Windows系统安全策略分析

摘 要：操作系统安全策略的基本设置是信息安全等级保护的基础。本文从信息安全等级保护的角度出发，分析和阐述了Windows操作系统安全策略的现状和设置等方法，从用户账号策略设置、设备管理策略设置、审核策略设置、安全选项策略设置等四个方面阐述了进行windows操作系统基本的安全策略设置方法，表述了对操作系统基线策略设置的实施。

关键词：Windows系统；系统安全；安全策略

操作系统安全涉及各个方面，其中安全策略[1]起到了至关重要的作用，因此，Windows系统的安全策略设置方法也层出不穷，本文从用户账号策略、设备管理策略、安全选项策略等几方面分别分析阐述了Windows系统安全策略的现状和设置等方法。

1 Windows系统安全策略安全设置

1.1 用户账号策略

用户权限分配用于确定哪些用户或组拥有在组织机构内部计算机上进行登录的权利或特权。登录权限与特权控制着用户在目标系统上所拥有的权限。它们用以授予执行特定操作（例如在网络或本地进行登录）或管理任务（例如生成新的登录令牌）所需的权限。

来宾（Guests）组及Guest用户帐号和Support_388945a0在不同域间拥有唯一的SID。因此，这种面向用户权限分配的组策略可能需要在那些只存在特定目标组的系统上予以修改。或者，也可对策略模板进行单独编辑，以便在.inf文件中包含适当的组。举例来说，应当在测试环境中的某台域控制器上创建一个域控制器组策略。

通过网络[2]访问此计算机用户权限决定了允许哪些用户和组通过网络与计算机建立连接。在Windows Server 2003操作系统中，尽管授予Everyone安全组的权限将不再为匿名用户提供访问权限，Guests组和Guest帐号仍将通过Everyone安全组被授予访问权限。因此，在高安全性运行环境中从网络访问此计算机用户权限中删除Everyone安全组，以便进一步抵御通过来宾访问方式对域发动的攻击。

强制通过远程系统关机用户权限允许用户通过网络从远程位置上关闭计算机。所有能够关闭计算机的用户均可发动拒绝服务（DoS）攻击，因此，这种权限的分配应受到严格限制。

通过身份验证后对特定客户端进行模拟的权限允许代表某个用户运行应用程序，以便对特定客户端进行模拟。针对此类模拟方式设置这种用户权限将有效防止未经授权的用户欺骗指定客户端与某种他（她）所创建的服务建立连接，进而将自身权限提升至管理或系统级别。

1.2 设备管理策略

装载与卸载设备驱动程序权限决定了哪些用户可以动态装载并卸载设备驱动程序。具备装载与卸载设备驱动程序权限的用户可以随意安装那些伪装成设备驱动程序的恶意代码。因此，管理员应加倍小心，并且仅仅安装那些经过数字签署认证的驱动程序。在高安全性运行环境中，这种用户权限则应用以加强缺省管理员组。

在内存中锁定页面：作为批处理作业登录用户权限允许用户通过诸如任务计划程序服务之类的批处理队列机制进行登录。由于遭受攻击的风险较低，因此，缺省设置即可。这种拒绝作为批处理作业登录用户权限设置将覆盖作为批处理作业登录用户权限设置。具备这种登录权限的帐号可用于对消耗过多系统资源以至于可能导致DoS现象的作业进行调度。因此，请不要将拒绝作为批处理作业登录用户权限分配给那些可能对安全性造成威胁的帐号。

恢复文件与目录用户权限决定了哪些用户在恢复备份文件与目录时可以绕过文件、目录、注册表及其它永久对象权限。同时，这种用户权限还决定了哪些用户可以将合法安全主体设置为对象所有者。在企业级或高安全性运行环境中，只有管理员组成员有权对文件与目录进行恢复。文件恢复作业通常由管理员组或其它指定委托安全组成员来完成，这种方式尤其适用于具有高度敏感性的服务器和域控制器。

关闭系统用户权限决定了哪些本地登录用户能够通过关机命令关闭操作系统。滥用这种用户权限可能造成DoS攻击。关闭域控制器的能力应被限制在少数深受信赖的管理员范围内。虽然关闭系统还需具备登录到服务器的能力，但是，仍需谨慎对待哪些允许关闭域控制器的帐号和组。在高安全性运行环境中，只有管理员组应被授予关闭系统用户权限。

同步目录服务数据用户权限允许进程读取目录中的所有对象和属性，而不必关心这些对象和属性是否存在保护措施。LDAP目录同步服务需要使用这种权限。这种用户权限的缺省设置并未指定任何帐号，在高安全性运行环境中，必须将其配置为吊销所有安全组和帐号。

获取文件或其它对象的所有权用户权限允许用户获取系统中任意安全对象的所有权，其中包括Active Directory对象、NTFS文件系统（NTFS）文件与文件夹、打印机、注册表键、服务、进程以及线程等。请确保只有本地管理员组拥有获取文件或其它对象所有权用户权限。

