梁春華

摘 要：操作系統(tǒng)是計(jì)算機(jī)體系中最基本的系統(tǒng)軟件，它是連接底層硬件和上層軟件的橋梁，操作系統(tǒng)的安全性是計(jì)算機(jī)系統(tǒng)安全的基本保障。文章詳細(xì)介紹了運(yùn)用Windows操作系統(tǒng)的組策略來(lái)增強(qiáng)系統(tǒng)的安全，展示了組策略在系統(tǒng)安全維護(hù)中的作用，并且給出了組策略的安全設(shè)置方法。

關(guān)鍵詞：操作系統(tǒng)安全;Windows操作系統(tǒng);組策略

1 ? 常用的安全防御策略的模型

隨著全球信息化時(shí)代的來(lái)臨，使用因特網(wǎng)辦公和娛樂(lè)的人們?cè)絹?lái)越多，但人們對(duì)網(wǎng)絡(luò)和操作系統(tǒng)的安全意識(shí)卻相對(duì)薄弱，這就使得人們所使用的計(jì)算機(jī)系統(tǒng)存在著很多的安全隱患。確保一個(gè)計(jì)算機(jī)系統(tǒng)的安全，可以考慮兩方面的因素。一個(gè)是物理設(shè)施的安全，另一個(gè)就是系統(tǒng)設(shè)置的安全。本文涉及的就是一個(gè)常用的安全防御策略的模型。

在這個(gè)安全模型中，最外層的策略、過(guò)程和意識(shí)指對(duì)人的安全教育。很多時(shí)候系統(tǒng)的不安全都是由于人的誤操作所導(dǎo)致的，這種誤操作也許是不經(jīng)意中做的，比如對(duì)一些不明應(yīng)用程序的點(diǎn)擊，導(dǎo)致了一些木馬或病毒的激活，所以用戶應(yīng)該不斷學(xué)習(xí)，增加安全知識(shí)和意識(shí)。物理安全指的是通過(guò)增加一些物理設(shè)施，比如對(duì)于一個(gè)企業(yè)而言，可以增加警衛(wèi)，給放置服務(wù)器的機(jī)房上鎖或安裝一些跟蹤設(shè)備等，來(lái)增強(qiáng)系統(tǒng)的安全。周邊網(wǎng)絡(luò)指的是當(dāng)采取VPN技術(shù)的方式撥入企業(yè)內(nèi)部網(wǎng)絡(luò)時(shí)，由于客戶端計(jì)算機(jī)帶有病毒導(dǎo)致內(nèi)部網(wǎng)絡(luò)系統(tǒng)中毒，這樣防范周邊網(wǎng)絡(luò)可采取安裝防火墻、邊界路由器等。內(nèi)部網(wǎng)絡(luò)的安全可啟用NIDS網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)等方式。主機(jī)層安全指的就是系統(tǒng)自身的安全。數(shù)據(jù)層的安全可通過(guò)加密、備份與還原策略來(lái)實(shí)現(xiàn)[1]。

顯然，若要建造一個(gè)非常安全的系統(tǒng)，那么就必須層層安全都做到。在確保物理安全的情況下，重點(diǎn)就是如何保證主機(jī)層的安全。

主機(jī)層的組成可分為硬件和軟件兩部分。硬件的安全隱患多來(lái)源于設(shè)計(jì)，只有采用新的功能增強(qiáng)的硬件才能提高其安全性能。而軟件又可分為系統(tǒng)軟件和應(yīng)用軟件兩大部分，系統(tǒng)軟件為應(yīng)用軟件提供服務(wù)平臺(tái)，而操作系統(tǒng)又是系統(tǒng)軟件的核心，它提供了系統(tǒng)硬件和上層應(yīng)用程序之間的協(xié)調(diào)通信。

因此，操作系統(tǒng)的安全是確保整個(gè)計(jì)算機(jī)系統(tǒng)安全中最重要、最基本的要素。操作系統(tǒng)的任何安全漏洞，都將威脅整個(gè)計(jì)算機(jī)系統(tǒng)的安全。增強(qiáng)操作系統(tǒng)的安全就成了確保整個(gè)計(jì)算機(jī)系統(tǒng)安全的第一要?jiǎng)?wù)。

本文主要介紹了運(yùn)用Windows系統(tǒng)中提供的組策略機(jī)制來(lái)增強(qiáng)Windows系統(tǒng)的安全，展示了組策略在系統(tǒng)安全維護(hù)中的作用，并且詳細(xì)地給出了具體的安全設(shè)置方法。

2 ? Windows系統(tǒng)中提供的組策略機(jī)制

所謂策略，是Windows中的一種自動(dòng)配置設(shè)置的機(jī)制[2]。組策略，顧名思義，就是基于組的策略。實(shí)際上組策略就是一種功能，能夠完成網(wǎng)絡(luò)集中化管理、用戶環(huán)境管理、降低管理用戶的開(kāi)銷、強(qiáng)制執(zhí)行企業(yè)策略。

