這個(gè)組策略的設(shè)置是當(dāng)電子郵件附件的打開時(shí)來通知你的殺毒軟件時(shí),殺毒軟件掃描電子郵件附件來查病毒.雖然這個(gè)組策略看起來很簡(jiǎn)單,雖然只有兩個(gè)變量,在你使用前必須了解.首先,如果你的殺毒軟件是可以自動(dòng)掃描電子郵件附件,在設(shè)置這個(gè)組策略是多余的.

還有其他就是，如果你設(shè)置啦這個(gè)組策略，但是你的殺毒軟件因?yàn)槟硞€(gè)原因不能掃描插件，那Windows就會(huì)阻止附件被打開.

不要在文件附件中保留區(qū)域信息.

在IE一個(gè)主要的安全概念就是區(qū)域.IE允許管理員把分類域名放到各個(gè)區(qū)域,其建立在管理員信任多少站點(diǎn).在windows2008和vista中，區(qū)域的狀態(tài)也可以作用在郵件上.當(dāng)一份郵件包含附件，windows在ie的區(qū)域查找并比較發(fā)件人的域.這可以使用域信息來確定附件是否值得信賴.

然而這個(gè)特別的組策略設(shè)置看起來有點(diǎn)誤導(dǎo).如果你啟用設(shè)置,區(qū)域信息會(huì)被忽略.如果你要確保windows利用區(qū)域信息來保護(hù)電子郵件附件,你必須禁用此策略的制定.

一個(gè)關(guān)系到安全的方面，你應(yīng)該知道發(fā)件人的區(qū)域是作為文件屬性存儲(chǔ)的，這就意味著必須存儲(chǔ)在NTFS格式的分區(qū)空間上.如果存儲(chǔ)在FAT格式的分區(qū)上，區(qū)域信息不會(huì)保留，而且Windows不會(huì)報(bào)告失敗.

隱藏機(jī)制來去除區(qū)域信息

正常情況下,相當(dāng)容易為用戶從文件移除帶相關(guān)屬性.他們只要這樣做,只是要點(diǎn)擊打開按鈕,找到該文件的屬性表.如果你想阻止用戶剝離資料檔案,啟用這個(gè)設(shè)置.這樣做將隱藏機(jī)制,任何一個(gè)用戶不可能消除區(qū)信息從一個(gè)文件

文件附件的默認(rèn)風(fēng)險(xiǎn)級(jí)別

這個(gè)組策略的設(shè)置允許你給郵件附件一個(gè)默認(rèn)設(shè)置，高，中或低風(fēng)險(xiǎn)級(jí)別.我會(huì)在以后談?wù)撽P(guān)于風(fēng)險(xiǎn)界別.

高風(fēng)險(xiǎn)文件類型的清單

顯然,有些類型的文件更有可能更容易攜帶惡意代碼.例如exe文件或pif文件比pdf文件要惡意多拉.正因?yàn)槿绱?windows可以讓你對(duì)各種文件.

類型設(shè)置高,中或低風(fēng)險(xiǎn)

windows提供獨(dú)立的組策略來設(shè)置低,中等和高風(fēng)險(xiǎn)的文件類型.之所以微軟選擇這么做,是因?yàn)樗试S更嚴(yán)格的安全設(shè)置,優(yōu)先考慮在低級(jí)別的安全設(shè)置,在發(fā)生沖突.假設(shè)舉例說,某一文件類型是在高風(fēng)險(xiǎn)和中等風(fēng)險(xiǎn)中.在這種情況下,高風(fēng)險(xiǎn)的策略將高于中期策略風(fēng)險(xiǎn),和文件類型,將被視為高風(fēng)險(xiǎn)的.文件類型被視為高風(fēng)險(xiǎn)的將主宰其他設(shè)置.

