安全策略设置
此参考主题介绍安全设置的常见方案、体系结构和过程。
安全策略设置是管理员为保护设备或网络上的资源在一台计算机或多台设备上配置的规则。本地组策略编辑器管理单元的安全设置扩展允许你将安全配置定义为组策略对象 (GPO) 的一部分。GPO 可链接到 Active Directory 容器(如站点、域或组织单位),并且使你可以通过加入域的任何设备来管理多台设备的安全设置。作为整体安全实现的一部分,安全设置策略用于帮助确保你的组织中域控制器、服务器、客户端及其他资源的安全。
安全设置可以控制:
网络或设备的用户身份验证。
允许用户访问的资源。
是否要在事件日志中记录用户或组的操作。
组中的成员身份。
若要管理多台设备的安全配置,可以使用以下选项之一:
编辑 GPO 中的特定安全设置。
使用安全模板管理单元来创建包含要应用的安全策略的安全模板,然后将该安全模板导入到组策略对象中。安全模板是一个表示安全配置的文件,并且它可以导入到 GPO、应用到本地设备或用于分析安全性。
有关管理安全配置的详细信息,请参阅管理安全策略设置。
本地组策略编辑器的安全设置扩展包括以下类型的安全策略:
**帐户策略。**这些策略在设备上定义;它们会影响用户帐户与计算机或域的交互方式。帐户策略包括以下类型的策略:
**密码策略。**这些策略确定适用于密码的设置,如强制和生存期。密码策略适用于域帐户。
**帐户锁定策略。**这些策略确定帐户在系统外锁定的条件和时间长度。帐户锁定策略适用于域或本地用户帐户。
**Kerberos 策略。**这些策略适用于域用户帐户;它们确定与 Kerberos 相关的设置,如票证生存期和强制。
**本地策略。**这些策略适用于计算机,并包括以下类型的策略设置:
**审核策略。**指定计算机上可控制将安全事件记录到安全日志中的安全设置,并指定要记录哪些类型的安全事件(成功、失败或两者兼有)。
注意
对于运行 Windows 7 和更高版本的设备,我们建议使用“高级审核策略配置”下的设置,而不是“本地策略”下的“审核策略”设置。
**用户权限分配。**指定设备上具有登录群贤或特权的用户或组。
**安全选项。**指定计算机的安全设置,如管理员和来宾帐户名称、对软盘驱动器和 CD-ROM 驱动器的访问权限、驱动程序的安装、登录提示等。
**高级安全 Windows 防火墙。**指定通过使用状态防火墙(使你可以确定哪些流量允许在设备和网络之间传递)来保护你的网络上的设备的设置。
**网络列表管理器策略。**指定可用于配置网络如何在一台或多台设备上列出和显示的许多不同方面的设置。
**公钥策略。**指定用于控制加密文件系统、数据保护和 BitLocker 驱动器加密的设置以及某些证书路径和服务设置。
**软件限制策略。**指定用于标识软件并控制其在你的本地设备、组织单位、域或站点上运行的能力的设置。
**应用程序控制策略。**指定用于控制哪些用户或组可以根据文件的唯一标识运行你的组织中的特定应用程序的设置。
**本地计算机上的 IP 安全策略。**指定通过使用加密的安全服务来确保在 IP 网络上进行专用安全通信的设置。IPsec 可建立源 IP 地址和目标 IP 地址的信任和安全。
**高级审核策略配置。**指定设备上控制在安全日志中记录安全事件的设置。相对于本地策略下的审核策略设置,高级审核策略配置下的设置可更好地控制要监视的活动。
基于策略的安全设置管理
组策略的安全设置扩展提供了一个集成的基于策略的管理基础结构,可帮助你管理并强制执行安全策略。
你可以通过组策略和 Active Directory 域服务 (AD DS) 定义安全设置策略并将其应用于用户、组以及网络服务器和客户端。可以创建一个具有相同功能的服务器组(例如,Microsoft Web (IIS) 服务器),然后使用组策略对象将常见的安全设置应用于该组。如果以后向该组添加了更多服务器,许多常见的安全设置都会自动应用,从而减少部署和管理工作。
