Windows系统安全策略分析

摘 要:操作系统安全策略的基本设置是信息安全等级保护的基础。本文从信息安全等级保护的角度出发,分析和阐述了Windows操作系统安全策略的现状和设置等方法,从用户账号策略设置、设备管理策略设置、审核策略设置、安全选项策略设置等四个方面阐述了进行windows操作系统基本的安全策略设置方法,表述了对操作系统基线策略设置的实施。

关键词:Windows系统;系统安全;安全策略

操作系统安全涉及各个方面,其中安全策略[1]起到了至关重要的作用,因此,Windows系统的安全策略设置方法也层出不穷,本文从用户账号策略、设备管理策略、安全选项策略等几方面分别分析阐述了Windows系统安全策略的现状和设置等方法。

1 Windows系统安全策略安全设置

1.1 用户账号策略

用户权限分配用于确定哪些用户或组拥有在组织机构内部计算机上进行登录的权利或特权。登录权限与特权控制着用户在目标系统上所拥有的权限。它们用以授予执行特定操作(例如在网络或本地进行登录)或管理任务(例如生成新的登录令牌)所需的权限。

来宾(Guests)组及Guest用户帐号和Support_388945a0在不同域间拥有唯一的SID。因此,这种面向用户权限分配的组策略可能需要在那些只存在特定目标组的系统上予以修改。或者,也可对策略模板进行单独编辑,以便在.inf文件中包含适当的组。举例来说,应当在测试环境中的某台域控制器上创建一个域控制器组策略。

通过网络[2]访问此计算机用户权限决定了允许哪些用户和组通过网络与计算机建立连接。在Windows Server 2003操作系统中,尽管授予Everyone安全组的权限将不再为匿名用户提供访问权限,Guests组和Guest帐号仍将通过Everyone安全组被授予访问权限。因此,在高安全性运行环境中从网络访问此计算机用户权限中删除Everyone安全组,以便进一步抵御通过来宾访问方式对域发动的攻击。

强制通过远程系统关机用户权限允许用户通过网络从远程位置上关闭计算机。所有能够关闭计算机的用户均可发动拒绝服务(DoS)攻击,因此,这种权限的分配应受到严格限制。

通过身份验证后对特定客户端进行模拟的权限允许代表某个用户运行应用程序,以便对特定客户端进行模拟。针对此类模拟方式设置这种用户权限将有效防止未经授权的用户欺骗指定客户端与某种他(她)所创建的服务建立连接,进而将自身权限提升至管理或系统级别。

1.2 设备管理策略

装载与卸载设备驱动程序权限决定了哪些用户可以动态装载并卸载设备驱动程序。具备装载与卸载设备驱动程序权限的用户可以随意安装那些伪装成设备驱动程序的恶意代码。因此,管理员应加倍小心,并且仅仅安装那些经过数字签署认证的驱动程序。在高安全性运行环境中,这种用户权限则应用以加强缺省管理员组。

在内存中锁定页面:作为批处理作业登录用户权限允许用户通过诸如任务计划程序服务之类的批处理队列机制进行登录。由于遭受攻击的风险较低,因此,缺省设置即可。这种拒绝作为批处理作业登录用户权限设置将覆盖作为批处理作业登录用户权限设置。具备这种登录权限的帐号可用于对消耗过多系统资源以至于可能导致DoS现象的作业进行调度。因此,请不要将拒绝作为批处理作业登录用户权限分配给那些可能对安全性造成威胁的帐号。

恢复文件与目录用户权限决定了哪些用户在恢复备份文件与目录时可以绕过文件、目录、注册表及其它永久对象权限。同时,这种用户权限还决定了哪些用户可以将合法安全主体设置为对象所有者。在企业级或高安全性运行环境中,只有管理员组成员有权对文件与目录进行恢复。文件恢复作业通常由管理员组或其它指定委托安全组成员来完成,这种方式尤其适用于具有高度敏感性的服务器和域控制器。

关闭系统用户权限决定了哪些本地登录用户能够通过关机命令关闭操作系统。滥用这种用户权限可能造成DoS攻击。关闭域控制器的能力应被限制在少数深受信赖的管理员范围内。虽然关闭系统还需具备登录到服务器的能力,但是,仍需谨慎对待哪些允许关闭域控制器的帐号和组。在高安全性运行环境中,只有管理员组应被授予关闭系统用户权限。

同步目录服务数据用户权限允许进程读取目录中的所有对象和属性,而不必关心这些对象和属性是否存在保护措施。LDAP目录同步服务需要使用这种权限。这种用户权限的缺省设置并未指定任何帐号,在高安全性运行环境中,必须将其配置为吊销所有安全组和帐号。

