自從windows 2000 server,主要是靠組策略機(jī)制來(lái)管理的安全windows網(wǎng)絡(luò).幾年來(lái),我倒覺(jué)得有組策略需要擴(kuò)展,因?yàn)橛泻芏喾矫娓緹o(wú)法用組策略來(lái)控制.所幸的是,微軟也承認(rèn)組策略的相關(guān)缺陷,并已在Windows2008徹底修改組策略.在這一系列文章,我將討論一些新的組策略.如果你曾經(jīng)使用過(guò)組策略,在過(guò)去,你知道有很多組策略設(shè)置集成在操作系統(tǒng)仲.很難對(duì)組策略進(jìn)行擴(kuò)展。對(duì)于組策略的數(shù)字我很難給你一個(gè)確切的答案.因?yàn)橐恍┭a(bǔ)丁，更新包都帶來(lái)一些組策略的變化.我可以告訴你, windows server 2003 service pack 1中提供了約1700組策略設(shè)置.這一數(shù)字已增至2400組策略,在windows vista和windows server 2008 .既然如此,我根本沒(méi)有時(shí)間談每一組策略的設(shè)置來(lái)提供給你們.相反,我將嘗試談?wù)摳鼮橹匾慕M策略設(shè)置.病毒防護(hù) 近年來(lái)安全威脅很多，其中最多的一直是電子郵件病毒.大多數(shù)反病毒產(chǎn)品的設(shè)計(jì)與微軟outlook集合 ,其想法是,該軟件能夠在電子郵件附件被打開(kāi)的時(shí)候被掃描.即便如此,windows一直缺乏一個(gè)統(tǒng)一的機(jī)制來(lái)確保殺毒軟件的安裝和正常工作.幸好, vista和2008現(xiàn)在已經(jīng)包含組策略設(shè)定，可以允許你在組策略級(jí)別加入你們組織/公司的防毒策略.雖然我要向各位展示的是具體到windows vista和windows server 2008組策略設(shè)置, 然后可以使它運(yùn)行windows xp service pack 2 .你可以找到相關(guān)的防毒組策略相關(guān)設(shè)置,在組策略:User ConfigurationAdministrative TemplatesWindows ComponentsAttachment Manager當(dāng)用戶(hù)打開(kāi)附件通知?dú)⒍拒浖@個(gè)組策略的設(shè)置是當(dāng)電子郵件附件的打開(kāi)時(shí)來(lái)通知你的殺毒軟件時(shí),殺毒軟件掃描電子郵件附件來(lái)查病毒. 雖然這個(gè)組策略看起來(lái)很簡(jiǎn)單, 雖然只有兩個(gè)變量,在你使用前必須了解. 首先,如果你的殺毒軟件是可以自動(dòng)掃描電子郵件附件,在設(shè)置這個(gè)組策略是多余的. 還有其他就是，如果你設(shè)置啦這個(gè)組策略，但是你的殺毒軟件因?yàn)槟硞€(gè)原因不能掃描插件，那Windows就會(huì)阻止附件被打開(kāi).不要在文件附件中保留區(qū)域信息. 在IE一個(gè)主要的安全概念就是區(qū)域.IE允許管理員把分類(lèi)域名放到各個(gè)區(qū)域,其建立在管理員信任多少站點(diǎn).在windows2008和vista中，區(qū)域的狀態(tài)也可以作用在郵件上.當(dāng)一份郵件包含附件，windows在ie的區(qū)域查找并比較發(fā)件人的域.這可以使用域信息來(lái)確定附件是否值得信賴(lài). 然而這個(gè)特別的組策略設(shè)置看起來(lái)有點(diǎn)誤導(dǎo).如果你啟用設(shè)置,區(qū)域信息會(huì)被忽略.如果你要確保windows利用區(qū)域信息來(lái)保護(hù)電子郵件附件,你必須禁用此策略的制定.一個(gè)關(guān)系到安全的方面，你應(yīng)該知道發(fā)件人的區(qū)域是作為文件屬性存儲(chǔ)的，這就意味著必須存儲(chǔ)在NTFS格式的分區(qū)空間上.