安全策略设置

适用范围

  • Windows 10

本参考主题介绍了用于安全设置的常见方案、体系结构和进程。

安全策略设置是管理员在计算机或多台设备上配置的规则, 用于保护设备或网络上的资源。 本地组策略编辑器管理单元的安全设置扩展允许你将安全配置定义为组策略对象 (GPO) 的一部分。 Gpo 链接到 Active Directory 容器 (如网站、域或组织单元), 并使你可以从加入域的任何设备管理多个设备的安全设置。 安全设置策略用作整个安全实现的一部分, 以帮助保护组织中的域控制器、服务器、客户端和其他资源。

安全设置可以控制:

  • 用户对网络或设备的身份验证。
  • 允许用户访问的资源。
  • 是否在事件日志中记录用户或组的操作。
  • 组中的成员身份。

若要管理多台设备的安全配置, 您可以使用以下选项之一:

  • 在 GPO 中编辑特定的安全设置。
  • 使用 "安全模板" 管理单元创建包含要应用的安全策略的安全模板, 然后将安全模板导入到组策略对象中。 安全模板是表示安全配置的文件, 可将其导入到 GPO、应用到本地设备或用于分析安全性。

有关管理安全配置的详细信息, 请参阅管理安全策略设置

本地组策略编辑器的安全设置扩展包括以下类型的安全策略:

  • 帐户策略。 这些策略在设备上定义;它们影响用户帐户如何与计算机或域交互。 帐户策略包括以下类型的策略:

    • 密码策略。 这些策略确定密码的设置, 如强制实施和生命周期。 密码策略用于域帐户。
    • 帐户锁定策略。 这些策略确定将帐户锁定到系统之外的条件和时间长度。 帐户锁定策略用于域或本地用户帐户。
    • Kerberos 策略。 这些策略用于域用户帐户;它们确定与 Kerberos 相关的设置, 如票证生命周期和强制。
  • 本地策略。 这些策略适用于计算机, 并且包括以下类型的策略设置:

    • 审核策略。 指定安全设置, 用于控制安全事件在计算机上的安全日志中的日志记录, 并指定要记录哪些类型的安全事件 (成功、失败或两者)。

      注意: 对于运行 Windows7 和更高版本的设备, 我们建议使用 "高级审核策略配置" 下的设置, 而不是 "本地策略" 下的 "审核策略" 设置。

    • 用户权限分配。 指定在设备上具有登录权限或权限的用户或组

    • 安全选项。 为计算机指定安全设置, 例如管理员帐户和来宾帐户名称;访问软盘驱动器和 cd-rom 驱动器;安装驱动程序;登录提示;依此类推。
  • 具有高级安全性的 Windows 防火墙。 通过使用可确定允许哪些网络流量在设备和网络之间传递的状态防火墙, 指定设置以保护网络上的设备。

  • 网络列表管理器策略。 指定设置, 可用于配置在一个设备上或在多台设备上列出和显示网络的方式的不同方面。
  • 公共密钥策略。 指定用于控制加密文件系统、数据保护和 BitLocker 驱动器加密的设置, 以及某些证书路径和服务设置。
  • 软件限制策略。 指定用于标识软件和控制其在本地设备、组织单位、域或网站上运行的功能的设置。
  • 应用程序控制策略。 指定用于控制哪些用户或组可以基于文件的唯一标识在组织中运行特定应用程序的设置。
  • 本地计算机上的 IP 安全策略。 通过使用加密安全服务, 指定设置以确保通过 IP 网络进行私人、安全的通信。 IPsec 将来源 IP 地址的信任和安全建立到目标 IP 地址。
  • 高级审核策略配置。 指定用于控制将安全事件记录到设备上的安全日志中的设置。 "高级审核策略配置" 下的设置可更好地控制监视哪些活动, 而不是 "本地策略" 下的 "审核策略" 设置。

基于策略的安全设置管理

组策略的安全设置扩展提供了一个集成的基于策略的管理基础结构, 可帮助你管理和强制实施你的安全策略。

你可以通过组策略和 Active Directory 域服务 (添加) 定义和应用安全设置策略到用户、组和网络服务器和客户端。 可以创建具有相同功能的一组服务器 (例如, Microsoft Web (IIS) 服务器), 然后组策略对象可以用于将常见的安全设置应用于组。 如果稍后将更多服务器添加到此群组, 则会自动应用许多常见的安全设置, 从而减少部署和管理劳动。