那么如何區(qū)分一個(gè)文件類型屬于高風(fēng)險(xiǎn)。如果一個(gè)用戶想打開一個(gè)文件，windows窗口看起來不僅在文件類型判斷，而且也會(huì)在文件的來源是否來自禁止的區(qū)域來認(rèn)定高風(fēng)險(xiǎn)，windows禁止用戶打開文件.如果文件來自互聯(lián)網(wǎng)，在用戶打開文件前windows會(huì)提示用戶預(yù)防風(fēng)險(xiǎn).

低風(fēng)險(xiǎn)文件類型的清單

確定文件類型是否屬于低風(fēng)險(xiǎn)類型和高風(fēng)險(xiǎn)有點(diǎn)類似.但是有一點(diǎn)區(qū)別.首先不同的是,微軟已經(jīng)默認(rèn)把某些類型的文件作為高風(fēng)險(xiǎn)的.如果設(shè)定其中的文件類型作為低風(fēng)險(xiǎn),那么您會(huì)凌駕于windows的內(nèi)置設(shè)置,檔案將被視為低風(fēng)險(xiǎn).當(dāng)然,如果你已經(jīng)手工增加了一個(gè)文件型向高風(fēng)險(xiǎn)名單,然后把它添加到低風(fēng)險(xiǎn)名單該文件將被視為高風(fēng)險(xiǎn),因?yàn)楦唢L(fēng)險(xiǎn)名單優(yōu)于低風(fēng)險(xiǎn)清單.如果你是好奇,允許用戶開低風(fēng)險(xiǎn)檔案不管屬于哪個(gè)區(qū)域.

中度風(fēng)險(xiǎn)文件類型的清單

確定文件類型是否屬于中度風(fēng)險(xiǎn)類型和高低風(fēng)險(xiǎn)有點(diǎn)類似.唯一區(qū)別如果文件來自被禁止的區(qū)域或是internet，windows只是在用戶打開文件前顯示一個(gè)警告信息.

在這一系列文章的第一部分,我解釋過windowsvista和windowsserver2008比windowsserver2003和windowsxp多提供了數(shù)百個(gè)組策略設(shè)置.在這篇文章,我想繼續(xù)討論談起組策略設(shè)置是用來控制用戶賬戶和硬件設(shè)備.

我將要討論的組策略設(shè)置，都是位于計(jì)算機(jī)配置/Window設(shè)置/安全設(shè)置/本地策略/安全選項(xiàng).正如你看到的圖1,安全選項(xiàng),有太多的組策略設(shè)置我來討論.因此,我將只討論到最有用的或最有趣的策略的設(shè)置.

管理員帳戶狀態(tài)

在以往windows操作系統(tǒng)中的一個(gè)主要的安全弱點(diǎn),工作站一直存在著一個(gè)本地管理員帳戶上.而windowsvista確實(shí)也存在本地管理員帳戶,帳戶:管理員帳戶狀態(tài)設(shè)置,可用于禁用管理員用戶.默認(rèn)情況下,管理員帳戶被激活,但禁用它也十分簡(jiǎn)單.在你禁用它之前，關(guān)于禁用的后果你要有所了解.如果你禁用管理員帳號(hào),你將不能再次啟用他除非本地管理員帳戶的密碼符合最小密碼長(zhǎng)度和復(fù)雜性要求.除非你再有一個(gè)管理員賬戶來重新設(shè)置它的密碼.

如果你發(fā)現(xiàn)自己被一臺(tái)機(jī)器鎖定,并沒有其他管理員帳戶可以重置密碼,那也沒關(guān)系.安全模式下本地管理員帳戶是總是啟用的.因此，你可以啟動(dòng)機(jī)器到安全模式，用本地管理員登陸，然后重新設(shè)置密碼.這時(shí)你應(yīng)該可以重新啟用本地管理員賬戶.

