自從windows 2000 server,主要是靠組策略機制來管理的安全windows網絡.幾年來,我倒覺得有組策略需要擴展,因為有很多方面根本無法用組策略來控制.所幸的是,微軟也承認組策略的相關缺陷,并已在Windows2008徹底修改組策略.在這一系列文章,我將討論一些新的組策略.如果你曾經使用過組策略,在過去,你知道有很多組策略設置集成在操作系統仲.很難對組策略進行擴展。對于組策略的數字我很難給你一個確切的答案.因為一些補丁,更新包都帶來一些組策略的變化.我可以告訴你, windows server 2003 service pack 1中提供了約1700組策略設置.這一數字已增至2400組策略,在windows Vista和Windows Server 2008 .既然如此,我根本沒有時間談每一組策略的設置來提供給你們.相反,我將嘗試談論更為重要的組策略設置.
病毒防護
近年來安全威脅很多,其中最多的一直是電子郵件病毒.大多數反病毒產品的設計與微軟Outlook集合 ,其想法是,該軟件能夠在電子郵件附件被打開的時候被掃描.即便如此,windows一直缺乏一個統一的機制來確保殺毒軟件的安裝和正常工作.幸好, vista和2008現在已經包含組策略設定,可以允許你在組策略級別加入你們組織/公司的防毒策略.
雖然我要向各位展示的是具體到windows vista和windows server 2008組策略設置, 然后可以使它運行Windows xp service pack 2 .你可以找到相關的防毒組策略相關設置,在組策略:User Configuration/Administrative Templates/Windows Components/Attachment Manager
當用戶打開附件通知殺毒軟件
這個組策略的設置是當電子郵件附件的打開時來通知你的殺毒軟件時,殺毒軟件掃描電子郵件附件來查病毒. 雖然這個組策略看起來很簡單, 雖然只有兩個變量,在你使用前必須了解. 首先,如果你的殺毒軟件是可以自動掃描電子郵件附件,在設置這個組策略是多余的.
還有其他就是,如果你設置啦這個組策略,但是你的殺毒軟件因為某個原因不能掃描插件,那Windows就會阻止附件被打開.
不要在文件附件中保留區域信息.
在IE一個主要的安全概念就是區域.IE允許管理員把分類域名放到各個區域,其建立在管理員信任多少站點.在windows2008和vista中,區域的狀態也可以作用在郵件上.當一份郵件包含附件,windows在ie的區域查找并比較發件人的域.這可以使用域信息來確定附件是否值得信賴.
然而這個特別的組策略設置看起來有點誤導.如果你啟用設置,區域信息會被忽略.如果你要確保windows利用區域信息來保護電子郵件附件,你必須禁用此策略的制定.
一個關系到安全的方面,你應該知道發件人的區域是作為文件屬性存儲的,這就意味著必須存儲在NTFS格式的分區空間上.如果存儲在FAT格式的分區上,區域信息不會保留,而且Windows不會報告失敗.
隱藏機制來去除區域信息
正常情況下,相當容易為用戶從文件移除帶相關屬性.他們只要這樣做,只是要點擊打開按鈕,找到該文件的屬性表.如果你想阻止用戶剝離資料檔案,啟用這個設置.這樣做將隱藏機制,任何一個用戶不可能消除區信息從一個文件
文件附件的默認風險級別
這個組策略的設置允許你給郵件附件一個默認設置,高,中或低風險級別.我會在以后談論關于風險界別.
高風險文件類型的清單
顯然,有些類型的文件更有可能更容易攜帶惡意代碼.例如exe文件或pif文件比 pdf文件要惡意多拉.正因為如此,windows可以讓你對各種文件類型設置高,中或低風險
windows提供獨立的組策略來設置低,中等和高風險的文件類型. 之所以微軟選擇這么做,是因為它允許更嚴格的安全設置,優先考慮 在低級別的安全設置,在發生沖突. 假設舉例說,某一文件類型是在高風險和中等風險中. 在這種情況下,高風險的策略將高于中期策略風險, 和文件類型,將被視為高風險的.文件類型被視為高風險的將主宰其他設置.
那么如何區分一個文件類型屬于高風險。如果一個用戶想打開一個文件,windows窗口看起來不僅在文件類型判斷,而且也會在文件的來源是否來自禁止的區域來認定高風險,windows禁止用戶打開文件.如果文件來自互聯網,在用戶打開文件前windows會提示用戶預防風險.
低風險文件類型的清單
確定文件類型是否屬于低風險類型和高風險有點類似.但是有一點區別.首先不同的是,微軟已經默認把某些類型的文件作為高風險的. 如果設定其中的文件類型作為低風險, 那么您會凌駕于windows的內置設置, 檔案將被視為低風險. 當然,如果你已經手工增加了一個文件型向高風險名單,然后把它添加到低風險名單 該文件將被視為高風險,因為高風險名單優于低風險清單. 如果你是好奇,允許用戶開低風險檔案不管屬于哪個區域.
中度風險文件類型的清單
確定文件類型是否屬于中度風險類型和高 低風險有點類似.唯一區別如果文件來自被禁止的區域或是internet,windows只是在用戶打開文件前顯示一個警告信息.