使用安全设置策略的常见方案
安全设置策略用于管理安全的以下几个方面:帐户策略、本地策略、用户权限分配、注册表值、文件和注册表访问控制列表 (ACL)、服务器启动模式等。
作为安全策略的一部分,你可以创建 GPO,同时为组织中的各种角色专门配置安全设置策略,如域控制器、文件服务器、成员服务器、客户端等。
你可以创建一个根据设备的角色对它们进行分组的组织单位 (OU) 结构。使用 OU 是区分网络中不同角色的特定安全要求的最佳方法。此方法还允许你将自定义的安全模板应用到服务器或计算机的每个类。创建安全模板后,你可以为每个 OU 都创建一个新的 GPO,然后将安全模板(.inf 文件)导入到新的 GPO 中。
将安全模板导入到 GPO 中可确保 GPO 会自动应用到的任何帐户在组策略设置刷新时都可接收到模板的安全设置。在工作站或服务器上,安全设置会定期刷新(最多有 30 分钟的随机偏移),而且在域控制器上,如果应用的任何 GPO 设置中发生了更改,此过程每隔几分钟便会发生。不管是否进行了更改,安全设置都是每 16 小时刷新一次。
注意
这些刷新设置在操作系统版本之间会有所不同,但可以进行配置。
通过将基于组策略的安全配置与管理委派结合使用,可以确保将特定的安全设置、权限和行为应用到 OU 中的所有服务器和计算机。此方法简化了更新多个服务器的过程(如果在将来需要进行一些其他的更改)。
对其他操作系统技术的依赖关系
对于作为 Windows Server 2008 或更高版本域的成员的设备,安全设置策略依赖于以下技术:
Active Directory 域服务 (AD DS)
基于 Windows 的目录服务,AD DS 存储有关网络上的对象的信息,并将此信息提供给管理员和用户。通过使用 AD DS,你可以从单一位置查看和管理网络上的网络对象,而且用户可以通过使用单一登录来访问允许的网络资源。
组策略
AD DS 中的基础结构可在运行 Windows Server 的设备上启用用户和计算机设置的基于目录的配置管理。通过使用组策略,你可以定义用户组和计算机组的配置,包括策略设置、基于注册表的策略、软件安装、脚本、文件夹重定向、远程安装服务、Internet Explorer 维护和安全。
域名系统 (DNS)
用于在 Internet 上和专用 TCP/IP 网络上查找域名的分层命名系统。DNS 提供的服务用于将 DNS 域名映射到 IP 地址,并将 IP 地址映射到域名。这可以使用户、计算机和应用程序通过完全限定的域名而不是通过 IP 地址查询 DNS 来指定远程系统。
Winlogon
提供交互式登录支持的 Windows 操作系统的一部分。是围绕交互式登录模型而对 Winlogon 进行的设计,它包含三个组件:Winlogon 可执行文件、凭据提供程序和任意数量的网络提供商。
设置
在全新安装或从较早版本的 Windows Server 升级期间,安全配置会与操作系统设置过程进行交互。
安全帐户管理器 (SAM)
在登录过程中使用的 Windows 服务。SAM 维护用户帐户信息,包括用户所属的组。
本地安全机构 (LSA)
对本地系统上的用户进行身份验证并记录的受保护的子系统。LSA 还会在系统上维护有关本地安全所有方面的信息,统称为系统的本地安全策略。
Windows Management Instrumentation (WMI)
作为 Microsoft Windows 操作系统的一项功能,WMI 是 Microsoft 对基于 Web 的企业管理 (WBEM) 的实现,这是为了访问企业环境中的管理信息而开发标准技术的行业计划。借助 WMI 可以访问有关托管环境中的对象的信息。通过 WMI 和 WMI 应用程序编程接口 (API),应用程序可以查询通用信息模型 (CIM) 存储库中的静态信息和各种提供程序维护的动态信息,并且可以对这些信息进行更改。
策略的结果集 (RSoP)
