2.5 Windows组策略之安全策略

组策略（Group Policy）是微软Windows家族操作系统的一个特性，它可以控制用户账户和计算机账户的工作环境。组策略提供了操作系统、应用程序和活动目录中用户设置的集中化管理和配置。组策略提供对Active Directory环境中的操作系统、应用程序和用户设置的集中管理和配置。组策略通常用于限制可能带来潜在安全风险的某些操作，例如：阻止对任务管理器的访问、限制对某些文件夹的访问、禁用可执行文件的下载等。组策略在一定程度上控制着用户在计算机上能做什么不能做什么。组策略是Windows系统安全中的一个重要组成部分。

本地组策略（Local Group Policy）是域环境中使用的组策略的一个基础版本，它面向独立且非域内的计算机，如图2-15所示。

组策略一经设置后不会立即生效，默认情况下，Microsoft Windows每90分钟刷新一次组策略，随机偏移 30 分钟，目的是防止所有计算机同时刷新。在域控制器上，Microsoft Windows每隔5分钟刷新一次。在刷新时，它会发现、获取和应用所有适用这台计算机和已登录用户的组策略对象。某些设置，如自动化软件安装、驱动器映射、启动脚本或登录脚本，只在启动或用户登录时应用，也可以使用gpupdate命令来手动刷新组策略，如图 2-17所示。

安全策略设置是管理员为保护设备或网络上资源而在计算机上或多台设备上配置的规则。在组策略中：本地计算机策略 计算机配置 Windows设置 安全设置。可以对安全策略进行配置，安全设置策略用作整体安全实现中的一部分，以帮助保护组织中域控制器、服务器、客户端和其他资源的安全。本地组策略编辑器的安全设置包括以下类型的安全策略。

（1）账户策略。这些策略在设备上定义，它们会影响用户账户与计算机或域交互的方式。账户策略包括以下类型的策略。

①密码策略。这些策略确定密码的设置，如密码长度、复杂度、最长使用期限等。

②账户锁定策略。这些策略确定账户被锁定的条件和时长。

③ Kerberos策略。这些策略用于域用户账户，它们确定与Kerberos相关的设置，例如：Kerberos票据的最长寿命等。

（2）本地策略。这些策略适用于计算机，并包括以下类型的策略设置。

①审核策略。指定用于控制将安全事件记录到计算机上安全日志中的安全设置，并指定记录哪些类型的安全事件（成功或失败）。

②用户权限分配。指定在设备上具有登录权限的用户或组。

③安全选项。指定计算机的安全设置，如管理员和来宾账户名称、访问软盘驱动器和CD-ROM驱动器、安装驱动程序、登录提示等。

（3）Windows高级安全防火墙。为保护网络中的设备，对Windows防火墙进行安全配置，来指定何种网络流量能够允许通过防火墙。

（4）网络列表管理器策略。指定可用于配置网络在一台或多台设备上列出不同显示方式的设置。

（5）公钥策略。指定用于控制加密文件系统、数据保护和BitLocker驱动器加密的设置，以及某些证书路径和服务设置。

（6）软件限制策略。指定用于标识软件并控制其在本地设备、组织单元、域或站点上运行权限的设置。

（7）应用程序控制策略。指定设置以控制哪些用户或组可以运行特定的应用程序。

（8）本地计算机的IP安全策略。指定设置以确保使用加密安全服务通过IP网络进行私有安全通信。IPsec建立从源IP地址到目标IP地址的信任和安全性。

（9）高级审核策略配置。指定用于控制安全事件记录到设备的安全日志中的设置。高级审核策略配置下的设置可以更精细地控制要监视的活动。

2.5.1 账户安全策略

一、密码策略

打开本地组策略编辑器，选择本地计算机策略 计算机配置 Windows设置 安全设置 账户设置 密码策略，设置密码策略符合以下要求：

（1）密码必须符合复杂度要求，包含大小写字母和特殊字符。

（2）密码长度至少14位。

（3）密码90天强制更改一次。

（4）新设置的密码不能与过去6次设置的密码相同。

配置如图2-18所示。

执行gpupdate命令手动更新本地组策略之后，尝试更改用户密码不符合要求时，将会出现如图2-19所示提示错误。

二、账户锁定策略

如果连续错误输入3次密码，就将账户锁定30分钟，防止攻击者暴力猜解、破解密码，选择本地计算机策略 计算机配置 Windows设置 安全设置 账户设置 账户锁定策略，如图2-20所示进行配置。

三、其他账户安全策略

选择本地计算机策略 计算机配置 Windows设置 安全设置 本地策略 安全选项，其中关于账户的设置，如图2-21所示。

其中，需要禁用来宾账户，必要情况需要重命名系统管理员账户（Administrator），可以使攻击者猜测此权限用户名和密码组合的难度稍微大一些。

四、 Kerberos安全策略

Kerberos策略仅能应用于域中的计算机，Kerberos版本5的身份验证协议提供了身份验证服务的默认机制，以及用户访问资源，并针对该资源执行任务所需的授权数据。通过减少Kerberos票证的生存期，可以降低攻击者被盗并成功使用合法用户凭据的风险。但是，这也会增加授权开销，增加KDC压力。主要包含以下设置内容：

（1）强制执行用户登录限制。

（2）服务票据最长寿命。

（3）用户票据最长寿命。

（4）用户票据续订最长寿命。

（5）计算机时钟同步的最大容差。

2.5.2 安全审核策略

安全审核是可用于维护系统完整性的最强大工具之一。作为整体安全策略的一部分，用户应确定适合自身环境的审核级别。审核应该能够鉴别出对用户网络以及各种有价值资源的攻击行为。在实施审核之前，必须决定审核策略。

一、基本安全审核策略

基本审核策略指定要审核的安全相关事件的类别，位于本地计算机策略 计算机配置 Windows设置 安全设置 本地策略 审核策略，如图2-22所示进行配置。

二、高级安全审核策略

高级安全审核策略看起来与基本安全审核策略重叠，但记录和应用方式不同。其位于本地计算机策略 计算机配置 Windows设置 安全设置 高级审核策略配置，如图2-23所示。

三、事件日志分析

审核日志内容可在事件查看器（eventvwr.msc）中Windows日志 安全中进行查看及分析，如图2-24所示。

对于Windows事件日志分析，不同的事件ID代表了不同的意义，常见的安全事件说明如表2-2所示。

进行日志分析可使用Log Parser工具，Log Parser是微软公司出品的日志分析工具，它功能强大，使用简单，可以分析基于文本的日志文件、XML文件、CSV(逗号分隔符）文件，以及操作系统的事件日志、注册表、文件系统、Active Directory。它可以像使用SQL语句一样查询分析这些数据，甚至可以把分析结果以各种图表的形式展现出来。 SKLinPExPQDgQY1UTex/0MMfHdyvzWxtVxoL9+f0hBKPzxdlo4jqJzbPMajNwbSF