开发学院操作系统 windows 2008 windows 2000 server和Vista组策略的新特性阅读

windows 2000 server和Vista组策略的新特性

　2008-11-19 12:44:10　来源：WEB开发网　闂傚倸鍊搁崐鎼佸磹閹间礁纾瑰瀣椤愯姤鎱ㄥ鍡楀幊缂傚倹姘ㄩ幉绋款吋閸澀缃曢梻鍌欑濠€閬嶆惞鎼淬劌绐楅柡宥庡亞娑撳秵銇勯弽顐沪闁绘挶鍎甸弻锝夊即閻愭祴鍋撻崷顓涘亾濮樼偓瀚�

闂傚倸鍊搁崐鎼佸磹閹间礁纾瑰瀣捣閻棗銆掑锝呬壕濡ょ姷鍋涢ˇ鐢稿极閹剧粯鍋愰柟缁樺笧閳ь剦鍙冨鍝勑ч崶褏浠奸梺璇茬箲閼归箖鎮鹃悜钘夎摕闁靛濡囬崢鐢告⒑鐟欏嫷鍟忛柛鐘崇墵閵嗗倹绺介崨濠勫幈闁硅壈鎻槐鏇熺墡闂備線娼уú銈団偓姘嵆閻涱噣骞掑Δ鈧粻锝嗙節闂堟稑鏆欏ù婊堢畺閺岋綁濮€閳惰泛婀辨竟鏇熺節濮橆厾鍘甸梺缁樺姦閸撴岸鎮樻潏銊ょ箚闁圭粯甯炴晶娑氱磼缂佹ḿ娲寸€规洖宕灃闁告劕鍟犻崜婵堟崲濞戞ḿ鏆嗗┑鐘辫兌閺佹牜绱撴担浠嬪摵闁圭懓娲ら悾鐑藉箳閹搭厽鍍甸梺鐟板悁閻掞箓鎮楅幖浣光拻濞达絿鍎ら崵鈧梺鎼炲€栭悧鐘荤嵁韫囨稒鏅搁柨鐕傛嫹

