在这一系列文章的第一部分,我解释过windows vista和windows server 2008
比windows server 2003和windows xp多提供了数百个组策略设置.在这篇文章,
我想继续讨论谈起组策略设置是用来控制用户账户和硬件设备.
我将要讨论的组策略设置,都是位于计算机配置/Window设置/安全设置/本地
策略/安全选项.正如你看到的图1,安全选项,有太多的组策略设置我来讨论.因
此,我将只讨论到最有用的或最有趣的策略的设置.
管理员帐户状态
在以往windows操作系统中的一个主要的安全弱点,工作站一直存在着一个本地
管理员帐户上.而windows vista确实也存在本地管理员帐户,帐户:管理员帐户
状态设置,可用于禁用管理员用户.默认情况下,管理员帐户被激活,但禁用它也
十分简单.在你禁用它之前,关于禁用的后果你要有所了解.如果你禁用管理员
帐号,你将不能再次启用他除非本地管理员帐户的密码符合最小密码长度和复杂
性要求.除非你再有一个管理员账户来重新设置它的密码.
如果你发现自己被一台机器锁定,并没有其他管理员帐户可以重置密码,那也没
关系.安全模式下本地管理员帐户是总是启用的.因此,你可以启动机器到安全
模式,用本地管理员登陆,然后重新设置密码.这时你应该可以重新启用本地管
理员账户.
限制使用空密码
一般来说,在你们的任何组织都不能有一个空密码.限制空密码只能控制台登陆
的策略设置来防止空密码带来的危险.这是这个策略的默认设置.它让没有密码
的用户只能本地登陆,而不能通过远程桌面等来登陆.
重命名Adminsitrator
十多年来,微软公司一直在告诉我们重命名Adminsitrator是出于安全原因.问题
是这样,每一个工作站都有自己的管理员帐户,必须手工改名.vista和2008服务
器,提供了一个组策略设置,可以用来自动重命名dminsitrator帐户.组策略:重
命名Adminsitrator利用这一政策的制定,所有你需要做的就是进入了一个新的
名称为管理员帐户,以及改变将会通过组策略应用到所有的机器.
审计备份和恢复
其中比较有趣的组策略设置是审计:审计使用数据备份和恢复的权限设置.
如果你选择使它(策略的设定默认) ,然后对备份和恢复操作进行审核.
之所以我说这是一个比较有趣的策略设置,是因为它既有其优点和缺点.这项策
略是好的,因为它允许您核实负责人备份系统真的是根据公司策略来执行备份.
它还允许你查看到到任何恢复操作.缺点是,这个策略的制定使得每次备份都会
产生大量日志是,为这意味着你的备份数据可能充斥大量的审计备份和还原的审
计日志. 当然,写这样一个日志条目使用少量的磁盘和cpu资源.如果你是写入成
千上万的日志,那样会可能严重影响性能.
可移动设备
许多公司根本不允许使用可移动设备.比如外接光驱.这样可以让用户携带未经
许可的数据带出公司或复制敏感数据和删除数据,从公司来说.对可移动设备往
往望而却步.基于此微软添加关于可移动设备的组策略:允许格式化和弹出可移
动设备策略.正如其名称所示,这项政策的制定,可用于防止用户从格式化或弹出
可移动设备.
打印机驱动
windows的设计方式,如果用户要打印到网络打印机,他们通常并不需要一个打印
机驱动程序,也不需要下载驱动程序,在网络上.当用户使用UNC连接到打印机,是
共享的一个打印机,打印机主机检查用户的工作站上,看它是否有一个合适的驱
动程序.如果驱动不存在,则该打印机的主机发送一份打印机驱动机器到客户机
上去.
在大多数情况下,这恐怕是一个可取的行为,因为它允许用户每次需要打印到不
同的打印机,无需找技术人员,就能自己搞好.在较高的安全环境,虽然,它可能被
视为高风险,让用户打印到尚未指定给他们的打印机.防止用户打印到未授权给
他们打印的打印机的方法之一是防止用户安装打印驱动.
你可以通过阻止用户安装打印机驱动程序的策略制定来阻止用户安装打印机驱
动.工作站默认设置是允许安装的,服务器是禁止安装的.
如果你有准备在公司推行这个策略,有几件事你必须记住.第一,这项政策的制定
并不阻止用户添加本地打印机,它只有阻止用户安装网络打印机的驱动.另一件
事要切记的是,这一政策不会阻止用户打印到用户本机已经有驱动的一台网络打
印机.最后,此设置并没有对管理员不起作用.