要對其進行適當修改，來快速的實現安全部署，而無需從頭費時費力的開始為每臺主機配置安全策略。

可以使用多種方法，來創建安全模板。例如運行“mmc”命令，在控制臺窗口中依次點擊菜單“文件”、“添加/刪除管理單元”項，在彈出窗口左側的“可用的管理單元”列表中選擇“安全模板”項，點擊“添加”按鈕，在控制臺左側選擇“安全模板”、“C:UsersAdministratorDocumentsSecurityTemplates”項，在其右鍵菜單上點擊“新加模板”項，輸入模板名（例如“Web Server Templates”）和描述信息，表示專門針對Web服務器之用。點擊“添加”按鈕，完成該模板的創建。之后打開該模板項，可以發現其中的所有策略項目全部處于未定義狀態。

您可以根據具體的需要，來靈活的設置所需的安全項目。例如對于Web服務器來說，可以依次選擇“本地策略”、“安全選項”項，在右側選擇“交互式登錄：提示用戶在過期之前更改密碼”項，在彈出窗口中選擇“在模板中定義此策略設置”項，在其下設置具體的天數。這樣，可以在規定時間內提醒使用者更改密碼。

雙擊“交互式登錄：不顯示最后的用戶名”項，在彈出窗口中選擇“在模板中定義此策略設置”和“已啟用”項，可以禁止顯示上次登錄使用者的賬戶名信息。以及是否從網絡上匿名訪問本機的共享數據，超過登錄時間后強制注銷，關機時清除內存頁面文件等大量的項目。

通過合理的設置，可以有效提升系統安全性。當設置完畢后，在模板名稱（例如“Web Server Templates”）的 右 鍵 菜 單上點擊“保存”項，存儲修改的信息。有了安全模板后，就可以靈活的執加以應用了。例如在Windows Server 2012域控制器上打開服務器管理器窗口，點擊菜單“工具”、“組策略管理”項，在其中打開“組策略管理”→“林”→“域”→“某個域名”→“組策略對象”項，在其下選擇某個策略對象，在其右鍵菜單上點擊“編輯”項，在編輯窗口左側選擇“策略名”→“計算機配置”→“策略”→“Windows設置”→“安全設置”項，在其右鍵菜單上點擊“導入策略”項，選擇上述模板文件，就可直接導入進來，實現了快速的安全部署。可以看到，依靠安全模板可以極大地簡化安全設置，使用起來很方便。當需要統一調整安全策略時，只需要對模板進行調整即可。

利用安全配置向導，快速部署安全策略

此外，利用系統提供的安全配置向導，可以幫助您創建一個安全策略，您可以將其應用到網絡上的任何服務器。該安全策略基于服務器的配置服務和網絡安全，并配置審核和注冊表設置。

例如，可以在先本機上配置好相關的安全策略，在服務器管理器中點擊菜單“工具”、“安全配置向導”項，在向導界面中點擊“下一步”按鈕，選擇“新建安全策略”項，在“下一步”窗口中點擊“瀏覽”按鈕，選擇一個服務器作為此安全策略的基準，即可以將此策略應用到選定的服務器，也可以將其應用到任何配置與其相似的服務器上。這里選擇“本機”，點擊“下一步”按鈕，該程序可以對本機進行檢測，來了解和本機相關的配置信息。點擊“查看配置數據庫”按鈕，在SCW查看器窗口中可以從服務器角色、客戶端功能、管理和其他選項、服務、Windows防火墻等方面，來詳細的了解本機的全部配置信息。

點擊“下一步”按鈕，可基于角色對服務進行配置。在選擇服務器角色窗口中顯示本機安裝的所有角色，對于在目標服務器上沒有的角色（例如故障轉移群集、打印服務器、卷影副本等），可以取消其選擇狀態，在下一步的選擇客戶端功能項列表中顯示本機安裝的功能組件，可以根據需要進行取舍。之后依次點擊“下一步”按鈕，執行選擇所需的管理和其他選項，選擇所需的系統服務，對于沒有找到的服務，采取禁用或者不更改的操作，確認服務更改等操作。