为了更易于计划和调试策略设置而试用 WMI 的增强的组策略基础结构。RSoP 提供可公开组策略的扩展在假设情况下会执行哪些操作以及在实际情况下该扩展完成了哪些操作的公共方法。这使管理员能够轻松确定应用于或将要应用于用户或设备的策略设置组合。
服务控制管理器 (SCM)
用于配置服务启动模式和安全性。
注册表
用于配置注册表值和安全性。
文件系统
用于配置安全性。
文件系统转换
安全性会在管理员将文件系统从 FAT 转换为 NTFS 时设置。
Microsoft 管理控制台 (MMC)
安全设置工具的用户界面是本地组策略编辑器 MMC 管理单元的扩展。
安全设置策略和组策略
本地组策略编辑器的安全设置扩展是安全配置管理器工具集的一部分。以下组件与安全设置相关联:配置引擎、分析引擎、模板和数据库接口层、设置集成逻辑和 Secedit.exe 命令行工具。安全配置引擎负责处理对系统(该引擎在此系统上运行)的与安全配置编辑器相关的安全请求。分析引擎会为给定的配置分析系统安全性,并保存结果。模板和数据库接口层处理往返于模板或数据库的读取和写入请求(用于内部存储)。本地组策略编辑器的安全设置扩展处理来自基于域的设备或本地设备的组策略。安全配置逻辑会与设置进行集成,并为全新安装或升级到较新的 Windows 操作系统管理系统安全。安全信息存储于模板(.inf 文件)或 Secedit.sdb 数据库中。
下图显示了安全设置和相关的功能。
安全设置策略和相关的功能
.gif "与安全策略相关的组件")
Scesrv.dll
提供核心安全引擎功能。
Scesrv.dll
向安全配置引擎提供客户端接口并向策略的结果集 (RSoP) 提供数据。
Wsecedit.dll
本地组策略编辑器的安全设置扩展。将 scecli.dll 加载到 wsecedit.dll 以支持安全设置用户界面。
Gpedit.dll
本地组策略编辑器 MMC 管理单元。
安全设置扩展体系结构
本地组策略编辑器的安全设置扩展是安全配置管理器工具的一部分,如下图所示。
安全设置体系结构
.gif "安全策略设置的体系结构")
安全设置配置和分析工具包括安全配置引擎,可提供安全设置策略的本地计算机(非域成员)和基于组策略的配置和分析。安全配置引擎还支持创建安全策略文件。安全配置引擎的主要功能是 scecli.dll 和 scesrv.dll。
下表介绍了安全配置引擎的这些主要功能及其他与安全设置相关的功能。
scesrv.dll
此 .dll 托管于 services.exe 中,并在本地系统上下文中运行。scesrv.dll 提供核心安全配置管理器功能,如导入、配置、分析和策略传播。
Scesrv.dll 通过调用相应的系统 API 对各种与安全相关的系统参数进行配置和分析,包括 LSA、SAM 和注册表。
Scesrv.dll 会公开 API,如导入、导出、配置和分析。它将检查该请求是否已通过 LRPC (Windows XP) 发出以及是否会使调用失败(如果没有发出)。
安全设置扩展各个部分将通过使用以下方法进行通信:
组件对象模型 (COM) 调用
本地远程过程调用 (LRPC)
轻型目录访问协议 (LDAP)
Active Directory 服务接口 (ADSI)
服务器消息块 (SMB)
Win32 API
Windows Management Instrumentation (WMI) 调用
在域控制器上,scesrv.dll 可接收对需要跨域控制器同步的 SAM 和 LSA 所做的更改的通知。Scesrv.dll 通过使用进程内 scecli.dll 模板修改 API 可将这些更改合并到默认域控制器策略 GPO 中。
Scesrv.dll 还可执行配置和分析操作。
Scecli.dll
这是 scesrv.dll 的客户端接口或包装。将 scesrv.dll 加载到 Wsecedit.dll 以支持 MMC 管理单元。安装程序将其用来配置默认系统安全性以及由安装程序 API .inf 文件安装的文件、注册表项和服务的安全性。
