【51CTO精选译文】在企业当中,最常见的微软Windows计算机配置方案就是采用组策略。在大多数情况下,组策略代表着一整套设置方案,能够直接被纳入目标计算机的注册表从而实现安全设置及其它操作活动。组策略既可以由Active Directory负责向下推送(实际上是由客户端提取),也可以通过配置本地组策略实现。
利用组策略来设定并配置安全设置的能力一直都是Windows计算机的一大优势所在。没错,当下的很多操作系统都提供类似的管理系统,但Windows无疑是这类方案的先驱者——组策略早在1998年10月发布的Windows NT 4.0 SP4上就已经出现了。哦,我还记得利用secedit.exe进行本地组策略配置的时光。基于Active Directory的组策略机制直到2000年2月Windows 2000发布时才正式诞生,但十余年的实践经验证明,这是一套出色的企业计算机安全管理方案。
我自1990年开始就一直从事Windows计算机安全领域的相关工作,多年的从业经历也让我不断跟组策略打交道。在为客户服务的时候,我最常做的就是帮助他们在每个组策略对象当中进行仔细检查各项组策略设置。在Windows 8.1与Windows Server 2012 R2中,两款操作系统各自拥有超过3700项设置。至于与IE相关的设定或者针对微软Office等应用程序的组策略方案更是成百上千,我几乎无法准确计算出其具体数量。
但今天我要跟大家分享一个小秘密:我只需要关注其中十项设置,就能基本搞定安全问题。
并不是说只靠这十项设置就可以高枕无忧,毕竟每和项经过合理配置的组策略都能让风险水平有所降低。我只是希望与大家分享自己的一点心得,帮助各位了解能够决定大部分风险水平的这十种设置——其它设置在它们面前只能算是锦上添花。当我面对一种自己此前从未见过的新型组策略时,第一件事就是重新回顾下面要提到的这十项基本设置。只要它们得到合理配置,我就可以松一口气——因为我知道客户基本上做好了设置工作,我的任务也会变得比较简单。
十大Windows组策略设置
只要将这一项设置处理好,大家就可以算是在保障Windows环境安全性的道路上取得了阶段性胜利。这十项设置全部位于Computer Configuration\Windows Setting\Security Settings之下。
对本地管理员账户进行重新命名:如果恶意人士不知道管理员账户的名称,则很可能需要花掉大量时间才能找到攻击突破口。
禁用访客账户:我们所作出的最糟糕的安全决定之一就是启用访客账户。它能够对Windows计算机进行相当程度的访问,同时又不设密码——说到这里,相信大家已经明白我的意思了。
禁用LM与NTLM v1:LM(即局域网管理器)与NTLMv1认证协议存在漏洞。请务必使用NTLMv2与Kerberos。在默认情况下,大部分Windows系统都会接收全部四种协议。除非大家仍然在使用陈旧不堪而且没有安装更新补丁的老爷系统(也就是超过十年的系统版本),否则我们真的没什么理由非要使用早期协议版本。
禁用LM散列存储:LM密码散列极易被转换成明文密码内容,因此绝对不要允许Windows系统将其储存在磁盘上——黑客转储工具会轻松地将其找出来。
最低密码长度值:我们应该将密码的最低长度值设置在12位或者更高。不要满足于区区8位的系统密码(这也是我最常见到的密码长度)。Windows密码即使达到12位长度,其安全效果其实也不容乐观——真正的安全性要到15位才有保障。在Windows验证领域,15位是个魔术般的临界点。只要能够达到这样的长度,所有形式的后门都会被紧紧关闭。而低于15位的任何密码长度设置都等于是在增加不必要的风险。
最长密码使用期限:大部分密码的使用周期都不应该超过九十天。不过如果大家选择了15位乃至更长的密码内容,那么一年的使用周期也是可以接受的。已经有很多公共以及私人研究证实,长度在12个字符乃至以上的密码的破解时耗更长,因此在以九十天为基准的密码轮换机制下安全性也相对更好。
事件日志:启用事件日志,利用它来记录所有成功以及失败的操作流程。正如我之前多次提到,如果坚持关注事件日志内容,大部分计算机犯罪活动的受害者本应该更早发现端倪、进而防止严重违规事件的发生。
禁用匿名SID枚举:SID(即安全标识符)是针对Windows系统或者Active Directory之下每一个用户、群组以及其它安全主体所分配的数字。在早期系统版本当中,未通过身份验证的用户可以通过查询这些数字来判断用户(例如管理员)及群组的重要性,而这一特性也使其成为黑客们的最爱。
不要让匿名账户驻留在每个群组当中:这两种设置一旦出现失误,就会导致匿名(或者为空)黑客以远超权限范围的方式访问系统。自2000年以来,这些设置就已经被默认禁用——大家要做的就是确认自己没有对默认方案作出改动。
启用用户账户控制:最后,自从Windows Vista开始,UAC机制就成了保护网络浏览者们的头号工具。我发现很多客户会将这项功能关闭,仅仅是为了能让某些陈旧应用的兼容性问题不再每次都进行询问。目前大部分这类问题已经得到解决,剩下尚未解决的部分在微软提供的免费应用兼容性故障排查工具面前也不再令人头痛。总之,如果大家禁用了UAC,那么相当于远离现代操作系统而重新回到Windows NT时代——这可不太明智。
再来告诉大家一个好消息:前面提到的所有设置在Windows Vista/Server 2008以及更新版本当中都会以默认状态调整到位。大部分Windows安全指南资料都希望指导大家如何在现有基础之上进一步提升安全保护效果。但根据我个人的感受,目前各位最好别去轻易改动这些设置。每一次发现问题,都是因为用户改变了其初始运作方式、从而导致安全效果遭到削弱——这绝对不是什么好事。
在大家着手梳理组策略之前,还有其它一些重要事项值得关注,例如完善补丁安装以及预防用户安装木马程序等。不过在搞定了这些工作之后,确保组策略配置的正确有效就是迈向下一个辉煌成功的起点。
如果各位想利用最少的资源实现最具性价比的安全保护效果,那么请抛开那3700多种设置——只需以上十项,大家的业务环境就将拥有相当可靠的运行状态。
原文链接:http://www.infoworld.com/t/security/the-10-windows-group-policy-settings-you-need-get-right-231623
原文标题:The 10 Windows group policy settings you need to get right