更改系统时间用户权限决定了哪些用户和组能够更改计算机内部时钟的时间与日期。由于事件日志将反映调整后的新时间，而非事件发生的真实时间，因此，需将更改系统时间特权限制在系统运维人员范围内。

1.3 审核策略

管理员应当创建一种审核策略。这种审核策略用于确定需要报告至网络管理员以便使特定事件类别中的用户或系统活动得到及时记录的安全事件。当用户登录到计算机、从计算机上注销，或对审核策略设置进行修改时，管理员可以对诸如特定对象访问者之类的安全活动加以监控。

在实现审核策略前，必须首先完成的一项工作便是确定需要在运行环境中对哪些事件类别进行审核。管理员针对事件类别所选择的审核设置将用于定义审核策略。通过定义针对特定事件类别的审核设置，管理员可以创建出适合于整体安全需求的审核策略。

如果未对审核方式加以配置，管理员将很难甚至不可能确定在安全事故中发生了哪些事件。相反，如果审核方式过于繁琐，以至于过多授权活动都将生成事件，那么，安全事件日志将被大量无用数据填满。因此，以下建议做出对哪些事件进行监控的权衡决策。

审核事件包括：审核帐号登录事件、审核帐号管理、审核目录服务访问、审核登录事件，下面以审核审核帐号登录事件为例。审核帐号登录事件设置用于确定是否对每个用户实例登录或注销另一台需要验证帐号的计算机的活动进行审核。在域控制器上对域用户帐号进行身份验证时将产生一个帐号登录事件。这个事件将被记录到域控制器的安全日志中。在本地计算机上对本地用户进行身份验证时将产生一个登录事件。这个事件将被记录到本地安全日志中。对于帐号注销事件，则没有任何信息需要记录。

1.4 安全选项策略

组策略的安全选项部分用以配置针对计算机的安全设置，例如数据数字签署、管理员与Guest帐号名称、软盘驱动器与CD-ROM驱动器访问能力、驱动器安装方式以及登录提示信息等等。

帐号： Guest 帐号状态安全选项设置用于指示Guest帐号是否已被启用或禁用。这种帐号允许未经身份验证的网络用户通过以来宾身份登录的方式获取系统访问权限。因此，应配置为禁用。限制本地帐号只能在控制台登录过程中使用空白密码安全选项设置决定了不受密码保护的本地帐号是否可以从物理计算机控制台以外的其它位置上进行登录。启用这项设置能够防止具有非空密码的本地帐号通过网络从远程客户端上进行登录，不受密码保护的本地帐号将只能通过计算机键盘进行物理登录。

审核：审核备份与恢复权限使用情况安全设置选项决定了是否在审核特权使用策略设置生效后对包括备份与恢复在内的所有用户权限使用情况进行审核。启用这种策略将产生大量安全事件，进而导致服务器响应速度降低并强制安全事件日志记录大量意义不大的事件。

设备：仅限本地登录用户访问软盘驱动器安全选项设置决定了是否同时允许本地及远程用户访问可移动软盘媒体。启用这项设置将只允许通过交互方式登录的用户访问可移动软盘媒体。如果这项策略已被启用，且没有任何用户通过交互方式进行登录，那么，软盘媒体将能够通过网络进行访问。

域控制器：对来自安全通道的数据进行数字加密/签署安全选项设置用于决定域成员是否需要针对它们发起的所有安全通道通信操作尝试就加密/签署事宜进行协商。启用这项设置将促使域成员为所有安全通道通信内容请求加密/签署。禁用这项设置则会阻止域成员协商安全通道加密/签署事宜。因此，这种安全选项的取值均被设置为启用。

2 结束语

操作系统安全涉及各个方面，其中安全策略起到了至关重要的作用。操作系统安全策略的基本设置是信息安全等级保护的基础。本文从信息安全等级保护的角度出发，分析和阐述了Windows操作系统安全策略的现状和设置等方法，从用户账号策略设置、设备管理策略设置、审核策略设置、安全选项策略设置四个方面阐述了进行windows操作系统基本的安全策略设置方法，表述了对操作系统基线策略设置的实施。

参考文献

[1]高爱乃.浅析Windows Server 2003安全策略[J].网络安全技术与应用.

[2] 李新伟.应力.信息安全策略分析[J].信息网络安全.2010.2.

[3] 马文.江翰.彭秋霞.电力信息安全基线自动化核查[J].云南电力技术.2013.2.

作者简介

于佳丽（1986-），女，宁夏中宁人，助理工程师，从事电力行业信息安全工作。

曹明（1967-），男，宁夏中卫人，高级工程师，从事电力行业信息安全工作。

施科峰（1979-），男，宁夏中宁人，工程师，从事电力行业信息通信工作。