获取文件或其它对象的所有权用户权限允许用户获取系统中任意安全对象的所有权,其中包括Active Directory对象、NTFS文件系统(NTFS)文件与文件夹、打印机、注册表键、服务、进程以及线程等。请确保只有本地管理员组拥有获取文件或其它对象所有权用户权限。

更改系统时间用户权限决定了哪些用户和组能够更改计算机内部时钟的时间与日期。由于事件日志将反映调整后的新时间,而非事件发生的真实时间,因此,需将更改系统时间特权限制在系统运维人员范围内。

1.3 审核策略

管理员应当创建一种审核策略。这种审核策略用于确定需要报告至网络管理员以便使特定事件类别中的用户或系统活动得到及时记录的安全事件。当用户登录到计算机、从计算机上注销,或对审核策略设置进行修改时,管理员可以对诸如特定对象访问者之类的安全活动加以监控。

在实现审核策略前,必须首先完成的一项工作便是确定需要在运行环境中对哪些事件类别进行审核。管理员针对事件类别所选择的审核设置将用于定义审核策略。通过定义针对特定事件类别的审核设置,管理员可以创建出适合于整体安全需求的审核策略。

如果未对审核方式加以配置,管理员将很难甚至不可能确定在安全事故中发生了哪些事件。相反,如果审核方式过于繁琐,以至于过多授权活动都将生成事件,那么,安全事件日志将被大量无用数据填满。因此,以下建议做出对哪些事件进行监控的权衡决策。

审核事件包括:审核帐号登录事件、审核帐号管理、审核目录服务访问、审核登录事件,下面以审核审核帐号登录事件为例。审核帐号登录事件设置用于确定是否对每个用户实例登录或注销另一台需要验证帐号的计算机的活动进行审核。在域控制器上对域用户帐号进行身份验证时将产生一个帐号登录事件。这个事件将被记录到域控制器的安全日志中。在本地计算机上对本地用户进行身份验证时将产生一个登录事件。这个事件将被记录到本地安全日志中。对于帐号注销事件,则没有任何信息需要记录。

1.4 安全选项策略

组策略的安全选项部分用以配置针对计算机的安全设置,例如数据数字签署、管理员与Guest帐号名称、软盘驱动器与CD-ROM驱动器访问能力、驱动器安装方式以及登录提示信息等等。

帐号: Guest 帐号状态安全选项设置用于指示Guest帐号是否已被启用或禁用。这种帐号允许未经身份验证的网络用户通过以来宾身份登录的方式获取系统访问权限。因此,应配置为禁用。限制本地帐号只能在控制台登录过程中使用空白密码安全选项设置决定了不受密码保护的本地帐号是否可以从物理计算机控制台以外的其它位置上进行登录。启用这项设置能够防止具有非空密码的本地帐号通过网络从远程客户端上进行登录,不受密码保护的本地帐号将只能通过计算机键盘进行物理登录。

审核:审核备份与恢复权限使用情况安全设置选项决定了是否在审核特权使用策略设置生效后对包括备份与恢复在内的所有用户权限使用情况进行审核。启用这种策略将产生大量安全事件,进而导致服务器响应速度降低并强制安全事件日志记录大量意义不大的事件。

设备:仅限本地登录用户访问软盘驱动器安全选项设置决定了是否同时允许本地及远程用户访问可移动软盘媒体。启用这项设置将只允许通过交互方式登录的用户访问可移动软盘媒体。如果这项策略已被启用,且没有任何用户通过交互方式进行登录,那么,软盘媒体将能够通过网络进行访问。

域控制器:对来自安全通道的数据进行数字加密/签署安全选项设置用于决定域成员是否需要针对它们发起的所有安全通道通信操作尝试就加密/签署事宜进行协商。启用这项设置将促使域成员为所有安全通道通信内容请求加密/签署。禁用这项设置则会阻止域成员协商安全通道加密/签署事宜。因此,这种安全选项的取值均被设置为启用。

2 结束语

操作系统安全涉及各个方面,其中安全策略起到了至关重要的作用。操作系统安全策略的基本设置是信息安全等级保护的基础。本文从信息安全等级保护的角度出发,分析和阐述了Windows操作系统安全策略的现状和设置等方法,从用户账号策略设置、设备管理策略设置、审核策略设置、安全选项策略设置四个方面阐述了进行windows操作系统基本的安全策略设置方法,表述了对操作系统基线策略设置的实施。

参考文献

[1]高爱乃.浅析Windows Server 2003安全策略[J].网络安全技术与应用.