命令行版本的安全配置和分析用户界面(即 secedit.exe)使用 scecli.dll。
Scecli.dll 实现组策略的客户端扩展。
Scesrv.dll 使用 scecli.dll 从 SYSVOL 下载适用的组策略文件,以便将组策略安全设置应用到本地设备。
Scecli.dll 将安全策略的应用程序记录在 WMI (RSoP) 中。
当对 SAM 和 LSA 进行更改时,Scesrv.dll 策略筛选器将使用 scecli.dll 来更新默认域控制器策略 GPO。
Wsecedit.dll
组策略对象编辑器管理单元的安全设置扩展。你可以使用此工具为站点、域或组织单位配置组策略对象中的安全设置。你还可以使用安全设置将安全模板导入到 GPO 中。
Secedit.sdb
这是用于策略传播的永久性系统数据库,包括用于回滚目的的永久性设置表。
用户数据库
用户数据库是管理员为了配置或分析安全性而创建的除系统数据库以外的所有数据库。
.Inf 模板
这些文本文件包含声明性安全设置。它们在配置或分析之前就加载到了数据库。组策略安全策略以 .inf 文件的形式存储在域控制器的 SYSVOL 文件夹中,域控制器是下载它们(通过使用文件副本)并在策略传播期间将其合并到系统数据库的位置。
安全设置策略进程和交互
对于加入域并在其中管理组策略的设备,结合组策略处理安全设置。并非所有设置都可配置。
组策略处理
当计算机启动以及用户登录时,将根据以下顺序应用计算机策略和用户策略:
网络启动。远程过程调用系统服务 (RPCSS) 和多个通用命名约定提供程序 (MUP) 启动。
为设备获得了组策略对象的有序列表。该列表可能依赖于以下因素:
设备是否为域的一部分并因此是否通过 Active Directory 受组策略约束。
设备在 Active Directory 中的位置。
组策略对象的列表是否已发生更改。如果组策略对象的列表未发生更改,则不进行处理。
应用计算机策略。这些是收集的列表中计算机配置下的设置。默认情况下,这是一个同步过程,并按照以下顺序进行:本地、站点、域、组织单位、子组织单位等。当处理计算机策略时,不会出现任何用户界面。
启动脚本运行。默认情况下,该脚本处于隐藏状态并且同步;每个脚本必须在下一个脚本启动前完成或超时。默认的超时值为 600 秒。你可以使用多个策略设置来修改此行为。
用户可按 CTRL+ALT+DEL 进行登录。
验证用户后,将加载用户配置文件;它受有效的策略设置约束。
为用户获得了组策略对象的有序列表。该列表可能依赖于这些因素:
用户是否为域的一部分并因此是否通过 Active Directory 受组策略约束。
是否启用了环回策略处理,如果是,环回策略设置的状态(合并或替换)如何。
用户在 Active Directory 中的位置。
组策略对象的列表是否已发生更改。如果组策略对象的列表未发生更改,则不进行处理。
应用用户策略。这些是收集的列表中用户配置下的设置。默认情况下,这是同步的过程,并按照以下顺序进行:本地、站点、域、组织单位、子组织单位等。当处理用户策略时,不会出现任何用户界面。
登录脚本运行。默认情况下,基于组策略的登录脚本处于隐藏状态并且异步。用户对象脚本最后运行。
会显示组策略规定的操作系统用户界面。
组策略对象存储
组策略对象 (GPO) 是由全局唯一标识符 (GUID) 标识并且以域级别存储的虚拟对象。GPO 的策略设置信息存储在以下两个位置:
Active Directory 中的组策略容器。
组策略容器是一个包含 GPO 属性的 Active Directory 容器,如版本信息、GPO 状态以及一系列其他组件设置。
域的系统卷文件夹 (SYSVOL) 中的组策略模板。
组策略模板是一个文件系统文件夹,包含由 .admx 文件、安全设置、脚本文件指定的策略数据以及有关应用程序(可安装)的信息。组策略模板位于域\策略子文件中的 SYSVOL 文件夹。