組策略和注冊(cè)表密切相關(guān)，注冊(cè)表是Windows系統(tǒng)中保存系統(tǒng)軟件和應(yīng)用軟件配置的數(shù)據(jù)庫(kù)，隨著系統(tǒng)功能的增加，注冊(cè)表里的配置項(xiàng)也越來(lái)越多，若要手工實(shí)現(xiàn)一個(gè)完善的配置，系數(shù)難度就比較大了。而組策略卻能輕易實(shí)現(xiàn)，原因就是組策略是將系統(tǒng)重要的配置功能匯集成各種配置模塊，用戶可以直接使用，很方便地管理計(jì)算機(jī)。簡(jiǎn)單地說(shuō)，組策略就是修改注冊(cè)表中的配置。當(dāng)然，組策略使用自己更完善的管理組織方法，可以對(duì)各種對(duì)象中的設(shè)置進(jìn)行管理和配置，遠(yuǎn)比手工修改注冊(cè)表方便、靈活，功能也更加強(qiáng)大[3]。

2.1 ? 組策略簡(jiǎn)介

使用組策略首先打開(kāi)“開(kāi)始”菜單中的“運(yùn)行”命令，在“運(yùn)行”命令框中執(zhí)行“gpedit.msc”命令，即可打開(kāi)組策略編輯器窗口。左側(cè)窗口中分為“計(jì)算機(jī)配置”和“用戶配置”兩大項(xiàng)，其實(shí)在這兩項(xiàng)中設(shè)置的效果都是一樣的。只不過(guò)“計(jì)算機(jī)配置”這一項(xiàng)對(duì)應(yīng)的是注冊(cè)表中“HKEY_LOCAL_MACHINE”，而“用戶配置”對(duì)應(yīng)的是注冊(cè)表中“HKEY_CURRENT_USER”。所以“計(jì)算機(jī)配置”中的配置會(huì)作用于整個(gè)系統(tǒng)，而“用戶配置”中的配置只顯示在當(dāng)前賬號(hào)登錄的時(shí)候。

若要設(shè)置整個(gè)系統(tǒng)，打開(kāi)“計(jì)算機(jī)配置”/“windows設(shè)置”/“安全設(shè)置”后，就可以看到關(guān)于帳戶策略、本地策略、公鑰策略、軟件限制策略和IP安全策略的各項(xiàng)設(shè)置，我們可以通過(guò)這里輕松實(shí)現(xiàn)。

2.2 ?組策略功能應(yīng)用

2.2.1 ?屏蔽可疑程序

木馬是一種非常危險(xiǎn)的惡性程序。一般情況，多數(shù)木馬都模仿遠(yuǎn)程控制軟件的功能，但木馬的獨(dú)到之處在于其隱蔽性，它的啟動(dòng)和所有操作都是在隱蔽之中完成的。

為了實(shí)現(xiàn)其隱蔽性，木馬都會(huì)存放到系統(tǒng)文件夾下，如系統(tǒng)的回收站、系統(tǒng)還原文件夾、system文件夾、drivers文件夾等，有時(shí)還會(huì)再加上隱藏屬性，使用戶很難發(fā)現(xiàn)。但在正常情況下，這些文件夾中是沒(méi)有可執(zhí)行程序文件的。所以系統(tǒng)可以通過(guò)阻止可執(zhí)行文件出現(xiàn)在這些文件夾中，達(dá)到防范木馬的目的。具體方式如下：

（1）打開(kāi)“組策略編輯器”窗口，點(diǎn)擊“計(jì)算機(jī)配置”下的“Windows設(shè)置”，打開(kāi)“安全設(shè)置”菜單中的“軟件限制策略”，會(huì)看到“安全級(jí)別”和“其他規(guī)則”兩項(xiàng)（如果以前未設(shè)置過(guò)安全策略，則在“軟件限制策略”上點(diǎn)擊鼠標(biāo)右鍵，選擇菜單中的“創(chuàng)建新的策略”命令，這時(shí)就會(huì)出現(xiàn)“安全級(jí)別”和“其他規(guī)則”兩項(xiàng)）。

（2）在“其他規(guī)則”上點(diǎn)擊右鍵，打開(kāi)“新建路徑規(guī)則”窗口，選擇菜單中的“ 新路徑規(guī)則” 命令。在“ 路徑” 選項(xiàng)中輸入“？ ： ＼Recycled ＼*.exe”，由于每個(gè)磁盤(pán)根目錄都包括一個(gè)回收站文件夾，因此這里使用的是通配符路徑。然后在“安全級(jí)別”列表選擇“不允許的”即可。