婵犵數濮烽弫鍛婃叏閻戣棄鏋侀柛娑橈攻閸欏繑銇勯幘鍗炵仼缂佺媭鍨堕弻娑㈠箛闂堟稒鐏堥悗鐟版啞缁诲啴濡甸崟顖氱閻庨潧鎽滈悾濂告⒑绾拋娼愭繛鑼枎椤繒绱掑Ο鑲╂嚌闂侀€炲苯澧畝锝堝劵椤︽煡鎮￠妶澶嬬厪闁割偅绻冮崑顏呯箾瀹割喕绨婚幆鐔兼⒑鐎圭姵銆冮柤鍐茬埣瀹曟繈鏁冮埀顒勨€旈崘顔嘉ч柛鈩冾殘閻熸劙姊洪悡搴℃毐闁绘牕銈稿畷鐑樼節閸パ冨祮闂侀潧楠忕槐鏇㈠储椤忓牊鈷戦柟鑲╁仜閸旀鏌￠崨顔锯姇缂佸倹甯熼ˇ瀵哥磼鏉堛劌绗氭繛鐓庣箻閸┾剝鎷呴柨瀣垫綗闂傚倷娴囧銊╂倿閿曞倸绠查柛銉墮閺嬩線鏌熼崜褏甯涢柡鍛倐閺屻劑鎮ら崒娑橆伓闂傚倸鍊搁崐鎼佸磹閹间礁纾瑰瀣椤愯姤鎱ㄥ鍡楀幊缂傚倹姘ㄩ幉绋款吋閸澀缃曢梻鍌欑濠€閬嶆惞鎼淬劌绐楅柡宥庡亞娑撳秵銇勯弽顐沪闁绘挶鍎甸弻锝夊即閻愭祴鍋撻崷顓涘亾濮樼偓瀚�　　闂傚倸鍊搁崐鎼佸磹閹间礁纾归柣鎴ｅГ閸ゅ嫰鏌ら崫銉︽毄濞寸姵姘ㄧ槐鎾诲磼濞嗘帒鍘＄紓渚囧櫘閸ㄥ爼濡撮崘顔煎窛闁哄鍨归崢娲倵楠炲灝鍔氭い锔诲灦瀹曪繝骞庨懞銉у帾闂婎偄娲﹀ú鏍ㄧ墡闂備浇顕х€垫帡宕滈悢濂夋綎闁惧繐婀辩壕鍏间繆椤栨碍鎯堟い顐㈢焸濮婅櫣鎷犻懠顒傤唹濠殿喗菧閸旀垿宕洪埀顒併亜閹哄秶顦﹂柛銈庡墴閺屾盯骞樼捄鐑樼€诲銈庡亜缁绘劗鍙呭銈呯箰鐎氼剟鎮楅鐑嗘富闁靛牆妫欑粈鈧梺鐟板暱闁帮絽鐣峰⿰鍕嚤閻庢稒菤閹锋椽姊绘笟鍥т簽闁稿鐩幊鐔碱敍濞戞瑦鐝峰銈嗘煥婢х晫澹曢悡搴唵閻犺櫣灏ㄩ崝鐔虹磼婢跺孩顏犻柍褜鍓氶鏍窗閺嶎厸鈧箓鏌ㄧ€ｂ晝绠氬┑顔界箓閻牆危閻戣姤鈷戠紒瀣儥閸庢劙鏌熼悷鐗堟悙閾荤偤鏌涢幇鈺佸Ψ婵℃彃鐗婄换娑㈠幢濡ゅ啰顔夊┑鐐茬墛閿曘垹顫忕紒妯诲濡炲绨肩憰鍡欑磽閸屾氨袦闁稿鎸荤换娑氣偓娑欋缚閻倝鏌涢幘璺烘灈鐎规洘妞介崺鈧い鎺嶉檷娴滄粓鏌熼悜妯虹仴闁逞屽墮缂嶅﹤顕ｉ幎绛嬫晢闁告洦鍓涢崢閬嶆煟鎼搭垳绉靛ù婊呭厴閻擃剟顢楅崒妤€浜鹃悷娆忓绾惧鏌涘Δ鈧崯鍧楊敋閿濆纾归柣鏇氱劍闉嬮梻鍌欑閹碱偄螞鐎靛摜涓嶉柟鎹愵嚙閽冪喖鏌曟繛鐐珕闁稿妫濋弻娑氫沪閸撗€妲堝銈呴獜閹凤拷

核心提示：自从windows 2000 server,主要是靠组策略机制来管理的安全windows网络.几年来,我倒觉得有组策略需要扩展,因为有很多方面根本无法用组策略来控制.所幸的是,微软也承认组策略的相关缺陷,并已在Windows2008彻底修改组策略.在这一系列文章,我将讨论一些新的组策略.如果你曾经使用过组策略,在过去,

自从windows 2000 server,主要是靠组策略机制来管理的安全windows网络.几年来,我倒觉得有组策略需要扩展,因为有很多方面根本无法用组策略来控制.所幸的是,微软也承认组策略的相关缺陷,并已在Windows2008彻底修改组策略.在这一系列文章,我将讨论一些新的组策略.如果你曾经使用过组策略,在过去,你知道有很多组策略设置集成在操作系统仲.很难对组策略进行扩展。对于组策略的数字我很难给你一个确切的答案.因为一些补丁，更新包都带来一些组策略的变化.我可以告诉你, windows server 2003 service pack 1中提供了约1700组策略设置.这一数字已增至2400组策略,在windows vista和windows server 2008 .既然如此,我根本没有时间谈每一组策略的设置来提供给你们.相反,我将尝试谈论更为重要的组策略设置.