GROUP_POLICY_OBJECT 结构提供有关 GPO 列表中的 GPO 的信息,包括 GPO 的版本号、指向指示 GPO 的 Active Directory 部分的字符串的指针以及指向指定 GPO 的文件系统部分路径的字符串的指针。
组策略处理顺序
将按以下顺序处理组策略设置:
本地组策略对象。
每台运行 Windows XP 之后的 Windows 操作系统的设备肯定有一个在本地存储的组策略对象。
站点。
接下来,处理已链接到站点的所有组策略对象。处理是同步的,并且按照你指定的顺序进行。
域。
对多个域链接的组策略对象的处理过程将按照管理员指定的顺序同步进行。
组织单位。
首先会处理链接到位于 Active Directory 分层最高层的组织单位的组策略对象,然后处理链接到其子组织单位的组策略对象,依此类推。最后再处理链接到包含用户或设备的组织单位的组策略对象。
在 Active Directory 分层中的每个组织单位级别上,可以链接一个或多个组策略对象,也可以不链接任何组策略对象。如果一个组织单位链接了多个组策略对象,其处理过程将按照你指定的顺序同步进行。
此顺序意味着会首先处理本地组策略对象,最后处理链接到计算机或用户为其直接成员的组织单位,从而覆盖较早的组策略对象。
这是默认的处理顺序,但管理员可以指定此顺序的例外情况。对于链接到某个站点、域或组织单位的组策略对象(不是本地组策略对象),可以根据该站点、域或组织单位将其设置为“强制执行”,以便其所有策略设置均不可替代。在任何站点、域或组织单位中,你可以选择性地将组策略继承标记为“阻止继承”****。但是,将始终应用设置为“强制执行”的组策略对象,并且无法阻止。
安全设置策略处理
在组策略处理的上下文中,将按以下顺序处理安全设置策略。
在处理组策略过程中,组策略引擎确定要用应用的安全设置策略。
如果安全设置策略位于 GPO 中,组策略将调用安全设置客户端的扩展。
安全设置扩展会从相应的位置(如特定的域或控制器)下载该策略。
安全设置扩展会根据优先规则合并所有的安全设置策略。此处理过程按照本地、站点、域和组织单位 (OU) 的组策略处理顺序进行,如之前在“组策略处理顺序”部分中所述。如果多个 GPO 对一台给定设备均有效,而且不存在冲突策略,则这些策略为累积性的合并式策略。
此示例使用下图所示的 Active Directory 结构。指定的计算机属于 GroupMembershipPolGPO GPO 链接到的 OU2 的成员。此计算机还从属于链接到 OU1 的 UserRightsPolGPO GPO,位于分层的较高层。在此情况下,不存在任何冲突策略,因此该设备可接收到 UserRightsPolGPO 和 GroupMembershipPolGPO GPO 中包含的所有策略。
安全策略的多个 GPO 与合并
.gif "安全策略的多个 GPO 与合并")
生成的安全策略存储于安全设置数据库 secedit.sdb 中。安全引擎会获取安全模板文件并将其导入到 secedit.sdb 中。
这些安全设置策略适用于设备。
下图阐明了安全设置策略处理。
安全设置策略处理
.gif "安全策略设置的过程与交互")
合并域控制器上的安全策略。
密码策略、Kerberos 以及一些安全选项仅从在域上以根级别链接的 GPO 进行合并。这样做是为了使这些设置在域中的所有域控制器上保持同步。将合并以下安全选项:
网络安全:当登录时间到期时强制注销
帐户: 管理员帐户状态
帐户: 来宾帐户状态
帐户: 重命名系统管理员帐户
帐户: 重命名来宾帐户
存在另一种机制,它允许管理员通过将净帐户合并到默认域策略 GPO 中来更改安全策略。通过使用本地安全机构 (LSA) API 对用户权限所做的更改会被筛选到默认域控制器策略 GPO 中。
域控制器的特殊注意事项