限制使用空密碼

一般來說，在你們的任何組織都不能有一個(gè)空密碼.限制空密碼只能控制臺(tái)登陸的策略設(shè)置來防止空密碼帶來的危險(xiǎn).這是這個(gè)策略的默認(rèn)設(shè)置.它讓沒有密碼的用戶只能本地登陸,而不能通過遠(yuǎn)程桌面等來登陸.

重命名Adminsitrator

十多年來,微軟公司一直在告訴我們重命名Adminsitrator是出于安全原因.問題是這樣,每一個(gè)工作站都有自己的管理員帳戶,必須手工改名.vista和2008服務(wù)器,提供了一個(gè)組策略設(shè)置,可以用來自動(dòng)重命名dminsitrator帳戶.組策略:重命名Adminsitrator利用這一政策的制定,所有你需要做的就是進(jìn)入了一個(gè)新的名稱為管理員帳戶,以及改變將會(huì)通過組策略應(yīng)用到所有的機(jī)器.

審計(jì)備份和恢復(fù)

其中比較有趣的組策略設(shè)置是審計(jì):審計(jì)使用數(shù)據(jù)備份和恢復(fù)的權(quán)限設(shè)置.如果你選擇使它(策略的設(shè)定默認(rèn)),然后對(duì)備份和恢復(fù)操作進(jìn)行審核.

之所以我說這是一個(gè)比較有趣的策略設(shè)置,是因?yàn)樗扔衅鋬?yōu)點(diǎn)和缺點(diǎn).這項(xiàng)策略是好的,因?yàn)樗试S您核實(shí)負(fù)責(zé)人備份系統(tǒng)真的是根據(jù)公司策略來執(zhí)行備份.

它還允許你查看到到任何恢復(fù)操作.缺點(diǎn)是,這個(gè)策略的制定使得每次備份都會(huì)產(chǎn)生大量日志是,為這意味著你的備份數(shù)據(jù)可能充斥大量的審計(jì)備份和還原的審計(jì)日志.當(dāng)然,寫這樣一個(gè)日志條目使用少量的磁盤和cpu資源.如果你是寫入成千上萬(wàn)的日志,那樣會(huì)可能嚴(yán)重影響性能.

可移動(dòng)設(shè)備

許多公司根本不允許使用可移動(dòng)設(shè)備.比如外接光驅(qū).這樣可以讓用戶攜帶未經(jīng)許可的數(shù)據(jù)帶出公司或復(fù)制敏感數(shù)據(jù)和刪除數(shù)據(jù),從公司來說.對(duì)可移動(dòng)設(shè)備往往望而卻步.基于此微軟添加關(guān)于可移動(dòng)設(shè)備的組策略:允許格式化和彈出可移動(dòng)設(shè)備策略.正如其名稱所示,這項(xiàng)政策的制定,可用于防止用戶從格式化或彈出可移動(dòng)設(shè)備.

打印機(jī)驅(qū)動(dòng)

windows的設(shè)計(jì)方式,如果用戶要打印到網(wǎng)絡(luò)打印機(jī),他們通常并不需要一個(gè)打印機(jī)驅(qū)動(dòng)程序,也不需要下載驅(qū)動(dòng)程序,在網(wǎng)絡(luò)上.當(dāng)用戶使用UNC連接到打印機(jī),是共享的一個(gè)打印機(jī),打印機(jī)主機(jī)檢查用戶的工作站上,看它是否有一個(gè)合適的驅(qū)動(dòng)程序.如果驅(qū)動(dòng)不存在,則該打印機(jī)的主機(jī)發(fā)送一份打印機(jī)驅(qū)動(dòng)機(jī)器到客戶機(jī)上去.

在大多數(shù)情況下,這恐怕是一個(gè)可取的行為,因?yàn)樗试S用戶每次需要打印到不同的打印機(jī),無(wú)需找技術(shù)人員,就能自己搞好.在較高的安全環(huán)境,雖然,它可能被視為高風(fēng)險(xiǎn),讓用戶打印到尚未指定給他們的打印機(jī).防止用戶打印到未授權(quán)給他們打印的打印機(jī)的方法之一是防止用戶安裝打印驅(qū)動(dòng).

