自從windows 2000 server,主要是靠組策略機(jī)制來管理的安全windows網(wǎng)絡(luò).幾年來,我倒覺得有組策略需要擴(kuò)展,因?yàn)橛泻芏喾矫娓緹o法用組策略來控制.所幸的是,微軟也承認(rèn)組策略的相關(guān)缺陷,并已在Windows2008徹底修改組策略.在這一系列文章,我將討論一些新的組策略.如果你曾經(jīng)使用過組策略,在過去,你知道有很多組策略設(shè)置集成在操作系統(tǒng)仲.很難對組策略進(jìn)行擴(kuò)展。對于組策略的數(shù)字我很難給你一個確切的答案.因?yàn)橐恍┭a(bǔ)丁，更新包都帶來一些組策略的變化.我可以告訴你, windows server 2003 service pack 1中提供了約1700組策略設(shè)置.這一數(shù)字已增至2400組策略,在windows vista和windows server 2008 .既然如此,我根本沒有時間談每一組策略的設(shè)置來提供給你們.相反,我將嘗試談?wù)摳鼮橹匾慕M策略設(shè)置.病毒防護(hù) 近年來安全威脅很多，其中最多的一直是電子郵件病毒.大多數(shù)反病毒產(chǎn)品的設(shè)計(jì)與微軟outlook集合 ,其想法是,該軟件能夠在電子郵件附件被打開的時候被掃描.即便如此,windows一直缺乏一個統(tǒng)一的機(jī)制來確保殺毒軟件的安裝和正常工作.幸好, vista和2008現(xiàn)在已經(jīng)包含組策略設(shè)定，可以允許你在組策略級別加入你們組織/公司的防毒策略.雖然我要向各位展示的是具體到windows vista和windows server 2008組策略設(shè)置, 然后可以使它運(yùn)行windows xp service pack 2 .你可以找到相關(guān)的防毒組策略相關(guān)設(shè)置,在組策略:User ConfigurationAdministrative TemplatesWindows ComponentsAttachment Manager當(dāng)用戶打開附件通知?dú)⒍拒浖@個組策略的設(shè)置是當(dāng)電子郵件附件的打開時來通知你的殺毒軟件時,殺毒軟件掃描電子郵件附件來查病毒. 雖然這個組策略看起來很簡單, 雖然只有兩個變量,在你使用前必須了解. 首先,如果你的殺毒軟件是可以自動掃描電子郵件附件,在設(shè)置這個組策略是多余的. 還有其他就是，如果你設(shè)置啦這個組策略，但是你的殺毒軟件因?yàn)槟硞€原因不能掃描插件，那Windows就會阻止附件被打開.不要在文件附件中保留區(qū)域信息. 在IE一個主要的安全概念就是區(qū)域.IE允許管理員把分類域名放到各個區(qū)域,其建立在管理員信任多少站點(diǎn).在windows2008和vista中，區(qū)域的狀態(tài)也可以作用在郵件上.當(dāng)一份郵件包含附件，windows在ie的區(qū)域查找并比較發(fā)件人的域.這可以使用域信息來確定附件是否值得信賴. 然而這個特別的組策略設(shè)置看起來有點(diǎn)誤導(dǎo).如果你啟用設(shè)置,區(qū)域信息會被忽略.如果你要確保windows利用區(qū)域信息來保護(hù)電子郵件附件,你必須禁用此策略的制定.一個關(guān)系到安全的方面，你應(yīng)該知道發(fā)件人的區(qū)域是作為文件屬性存儲的，這就意味著必須存儲在NTFS格式的分區(qū)空間上.如果存儲在FAT格式的分區(qū)上，區(qū)域信息不會保留，而且Windows不會報告失敗.隱藏機(jī)制來去除區(qū)域信息正常情況下,相當(dāng)容易為用戶從文件移除帶相關(guān)屬性.他們只要這樣做,只是要點(diǎn)擊打開按鈕,找到該文件的屬性表.如果你想阻止用戶剝離資料檔案,啟用這個設(shè)置.這樣做將隱藏機(jī)制,任何一個用戶不可能消除區(qū)信息從一個文件文件附件的默認(rèn)風(fēng)險級別這個組策略的設(shè)置允許你給郵件附件一個默認(rèn)設(shè)置，高，中或低風(fēng)險級別.我會在以后談?wù)撽P(guān)于風(fēng)險界別.高風(fēng)險文件類型的清單 顯然,有些類型的文件更有可能更容易攜帶惡意代碼.例如exe文件或pif文件比 pdf文件要惡意多拉.正因?yàn)槿绱?windows可以讓你對各種文件類型設(shè)置高,中或低風(fēng)險 windows提供獨(dú)立的組策略來設(shè)置低,中等和高風(fēng)險的文件類型. 之所以微軟選擇這么做,是因?yàn)樗试S更嚴(yán)格的安全設(shè)置,優(yōu)先考慮 在低級別的安全設(shè)置,在發(fā)生沖突. 假設(shè)舉例說,某一文件類型是在高風(fēng)險和中等風(fēng)險中. 在這種情況下,高風(fēng)險的策略將高于中期策略風(fēng)險, 和文件類型,將被視為高風(fēng)險的.文件類型被視為高風(fēng)險的將主宰其他設(shè)置. 那么如何區(qū)分一個文件類型屬于高風(fēng)險。如果一個用戶想打開一個文件，windows窗口看起來不僅在文件類型判斷，而且也會在文件的來源是否來自禁止的區(qū)域來認(rèn)定高風(fēng)險，windows禁止用戶打開文件.如果文件來自互聯(lián)網(wǎng)，在用戶打開文件前windows會提示用戶預(yù)防風(fēng)險.低風(fēng)險文件類型的清單 確定文件類型是否屬于低風(fēng)險類型和高風(fēng)險有點(diǎn)類似.但是有一點(diǎn)區(qū)別.首先不同的是,微軟已經(jīng)默認(rèn)把某些類型的文件作為高風(fēng)險的. 如果設(shè)定其中的文件類型作為低風(fēng)險, 那么您會凌駕于windows的內(nèi)置設(shè)置, 檔案將被視為低風(fēng)險. 當(dāng)然,如果你已經(jīng)手工增加了一個文件型向高風(fēng)險名單,然后把它添加到低風(fēng)險名單 該文件將被視為高風(fēng)險,因?yàn)楦唢L(fēng)險名單優(yōu)于低風(fēng)險清單. 如果你是好奇,允許用戶開低風(fēng)險檔案不管屬于哪個區(qū)域.中度風(fēng)險文件類型的清單 確定文件類型是否屬于中度風(fēng)險類型和高 低風(fēng)險有點(diǎn)類似.唯一區(qū)別如果文件來自被禁止的區(qū)域或是internet，windows只是在用戶打開文件前顯示一個警告信息.