如果应用程序安装在具有操作主机角色(也称为灵活单主机操作或 FSMO)的主域控制器 (PDC) 上,并且该应用程序会对用户权限或密码策略进行更改,则必须传达这些更改以确保在各域控制器中进行同步。对安全帐户管理器 (SAM) 和 LSA 做任何更改(需要在各域控制器中进行同步化),Scesrv.dll 都会接收到相应的通知,并随后通过使用 scecli.dll 模板修改 API 将这些更改合并到默认域控制器策略 GPO 中。
当应用安全设置时
在你编辑这些安全设置策略后,这些设置会在以下情况中在链接到组策略对象的组织单位中的计算机上进行刷新:
当重新启动设备时。
在工作站或服务器上,每 90 分钟刷新一次;在域控制器上,每 5 分钟刷新一次。此刷新时间间隔可配置。
默认情况下,由组策略传递的安全策略设置也会每 16 小时(960 分钟)应用一次,即使在 GPO 未发生更改的情况下也是如此。
安全设置策略的持久性
安全设置具有持久性,即使某个设置不再在最初应用它的策略中定义。
安全设置可能在以下情况中具有持久性:
之前未对设备定义此设置。
此设置用于注册表安全对象。
这些设置用于文件系统安全对象。
通过本地策略或通过组策略对象应用的所有设置存储在计算机上的本地数据库中。无论何时对安全设置进行修改,计算机都会将安全设置值保存到可保留已应用到本地数据库(保留了已应用到该计算机的所有设置的历史记录)中。如果某个策略在定义了某个安全设置后,不再定义该设置,那么该设置将采用数据库中的以前值。如果数据库中不存在以前值,该设置将不会还原为任何内容,并保持原样定义。有时,此行为也称为“纹身”。
注册表和文件安全设置保持通过组策略应用的值,直到将该设置设为其他值。
应用策略所需的权限
应用组策略和读取权限都是将来自组策略对象的设置应用于用户或组以及计算机的必需条件。
筛选安全策略
默认情况下,所有 GPO 都具有可同时应用于经过身份验证的用户组的读取和应用组策略。经过身份验证的用户组包括用户和计算机。安全设置策略基于计算机。若要指定哪些客户端计算机将具有或不具有应用到它们的组策略对象,你可以拒绝在组策略对象上给它们应用组策略或读取权限。更改这些权限使你可以将 GPO 的范围限制为站点、域或 OU 内的一组特定计算机。
注意
不要在域控制器上使用安全策略筛选,因为这会阻止对其应用安全策略。
包含安全设置的 GPO 的迁移
在某些情况下,你可能需要将 GPO 从一个域环境迁移到另一个环境。两种最常见的方案是测试到生产迁移和生产到生产迁移。GPO 复制过程暗含某些类型的安全设置。
单一 GPO 的数据以不同的格式存储于多个位置中;一些数据包含在 Active Directory 中,而其他数据存储于域控制器上的 SYSVOL 共享中。某些策略数据在某个域中可能有效,但在 GPO 要复制到其中的域中可能无效。例如,存储在安全策略设置中的安全标识符 (SID) 通常特定于域。因此复制 GPO 不会像选取一个文件夹并将其从一台设备复制到另一台设备那样简单。
以下安全策略可能包含安全主体,并且可能需要做额外的工作才能将它们成功从一个域移动到另一个域。
用户权限分配
受限制的组
服务
文件系统
注册表
GPO DACL(如果你在复制操作过程中选择保留它)
若要确保正确地复制数据,你可以使用组策略管理控制台 (GPMC)。GPMC 可在将 GPO 从一个域迁移到另一个域时,确保正确地复制所有相关数据。GPMC 还提供了迁移表,可用于将特定于域的数据更新为新的值(作为迁移过程的一部分)。GPMC 会隐藏很多在迁移 GPO 操作中所涉及的复杂性,并提供简单可靠的机制,用于执行如复制和备份 GPO 之类的操作。
本部分内容
| 主题 | 描述 |
|---|---|
本文讨论在本地设备上或在整个小型或中型组织中管理安全策略设置的不同方法。 |
|
介绍了在本地设备上、加入域的设备上和域控制器上配置安全策略设置的步骤。 |
|
本安全设置参考提供了有关如何实现和管理安全策略的信息,包括设置选项和安全注意事项。 |