此參考主題說明安全性設定常見的案例、架構及程式。
安全性原則設定是系統管理員為保護裝置或網路上資源之目的,在電腦上或多個裝置上設定的規則。 本機群組策略編輯器管理單元的安全性設定擴充功能可讓您將安全性設定定義為群組原則物件或 GPO (的一) 。 GPO 會連結至 Active Directory 容器 ,例如網站、網域或組織單位,而且它們可支援您管理從任何加入網域的裝置所建立之多個裝置的安全性設定。 安全性設定策略會做為整體安全性的一部分,協助保護您組織的網域控制站、伺服器、用戶端和其他資源。
安全性設定可以控制:
- 網路或裝置的使用者驗證。
- 允許使用者存取的資源。
- 是否要在事件記錄中記錄使用者或群組的動作。
- 群組中的成員資格。
若要管理多個裝置的安全性配置,您可以使用下列其中一個選項:
- 編輯 GPO 中的特定安全性設定。
- 使用安全性範本管理單元來建立包含要申請安全性原則的安全性範本,然後將安全性範本導入群組原則物件。 安全性範本是代表安全性配置的檔案,可以將其導入 GPO、應用程式至本地裝置,或用來分析安全性。
有關管理安全性設定的資訊,請參閱 管理安全性原則設定。
Local Group Policy 編輯器的安全性設定擴充功能包含下列類型的安全性原則:
帳戶原則。 這些策略在裝置上定義;會影響使用者帳戶與電腦或網域互動的方式。 帳戶原則包括下列類型的政策:
- 密碼原則。 這些策略會決定密碼的設定,例如強制執行和生命週期。 密碼原則會用於網域帳戶。
- 帳戶鎖定政策。 這些策略會決定帳戶將鎖定在系統外的條件和時間長度。 帳戶鎖定政策適用于網域或本地使用者帳戶。
- Kerberos 策略。 這些策略適用于網域使用者帳戶;它們決定 Kerberos 相關設定,例如票證生命週期和強制執行。
本地策略。 這些原則適用于電腦,並包含下列原則設定類型:
稽核政策。 指定安全性設定,以控制將安全性事件記錄到電腦的安全性記錄,並指定要記錄 (成功、失敗或兩者均) 。
使用者許可權指派。 指定在裝置上擁有登入許可權或許可權的使用者或群組
安全性選項。 指定電腦的安全性設定,例如系統管理員和來賓帳戶名稱;存取軟碟磁片磁碟機和 CD-ROM 磁片磁碟機;安裝驅動程式;登入提示;等等。
具有進一代安全性的 Windows 防火牆。 使用狀態防火牆來指定保護您網路上裝置之設定,此防火牆可讓您判斷允許哪些網路流量在裝置和網路之間傳遞。
網路清單管理員政策。 指定可用於設定網路在一個裝置或多部裝置上列出及顯示方式的不同方面的設定。
公用鍵策略。 指定設定以控制加密檔案系統、資料保護和 BitLocker 磁片磁碟機加密,以及特定憑證路徑和服務設定。
軟體限制政策。 指定設定以識別軟體,並控制軟體在本地裝置、組織單位、網域或網站上執行的能力。
應用程式控制策略。 指定設定以根據檔案的唯一身分,控制哪些使用者或群組可以在貴組織中執行特定應用程式。
本地電腦上 IP 安全性原則。 指定設定以確保透過 IP 網路使用加密安全性服務進行私人、安全的通訊。 IPsec 會建立從來源 IP 位址到目的地 IP 位址的信任和安全性。
進位稽核策略組組。 指定控制安全性事件記錄到裝置安全性記錄中的設定。 進一步稽核策略設定下的設定可更精細地控制要監控哪些活動,而與本地策略下的稽核策略設定不同。
以策略為基礎的安全性設定管理
群組原則的安全性設定擴充功能提供整合式策略式管理基礎結構,可協助您管理及強制執行安全性原則。
您可以透過群組原則和 Active Directory Domain Services (AD DS) 。 您可以建立一組功能相同的伺服器 (例如 Microsoft Web (IIS) 伺服器) ,然後使用群組原則物件將常見的安全性設定適用于群組。 如果稍後會新增更多伺服器至此群組,許多常見的安全性設定會自動採用,減少部署和系統管理人力。
使用安全性設定策略的常見案例
安全性設定原則可用來管理下列安全性層面:帳戶原則、本地原則、使用者許可權指派、登錄值、檔案和登錄存取控制清單 (ACL) 、服務啟動模式等等。
作為安全性原則的一部分,您可以使用專為貴組織中各種角色所設定的安全性設定策略建立 GPO,例如網域控制站、檔案伺服器、成員伺服器、用戶端等。