病毒防护

近年来安全威胁很多，其中最多的一直是电子邮件病毒.大多数反病毒产品的设计与微软outlook集合 ,其想法是,该软件能够在电子邮件附件被打开的时候被扫描.即便如此,windows一直缺乏一个统一的机制来确保杀毒软件的安装和正常工作.幸好, vista和2008现在已经包含组策略设定，可以允许你在组策略级别加入你们组织/公司的防毒策略.

虽然我要向各位展示的是具体到windows vista和windows server 2008组策略设置, 然后可以使它运行windows xp service pack 2 .你可以找到相关的防毒组策略相关设置,在组策略:User ConfigurationAdministrative TemplatesWindows ComponentsAttachment Manager

当用户打开附件通知杀毒软件,这个组策略的设置是当电子邮件附件的打开时来通知你的杀毒软件时,杀毒软件扫描电子邮件附件来查病毒. 虽然这个组策略看起来很简单, 虽然只有两个变量,在你使用前必须了解. 首先,如果你的杀毒软件是可以自动扫描电子邮件附件,在设置这个组策略是多余的.

还有其他就是，如果你设置啦这个组策略，但是你的杀毒软件因为某个原因不能扫描插件，那Windows就会阻止附件被打开.

不要在文件附件中保留区域信息.

在IE一个主要的安全概念就是区域.IE允许管理员把分类域名放到各个区域,其建立在管理员信任多少站点.在windows2008和vista中，区域的状态也可以作用在邮件上.当一份邮件包含附件，windows在ie的区域查找并比较发件人的域.这可以使用域信息来确定附件是否值得信赖.

然而这个特别的组策略设置看起来有点误导.如果你启用设置,区域信息会被忽略.如果你要确保windows利用区域信息来保护电子邮件附件,你必须禁用此策略的制定.

一个关系到安全的方面，你应该知道发件人的区域是作为文件属性存储的，这就意味着必须存储在NTFS格式的分区空间上.如果存储在FAT格式的分区上，区域信息不会保留，而且Windows不会报告失败.

隐藏机制来去除区域信息

正常情况下,相当容易为用户从文件移除带相关属性.他们只要这样做,只是要点击打开按钮,找到该文件的属性表.如果你想阻止用户剥离资料档案,启用这个设置.这样做将隐藏机制,任何一个用户不可能消除区信息从一个文件

文件附件的默认风险级别

这个组策略的设置允许你给邮件附件一个默认设置，高，中或低风险级别.我会在以后谈论关于风险界别.

高风险文件类型的清单

显然,有些类型的文件更有可能更容易携带恶意代码.例如exe文件或pif文件比 pdf文件要恶意多拉.正因为如此,windows可以让你对各种文件类型设置高,中或低风险

windows提供独立的组策略来设置低,中等和高风险的文件类型. 之所以微软选择这么做,是因为它允许更严格的安全设置,优先考虑在低级别的安全设置,在发生冲突. 假设举例说,某一文件类型是在高风险和中等风险中. 在这种情况下,高风险的策略将高于中期策略风险, 和文件类型,将被视为高风险的.文件类型被视为高风险的将主宰其他设置.

那么如何区分一个文件类型属于高风险。如果一个用户想打开一个文件，windows窗口看起来不仅在文件类型判断，而且也会在文件的来源是否来自禁止的区域来认定高风险，windows禁止用户打开文件.如果文件来自互联网，在用户打开文件前windows会提示用户预防风险.

低风险文件类型的清单

确定文件类型是否属于低风险类型和高风险有点类似.但是有一点区别.首先不同的是,微软已经默认把某些类型的文件作为高风险的. 如果设定其中的文件类型作为低风险, 那么您会凌驾于windows的内置设置, 档案将被视为低风险. 当然,如果你已经手工增加了一个文件型向高风险名单,然后把它添加到低风险名单该文件将被视为高风险,因为高风险名单优于低风险清单. 如果你是好奇,允许用户开低风险档案不管属于哪个区域.

中度风险文件类型的清单

确定文件类型是否属于中度风险类型和高低风险有点类似.唯一区别如果文件来自被禁止的区域或是internet，windows只是在用户打开文件前显示一个警告信息.