你可以通過阻止用戶安裝打印機(jī)驅(qū)動(dòng)程序的策略制定來阻止用戶安裝打印機(jī)驅(qū)動(dòng).工作站默認(rèn)設(shè)置是允許安裝的,服務(wù)器是禁止安裝的.

如果你有準(zhǔn)備在公司推行這個(gè)策略,有幾件事你必須記住.第一,這項(xiàng)政策的制定并不阻止用戶添加本地打印機(jī),它只有阻止用戶安裝網(wǎng)絡(luò)打印機(jī)的驅(qū)動(dòng).另一件事要切記的是,這一政策不會(huì)阻止用戶打印到用戶本機(jī)已經(jīng)有驅(qū)動(dòng)的一臺(tái)網(wǎng)絡(luò)打印機(jī).最后,此設(shè)置并沒有對(duì)管理員不起作用.

安全是ms現(xiàn)在的首要關(guān)注，所以當(dāng)開發(fā)windowsserver2008和vista的時(shí)候，一些新的組策略設(shè)置涉及很多方面的安全特性這不值得驚訝。首先我從這篇文章開始。這篇文章談?wù)撘粋€(gè)新的關(guān)于安全方面的組策略設(shè)置UserAccountProtection-UAC。

如果不是對(duì)UAC了解，其實(shí)UAC就是一個(gè)用來減少用戶過多特權(quán)來保護(hù)windows的安全特性。在windowsxp中，用戶經(jīng)常需要本地管理員來完成他們的任務(wù)。

在開發(fā)vista的時(shí)候，微軟花啦很長(zhǎng)時(shí)間關(guān)注標(biāo)準(zhǔn)用戶實(shí)際需要的權(quán)限而不必要賦予本地管理員權(quán)限。舉例來說，在vista中一個(gè)普通用戶可以執(zhí)行安裝打印機(jī)，輸入WEP密碼，配置VPN連接，安裝應(yīng)用更新等操作無(wú)需本地管理員權(quán)限。

UserAccountProtection不只是給予用戶額外權(quán)限，也是用來給本地管理員保護(hù)他們自己。即使有人實(shí)用本地管理員登陸，windows也會(huì)認(rèn)為他是普通用戶。如果用戶想某些需要本地管理員權(quán)限的操作，windows會(huì)提示用戶是否臨時(shí)提升他的權(quán)限來執(zhí)行這項(xiàng)操作。

管理員也可以作為普通用戶登陸。如果一個(gè)普通用戶想執(zhí)行需要管理員權(quán)限的奧做，不需要實(shí)用RunAs命令，vista會(huì)自動(dòng)提示用戶輸入一個(gè)可以執(zhí)行這項(xiàng)操作的憑證。

剛才我們講啦一下UAC的背景，現(xiàn)在我來看看關(guān)于UAC的組策略設(shè)置。和大部分我在這個(gè)系列討論的組策略設(shè)置一樣，只能在2008和vista上作用。因此2008面市而且基于2008的域控在你們的網(wǎng)絡(luò)環(huán)境，否則這些組策略只能作為本地組策略來執(zhí)行。

關(guān)于UAC的組策略在ComputerConfiguration|WindowsSettings|SecuritySettings|LocalPolicies|SecurityOptions中設(shè)置：

首先設(shè)置關(guān)于UAC的組策略就是UAC:管理員批準(zhǔn)模式和內(nèi)置管理員設(shè)置。這個(gè)設(shè)置默認(rèn)是開啟的，管理員被認(rèn)為是一個(gè)普通用戶。任何需要管理員權(quán)限的操作windows都會(huì)提示用戶是否執(zhí)行。如果這個(gè)設(shè)置被關(guān)閉，vista就和XP一樣，管理員可以完成所有的操作無(wú)需提示。