您可以建立一個組織單位 (OU) 結構,根據裝置的角色來分組裝置。 使用 OUs 是分隔網路中不同角色的特定安全性需求的最佳方法。 此方法也可讓您將自訂的安全性範本適用于每一個伺服器或電腦類別。 建立安全性範本之後,您可以為每個 OUS 建立新的 GPO,然後將安全性範本 (.inf 檔案) 新 GPO。
將安全性範本導入 GPO 可確保在重新設定群組原則時,任何已採用 GPO 的帳戶都會自動收到範本的安全性設定。 在工作站或伺服器上,安全性設定會定期重新設定 (且隨機位移最多為 30 分鐘) ,而如果任何適用 GPO 設定發生變更,則此程式每隔幾分鐘會發生一次。 設定也會每 16 小時重新設定一次,無論是否已發生任何變更。
注意
這些重新設定會隨作業系統版本而不同,而且可以設定。
您可以結合系統管理委派,使用群組原則式安全性設定,確保特定安全性設定、許可權和行為適用于 OU 內的所有伺服器和電腦。 這個方法可簡化更新數個伺服器,以及日後所需的任何其他變更。
與其他作業系統技術相依性
對於 Windows Server 2008 或更新版本網域成員之裝置,安全性設定策略取決於下列技術:
Active Directory 網域服務 (AD DS)
Windows 型目錄服務 AD DS 會儲存網路上物件的資訊,讓系統管理員和使用者能夠使用這項資訊。 您可以使用 AD DS,從單一位置查看和管理網路上網路物件,而使用者可以使用單一登入來存取允許的網路資源。
群組原則
AD DS 中的基礎結構,可讓執行 Windows Server 的裝置上的使用者和電腦設定以目錄為基礎的設定管理。 您可以使用群組原則,為使用者和電腦群組定義設定,包括策略設定、登錄式策略、軟體安裝、腳本、資料夾重新導向、遠端安裝服務、Internet Explorer 維護和安全性。
網域名稱系統 (DNS)
用來在網際網路和私人 TCP/IP 網路上尋找功能變數名稱的階層式命名系統。 DNS 提供將 DNS 功能變數名稱與 IP 位址及 IP 位址與功能變數名稱進行比對的服務。 這可讓使用者、電腦和應用程式查詢 DNS,以完整功能變數名稱來指定遠端系統,而非 IP 位址。
Winlogon
提供互動式登入支援的 Windows 作業系統的一部分。 Winlogon 是圍繞由三個元件組成的互動式登入模型所設計:Winlogon 可執行檔、認證提供者,以及任何數目的網路提供者。
設定
在從較舊版本的 Windows Server 進行全新安裝或升級期間,安全性設定會與作業系統設定程式互動。
安全性帳戶管理員 (管理)
登入程式期間使用的 Windows 服務。 SAM 會維護使用者帳戶資訊,包括使用者所屬的群組。
當地安全性局 (LSA)
可驗證使用者並記錄到本地系統的受保護子系統。 LSA 也會維護系統上本地安全性所有層面的資訊,統稱為系統的本地安全性原則。
Windows Management Instrumentation (WMI)
WMI 是 Microsoft Windows 作業系統的一項功能,是 Microsoft 對 Web-Based 企業管理 (WBEM) 的實現,這是業界開發標準技術以在企業環境中存取管理資訊的行動。 WMI 提供存取受管理環境中物件相關資訊的存取權。 透過 WMI 和 WMI 應用程式程式設計介面 (API) ,應用程式可以在通用訊息模型 (CIM) 存放庫中查詢及變更靜態資訊,以及由各種類型的提供者維護的動態資訊。
產生一組 RSoP (策略)
使用 WMI 的增強群組原則基礎結構,以便更輕鬆地規劃及調試策略設定。 RSoP 提供公開方法,公開群組原則的擴充功能在萬一情況下會執行哪些操作,以及擴充功能在實際情況下執行什麼操作。 這可讓系統管理員輕鬆判斷適用于或將會適用于使用者或裝置的策略設定組合。
服務控制管理員 (SCM)
用於服務啟動模式和安全性的組態。
登錄
用於註冊表值和安全性的組組。
檔案系統
用於安全性的組組。
檔案系統轉換
當系統管理員將檔案系統從 FAT 轉換成 NTFS 時,安全性會設定。
Microsoft Management Console (MMC)
安全性設定工具的使用者介面是本機群組策略編輯器 MMC 管理單元的擴充功能。
沒有留言:
張貼留言