在網絡安全規則窗口中顯示本機所有的防火墻規則，您可以根據需要進行取舍。對于沒有選用的防火墻規則，當本安全配置策略應用到目標服務器后，是處于禁用狀態的。點擊“下一步”按鈕，在出站身份驗證方法窗口中選擇服務器用來對遠程計算機進行驗證的方法，包括域賬戶、遠程計算機上的本地賬戶、文件共享密碼等。在“下一步”窗口中選擇出站身份驗證方式，在系統審核策略窗口中選擇審核的目標，包括不審核、審核成功的操作、審核成功和不成功的操作等。在安全策略文件名窗口中點擊“瀏覽”按鈕，選擇安全策略文件保存路徑，點擊“包括安全模板”按鈕，可以添加所需的安全模板文件。選擇“稍后應用”項，點擊“完成”按鈕，關閉安全配置向導界面。

這樣，就可以將本機的安全配置信息提取出來，之后就可將其應用到其他服務器上。方法是將上述安全策略文件復制到其他服務器上，在該機上的服務器管理器中點擊菜單“工具”、“安全配置向導”項，在向導界面中點擊“下一步”按鈕，在配置操作窗口中選擇“應用現有的安全策略”項，點擊“瀏覽”按鈕，選擇上述安全策略文件，點擊“下一步”按鈕，就可應用到當前的服務器上。如果應用后發現了問題影響到本服務器的運行，可以選擇“回滾上一次應用的安全策略”項，取消上一次的應用操作，恢復到原始的運行狀態。

對用戶訪問權限進行管控

對于用戶權限來說，包括特權和登錄權限等方面。例如，在組策略管理器中選擇“本地策略”下的“安全選項”和“用戶權限”項，在右側可以針對是否允許用戶本地登錄、允許關機的用戶、允許哪些用戶將工作站加入到域、拒絕哪些用戶本地登錄、在登錄后強制注銷等等。為了防止不法用戶攻擊Administrator管理員賬戶，可以雙擊“賬戶:重名命系統管理員賬戶”項，選擇“在模板中定義此策略設置”項，輸入新的管理員賬戶名。這樣，就可以更改管理員賬戶的名稱。

對于某些用戶來說，在分配權限時，應該采用最小化權限原則，即盡可能為其分配剛好滿足其需要的權限，而不要為其分配更多的權限。對于不同的服務，最好為其單獨指派管理員。對于管理員組來說，應該盡量限制其成員的數量。使用組策略，可以有效對某些特殊組進行管控。

例如，在組策略管理器中選擇的“安全設置”、“受限制的組”項，在其右側窗口的右鍵菜單中點擊“添加組”項，在彈出窗口中點擊“瀏覽”按鈕，在選擇組窗口中找到某個組（例 如“Domain Admins”），點擊“確定”按鈕，在其屬性窗口中的“這個組的成員”欄中點擊“添加”按鈕，選擇所需的賬戶。在“這個組隸屬于”欄中點擊“添加”按鈕，可以選擇所需的組名。這樣，該賬戶組就處于限制狀態，別人就無法隨意向其中添加賬戶了。

對于賬戶的設置，必須保證其安全性。對于賬戶密碼來說，應該保證其復雜度和合適的期限。利用在密碼策略中，雙擊“密碼必須符合復雜性要求”項，使其處于激活狀態，這樣密碼必須由大小寫字符，特殊符合和數字組成。設置密碼長度最小值、密碼最短使用期限、密碼最長使用期限等。在“輕質密碼歷史”項中設置合適的數值，這樣就不能使用指定數量的歷史密碼。例如將其設置為3個記住的密碼，表示不能使用前三次使用過的密碼。配合賬戶鎖定策略，可以有效防止暴力破解行為。