如果存儲(chǔ)在FAT格式的分區(qū)上，區(qū)域信息不會(huì)保留，而且Windows不會(huì)報(bào)告失敗.隱藏機(jī)制來(lái)去除區(qū)域信息正常情況下,相當(dāng)容易為用戶(hù)從文件移除帶相關(guān)屬性.他們只要這樣做,只是要點(diǎn)擊打開(kāi)按鈕,找到該文件的屬性表.如果你想阻止用戶(hù)剝離資料檔案,啟用這個(gè)設(shè)置.這樣做將隱藏機(jī)制,任何一個(gè)用戶(hù)不可能消除區(qū)信息從一個(gè)文件文件附件的默認(rèn)風(fēng)險(xiǎn)級(jí)別這個(gè)組策略的設(shè)置允許你給郵件附件一個(gè)默認(rèn)設(shè)置，高，中或低風(fēng)險(xiǎn)級(jí)別.我會(huì)在以后談?wù)撽P(guān)于風(fēng)險(xiǎn)界別.高風(fēng)險(xiǎn)文件類(lèi)型的清單 顯然,有些類(lèi)型的文件更有可能更容易攜帶惡意代碼.例如exe文件或pif文件比 pdf文件要惡意多拉.正因?yàn)槿绱?windows可以讓你對(duì)各種文件類(lèi)型設(shè)置高,中或低風(fēng)險(xiǎn) windows提供獨(dú)立的組策略來(lái)設(shè)置低,中等和高風(fēng)險(xiǎn)的文件類(lèi)型. 之所以微軟選擇這么做,是因?yàn)樗试S更嚴(yán)格的安全設(shè)置,優(yōu)先考慮 在低級(jí)別的安全設(shè)置,在發(fā)生沖突. 假設(shè)舉例說(shuō),某一文件類(lèi)型是在高風(fēng)險(xiǎn)和中等風(fēng)險(xiǎn)中. 在這種情況下,高風(fēng)險(xiǎn)的策略將高于中期策略風(fēng)險(xiǎn), 和文件類(lèi)型,將被視為高風(fēng)險(xiǎn)的.文件類(lèi)型被視為高風(fēng)險(xiǎn)的將主宰其他設(shè)置. 那么如何區(qū)分一個(gè)文件類(lèi)型屬于高風(fēng)險(xiǎn)。如果一個(gè)用戶(hù)想打開(kāi)一個(gè)文件，windows窗口看起來(lái)不僅在文件類(lèi)型判斷，而且也會(huì)在文件的來(lái)源是否來(lái)自禁止的區(qū)域來(lái)認(rèn)定高風(fēng)險(xiǎn)，windows禁止用戶(hù)打開(kāi)文件.如果文件來(lái)自互聯(lián)網(wǎng)，在用戶(hù)打開(kāi)文件前windows會(huì)提示用戶(hù)預(yù)防風(fēng)險(xiǎn).低風(fēng)險(xiǎn)文件類(lèi)型的清單 確定文件類(lèi)型是否屬于低風(fēng)險(xiǎn)類(lèi)型和高風(fēng)險(xiǎn)有點(diǎn)類(lèi)似.但是有一點(diǎn)區(qū)別.首先不同的是,微軟已經(jīng)默認(rèn)把某些類(lèi)型的文件作為高風(fēng)險(xiǎn)的. 如果設(shè)定其中的文件類(lèi)型作為低風(fēng)險(xiǎn), 那么您會(huì)凌駕于windows的內(nèi)置設(shè)置, 檔案將被視為低風(fēng)險(xiǎn). 當(dāng)然,如果你已經(jīng)手工增加了一個(gè)文件型向高風(fēng)險(xiǎn)名單,然后把它添加到低風(fēng)險(xiǎn)名單 該文件將被視為高風(fēng)險(xiǎn),因?yàn)楦唢L(fēng)險(xiǎn)名單優(yōu)于低風(fēng)險(xiǎn)清單. 如果你是好奇,允許用戶(hù)開(kāi)低風(fēng)險(xiǎn)檔案不管屬于哪個(gè)區(qū)域.中度風(fēng)險(xiǎn)文件類(lèi)型的清單 確定文件類(lèi)型是否屬于中度風(fēng)險(xiǎn)類(lèi)型和高 低風(fēng)險(xiǎn)有點(diǎn)類(lèi)似.唯一區(qū)別如果文件來(lái)自被禁止的區(qū)域或是internet，windows只是在用戶(hù)打開(kāi)文件前顯示一個(gè)警告信息.