[2] 李新伟.应力.信息安全策略分析[J].信息网络安全.2010.2.

[3] 马文.江翰.彭秋霞.电力信息安全基线自动化核查[J].云南电力技术.2013.2.

作者简介

于佳丽(1986-),女,宁夏中宁人,助理工程师,从事电力行业信息安全工作。

曹明(1967-),男,宁夏中卫人,高级工程师,从事电力行业信息安全工作。

施科峰(1979-),男,宁夏中宁人,工程师,从事电力行业信息通信工作。

转载请注明出处学文网 » Windows系统安全策略分析

学习

带上她的眼睛

阅读(26)

本文为您介绍带上她的眼睛,内容包括带上她的眼睛全文原版,带上她的眼睛全文。连续工作了两个多月,我实在太累了,便请求主任给我两天假,出去短暂旅游一下散散心。主任答应了,条件是我再带一双眼睛去,我也答应了,于是他带我去拿眼睛。眼睛放在控

学习

二十四节气之处暑

阅读(29)

本文为您介绍二十四节气之处暑,内容包括二十四节气之处暑课文,二十四节气之处暑注音。处暑节气的由来每年的8月23日前后(8月22日~24日),太阳到达黄经150°时是二十四节气的处暑。处暑是反映气温变化的一个节气。“处”含有躲藏、终止意思,“

学习

我的“百草园”作文700字

阅读(19)

在我的童年,大部分时间都在这个“百草园”,在鲁迅先生的笔下,童年的那个百草园是个充满神秘色彩的乐园,而我的“百草园”,是个书声朗朗的地方。转眼间我七岁了,第一次踏入这片土地,就该到从未有过的快乐。早上,天刚蒙蒙亮,路边的老猫还在睡觉哩,太

学习

拇指班长·我把班长变小了

阅读(35)

不能没有孔西西以往,这个时候,应该是孔西西站在讲台上组织大家读课文的时间。可是今天,孔西西没有出现,教室里就有一点乱套了:有看漫画书的,有画画的,有写练习册的,还有凑在一起玩五子棋的。我下意识地捅捅藏在衣兜里的孔西西,示意她赶紧想办法主

学习

十字星K线

阅读(18)

本文为您介绍十字星K线,内容包括十字星k线最佳买入时机,深圳新款小巧养生壶。上期介绍了虚体的陀螺形态,本节介绍十字星K线,顾名思义,在K线组合中,往往会出现一些收盘和开盘价格一样的K线,我们把这些K线称之为十字星,也就是在多空双方争夺了一

学习

伊斯坦布尔的“和平猫”

阅读(27)

在土耳其伊斯坦布尔市的希维勃小镇上,有一尊造型奇特的猫石像,这只猫毛发黑亮,体型肥胖,更可爱的是它的姿势是侧躺着的,慵懒的气质让人忍不住上前一摸。不过,如果你这么做了,会有人立刻劝阻你,甚至会朝你恶言相向,这是怎么回事呢?原来,这只名叫塔姆

学习

《法经》:中国成文法典的滥觞

阅读(22)

中国古代以刑法为主的法典中国古代的成文法典,以刑法为核心。自《法经》之后,有商鞅在秦国制定的法律,有汉初萧何制定的《九章律》,有魏晋南北朝的魏《新律》、晋《泰始律》、北魏的《正始律》、北齐的《北齐律》等,隋的《开皇律》和唐的《永

学习

公安现役部队出台士官建设调研报告

阅读(29)

公安现役部队出台士官建设调研报告为加强公安现役部队士官队伍建设,提高士官队伍整体素质和战斗力,根据有关规定精神,现提出如下意见:一、高度重视抓好士官队伍建设(一)深化对士官队伍建设重要性的认识。士官作为公安现役部队管理教育训练的

学习

如何有效地参会

阅读(29)

本文为您介绍如何有效地参会,内容包括如何写参会感悟,参会摘要怎么写。有幸和我的团队参加了全国第二届“三新”作文教学研讨会,回来后,我组织大家以各种方式梳理参会体悟。有的教师表示很有启发,有的教师特别喜欢某堂课或欣赏某位专家,也有

学习

关于固定资产弃置费用的思考

阅读(61)

在与国际会计准则趋同的大环境下,“弃置费用”的提出成为了中国新企业会计准则中的亮点之一。本文通过对弃置费用提出的背景、意义阐述,针对弃置费用在实务中遇到的问题提出建议。关键词:固定资产弃置费用思考哥本哈根气候变化峰会把世界的