（3）按照相同的方法，屏蔽系統(tǒng)還原文件夾（？：＼System Volume information＼*.exe）、Drivers文件夾（%windir % ＼system＼*.exe）、System文件夾（%windir%＼system32 ＼Drivers＼*.exe）里面的可執(zhí)行文件。

通過(guò)制定這些規(guī)則，增加了系統(tǒng)防御木馬的能力。

2.2.2 ?禁用IE組件自動(dòng)安裝

有時(shí)候，當(dāng)用戶在訪問(wèn)某個(gè)網(wǎng)站時(shí)，會(huì)收到一則消息，提示用戶下載并安裝某個(gè)指定的組件，否則，無(wú)法查看用戶的信息或不能實(shí)現(xiàn)某些功能，一般用戶會(huì)毫無(wú)疑問(wèn)地點(diǎn)擊“安裝”。這正是一些病毒程序的突破口。

設(shè)置“禁用Internet Explore組件的自動(dòng)安裝”項(xiàng)，增強(qiáng)系統(tǒng)這方面的防御能力。具體步驟如下：

（1）打開(kāi)“組策略編輯器”窗口，點(diǎn)擊“計(jì)算機(jī)配置”下的“管理模板”，打開(kāi)“Internet Explore”選項(xiàng)。

（2）雙擊右邊窗口中的“禁用Internet Explore組件的自動(dòng)安裝”項(xiàng)目，在打開(kāi)的窗口中選擇“已啟動(dòng)”單選按鈕，即可禁止Internet Explore自動(dòng)安裝組件。同時(shí)中還提供了很多關(guān)于Internet Explore安全方面的設(shè)置，比如“禁止用戶添加刪除站點(diǎn)”“禁止用戶更改策略”以及“Internet控制面板”等，通過(guò)設(shè)置這些策略選項(xiàng)，可以更進(jìn)一步提高IE的安全。

2.2.3 ?自動(dòng)記錄操作

Windows網(wǎng)絡(luò)操作系統(tǒng)都設(shè)計(jì)有各種日志文件，如應(yīng)用程序日志、安全日志、系統(tǒng)日志等。我們?cè)谙到y(tǒng)上進(jìn)行一些操作時(shí)，這些日志文件通常會(huì)記錄下操作的相關(guān)內(nèi)容，這些內(nèi)容對(duì)系統(tǒng)安全工作人員相當(dāng)有用。查看這些日志文件可以通過(guò)“事件查看器”完成。

但系統(tǒng)的設(shè)置不一樣，生成的日志也不相同，我們可以通過(guò)“組策略”制定更詳細(xì)的日志。方法如下：

（1）打開(kāi)“組策略編輯器”窗口，點(diǎn)擊“計(jì)算機(jī)配置”下的“Windows設(shè)置”， 打開(kāi)其中的“安全設(shè)置”菜單中的“本地策略”，就會(huì)看到“審核策略”，雙擊“審核策略”，在右邊窗口中看到可以審核策略更改、登錄事件、對(duì)象訪問(wèn)、過(guò)程跟蹤、目錄服務(wù)訪問(wèn)以及特權(quán)使用、賬戶登錄事件等。

（2）雙擊“審核策略更改”，打開(kāi)該審核策略的屬性窗口，選中審核操作中的“成功”和“失敗”兩項(xiàng)，這樣只要組策略被修改過(guò)，系統(tǒng)就會(huì)記錄下來(lái)。同樣的方式可啟用其他的審核。

這樣，當(dāng)組策略被修改后，系統(tǒng)發(fā)生了問(wèn)題，在“事件查看器”里就會(huì)及時(shí)查到哪些策略被修改了。若設(shè)置了“審核登錄事件”，還可查看到詳細(xì)的登錄事件。

3 ? 結(jié)語(yǔ)

確保系統(tǒng)安全的軟件有很多，但操作系統(tǒng)本身的安全在確保整個(gè)信息系統(tǒng)安全中扮演著非常重要的角色，沒(méi)有操作系統(tǒng)的安全保障，那些安全軟件也無(wú)法發(fā)揮其應(yīng)有的安全防范作用。組策略是設(shè)置操作系統(tǒng)安全最好的途徑。隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)操作系統(tǒng)版本的不斷提升，組策略功能也在日益強(qiáng)大。

[參考文獻(xiàn)]

[1]戴有煒.Windows server 2003網(wǎng)絡(luò)專業(yè)指南[M].北京：清華大學(xué)出版社，2004.

[2]鞠光明.Windows服務(wù)器維護(hù)與管理[M].北京：北京大學(xué)出版社，2006.

[3]呂瑞霞，賀春林.關(guān)于windows下組策略管理的討論[J].電腦知識(shí)與技術(shù)，2008（4）：1001-1002.

（編輯 傅金睿）