下一項(xiàng)設(shè)置是UAC:管理員批準(zhǔn)模式中管理員的提升提示行為。因?yàn)槟阋呀?jīng)知道，vista是這樣設(shè)置的，沒有管理的統(tǒng)一是無(wú)法執(zhí)行管理的操作。這個(gè)選項(xiàng)允許你控制管理員的提升提示行為。具體的說明請(qǐng)看下圖，無(wú)提示提升不建議使用。

就像wvista可以限制管理員沒有允許不能做一項(xiàng)操作，可以限制一個(gè)普通用的能力，你可以控制當(dāng)普通用戶操作一項(xiàng)需要提升權(quán)限的操作是否允許提升UAC：標(biāo)準(zhǔn)用戶的提升提示行為。具體說明看下圖 

雖然vista涉及執(zhí)行相關(guān)操作需要提升權(quán)限，但是有些操作能被設(shè)置不需要提升權(quán)限，一個(gè)例子就是安裝軟件。這個(gè)設(shè)置是:檢測(cè)應(yīng)用程序行為并提示提升。

軟件安裝不提示提升似乎有點(diǎn)莫頓，但有一些情況使用比較適當(dāng)。在一個(gè)管理環(huán)境，有些軟件通過組策略，Sms等等用來分發(fā)。在這種環(huán)境，就不需要在買個(gè)桌面提示提升行為。因此你可以禁止這個(gè)。

在前面的文章中，我講啦關(guān)于UAC的組策略如何工作的。雖然vista和2008比xp和2003提供啦數(shù)以百計(jì)的新組策略，但是UAC是其中最重要的組策略。因?yàn)閁AC可以幫助用戶抵制惡意軟件的威脅。我們接著講組策略中關(guān)于UAC其他的設(shè)定。

UAC:只提升簽名并驗(yàn)證的可執(zhí)行文件

如果你真的要想想，把UAC放在首位的原因是為啦防止未授權(quán)的代碼在網(wǎng)絡(luò)工作站運(yùn)行。但是如何界定代碼是否授權(quán)又是個(gè)問題。

一般時(shí)候來界定代碼是否安全就是看代碼是否有數(shù)字簽名。大部分的軟件不是所有的都有數(shù)字簽名來證明代碼是由發(fā)行者發(fā)行的，不是由別人修改過的。數(shù)字簽名也證明了代碼并沒有被改變，因?yàn)檫@是簽名。

只因?yàn)橐徊糠执a簽名并不一定意味著該守則是值得信賴。對(duì)我們來說是否信任該數(shù)字簽名仍然是個(gè)問題。當(dāng)你決定信任該數(shù)字簽名該數(shù)字簽名的發(fā)布者將添加到windows信任當(dāng)中。

這就是UAC:只提升簽名并驗(yàn)證的可執(zhí)行文件。當(dāng)你啟用它后，這個(gè)組策略的設(shè)置進(jìn)行pki簽名關(guān)注任何需要提升權(quán)限的交互的應(yīng)用程序。如果他的數(shù)字簽名已經(jīng)被允許，則提升權(quán)限得到允許。反之則拒絕。

還有一點(diǎn)需要注意的是：在ms文檔中說明這個(gè)策略只對(duì)交互的應(yīng)用程序起作用，對(duì)服務(wù)和腳本不會(huì)起作用如果文檔正確的話。

欲知更多windows系統(tǒng)組策略的新特性，請(qǐng)點(diǎn)擊windows 2000和vista系統(tǒng)組策略的新特性二。

【編輯推薦】

1. 組策略管理控制臺(tái)概述
2. 巧用組策略除去軟件廣告
3. 組策略管理器被禁用如何進(jìn)行解鎖？
4. 如何恢復(fù)WindowsXP Home版操作系統(tǒng)組策略？
5. 利用組策略如何修改活動(dòng)目錄域緩存登錄次數(shù)？