学习

机电工程施工中的管线设计

阅读(41)

一、管道综合排布由于机电工程中,部分位置是风、水、电、专业管线集中密集的地方,在这些空间窄小的部位机电施工安装,首先必须保证排水管、凝结水管、透气管等管道的坡度要求;电气桥架内缆、线的管理维护及更换;风、水专业的各种阀门开启的操

学习

论徽派传统民居建筑

阅读(21)

徽派传统民居建筑在历史的长河中,经过古徽州居民和建筑师在一代又一代的生活起居和建筑作业中不断建设发展创新,逐渐形成了别具一格的“徽派特色”,它的美是任何地域都无法比拟的,它将中国传统民居建筑推到极致。随着人们日趋追求建筑特色和

学习

国家中影数字制作基地

阅读(34)

本文为您介绍国家中影数字制作基地,内容包括国家中影数字制作基地是一个传媒公司吗,国家中影数字制作基地招聘靠谱吗。国家中影数字制作基地,是中国电影集团公司为提高民族电影制作水平和适应世界电影制作发展趋势,总投资30亿元人民币,占地

学习

英汉抽象名词浅谈

阅读(34)

抽象名词是任何语言中都存在的一种客观现象,大量使用抽象名词是英语的特色之一,而汉语中却很少使用,这就形成了英汉表达的一个重大不同之处。本文主要以两篇实例来说明抽象名词在英汉语中使用的差异,并分析造成这种差异的原因,给出翻译启示。

学习

平均指标两因素分析新解

阅读(28)

针对企业管理决策十分重要的平均指标的两因素分析,文章作者结合典型实例提出了全新的解题方法,从而大大简化了计算过程,降低了学习难度,提高了学生的学习兴趣和教师的教学效果,为指数体系因素分析的便捷应用等提供了有益参考。Abstract:Direct

学习

陇南市文县暴雨天气气候分析

阅读(21)

本文通过对陇南市文县历年发生暴雨天气的时空分布、灾害损失以及典型暴雨天气过程的形成、天气形势、发生发展过程进行统计分析,从气候学、天气学和动力学等方面分析文县暴雨天气形成规律,并对暴雨场次和灾害进行预测。关键词:暴雨;天气气候

学习

创新设计中的TRIZ理论分析

阅读(18)

1TRIZ理论TRIZ是俄文TeriyaResheniyaIzobretatelskikhZadatch(发明问题解决理论)的词头。由前苏联GenrichS.Altshuller及其领导的一批研究人员,在分析研究世界各国260万件专利的基础上,所提出的一套创新理论。TRIZ对于产品的创新设计具有重

学习

探索量本利分析法在企业管理中的运用

阅读(22)

量本利分析法在企业定价决策、成本预测、生产决策等经营管理中得到广泛应用,它简单易学,操作方便,是一种新型的现代企业管理方法。关键词:量本利;分析;企业;管理前言量本利分析本质是因素分析,它是以成本习性为基础,探求成本、销量、单价、利润之

学习

扎根理论应用的分析

阅读(19)

通过分析“谁对返乡农民工创业机会识别更具影响力:强连带还是弱连带”,了解如何运用质性研究中的扎根理论来构建理论模型。以返乡农民工为研究对象,通过深度访谈收集数据资料,以扎根理论为主导工具分析研究,得出本地强连带对返乡农民工创业机

学习

物流公司共同配送的案例分析

阅读(19)

共同配送是经长期发展和探索优化出的一种追求合理化配送的配送形式,也是美国、日本等一些发达国家采用较广泛、影响面较大的一种先进的物流方式,它对提高物流动作效率、降低物流成本具有重要义。国内大多数企业都面临物流成本上升、投资物

学习

对普通电源及开关电源的分析

阅读(37)

摘要电源是各种电子、电气设备工作的动力,是自动化部件不可缺少的组成部分。电源设备广泛应用于科学研究、经济建设、国防设施及人民生活等各个方面,是电子设备和机电设备的基础,它与国民经济各个部门相关,在工农业生产中应用最为广泛。可以

学习

滴滴打车、快的打车合并战略的分析

阅读(27)

本文为您介绍滴滴打车、快的打车合并战略的分析,内容包括滴滴打车与快的打车合并的好处,滴滴打车与快的打车合并案例分析。【摘要】滴滴打车、快的打车两家企业是伴随着互联网技术普及而兴起的,并为人们出行提供了极大的便利,而在日益激烈