使用安全设置策略的常见方案

安全设置策略用于管理以下方面的安全: 帐户策略、本地策略、用户权限分配、注册表值、文件和注册表访问控制列表 (Acl)、服务启动模式等。

作为安全策略的一部分, 你可以创建专门针对组织中的各种角色 (如域控制器、文件服务器、成员服务器、客户端等) 配置的安全设置策略的 Gpo。

你可以创建根据其角色对设备进行分组的组织单位 (OU) 结构。 使用 Ou 是分隔网络中不同角色的特定安全要求的最佳方法。 此方法还允许你将自定义安全模板应用于服务器或计算机的每个类。 创建安全模板后, 为每个 Ou 创建一个新 GPO, 然后将安全模板 (.inf 文件) 导入到新 GPO 中。

将安全模板导入到 GPO 可确保在刷新组策略设置时, 应用 GPO 的任何帐户自动接收模板的安全设置。 在工作站或服务器上, 安全设置按固定间隔 (最大为30分钟的随机偏移量) 刷新, 并且在域控制器上, 如果应用的任何 GPO 设置中发生更改, 则每隔几分钟发生一次此过程。 无论是否发生任何更改, 这些设置也会每隔16小时刷新一次。

注意: 这些刷新设置因操作系统版本而异, 并且可以进行配置。

通过将基于组策略−的安全配置与管理委派结合使用, 你可以确保将特定的安全设置、权利和行为应用到 OU 内的所有服务器和计算机。 此方法使更新大量服务器的操作更容易, 将来需要进行任何其他更改。

其他操作系统技术的依赖关系

对于属于 WindowsServer2008 或更高版本的域的成员的设备, 安全设置策略依赖于以下技术:

  • Active Directory 域服务 (添加)

    基于 Windows 的目录服务会添加、存储有关网络上的对象的信息, 并使管理员和用户可以使用此信息。 通过使用 "添加", 你可以从单个位置查看和管理网络上的网络对象, 并且用户可以使用单个登录访问允许的网络资源。

  • 组策略

    添加的基础结构将在运行 WindowsServer 的设备上启用对用户和计算机设置的基于目录的配置管理。 通过使用组策略, 你可以定义用户和计算机组的配置, 包括策略设置、基于注册表的策略、软件安装、脚本、文件夹重定向、远程安装服务、Internet Explorer 维护和安全。

  • 域名系统 (DNS)

    用于在 Internet 和专用 TCP/IP 网络上查找域名的分层命名系统。 DNS 提供用于将 DNS 域名映射到 IP 地址的服务, 以及将 IP 地址映射到域名的服务。 这使用户、计算机和应用程序能够查询 DNS 以通过完全限定的域名 (而不是 IP 地址) 指定远程系统。

  • Winlogon

    提供交互式登录支持的 Windows 操作系统的一部分。 Winlogon 围绕交互式登录模型进行设计, 包括三个组件: Winlogon 可执行文件、凭据提供程序和任意数量的网络提供程序。

  • 安装

    在全新安装或从早期版本的 WindowsServer 升级期间, 安全配置与操作系统设置进程交互。

  • 安全帐户管理器 (SAM)

    登录过程中使用的 Windows 服务。 SAM 维护用户帐户信息, 包括用户所属的组。

  • 本地安全机构 (LSA)

    一个受保护的子系统, 用于对用户进行身份验证并将其记录到本地系统。 LSA 还在系统上保留有关本地安全的所有方面的信息, 这些方面统称为系统的本地安全策略。

  • Windows Management Instrumentation (WMI)

    Microsoft Windows 操作系统的一项功能是 Microsoft 基于 Web 的企业管理 (WBEM) 的实现, 这是一种为访问企业中的管理信息而开发标准技术的行业倡议。环境. WMI 提供对托管环境中的对象的信息的访问。 通过 WMI 和 WMI 应用程序编程接口 (API), 应用程序可以在通用信息模型 (CIM) 存储库和由各种类型的提供程序维护的动态信息中对静态信息进行查询和更改。

  • 策略的结果集 (RSoP)

    使用 WMI 的增强组策略基础结构, 以便更轻松地计划和调试策略设置。 RSoP 提供的公共方法公开了对组策略的扩展将在假设情况下执行的操作, 以及扩展在实际情况下所执行的操作。 这允许管理员轻松地确定应用于用户或设备的策略设置的组合。

  • 服务控制管理器 (SCM)

    用于服务启动模式和安全性的配置。

  • 注册表

    用于注册表值和安全性的配置。

  • 文件系统

    用于安全性的配置。

  • 文件系统转换

    当管理员将文件系统从 FAT 转换为 NTFS 时, 将设置安全。

  • Microsoft 管理控制台 (MMC)

    "安全设置" 工具的用户界面是本地组策略编辑器 MMC 管理单元的扩展。

安全设置策略和组策略

本地组策略编辑器的安全设置扩展是 "安全配置管理器" 工具集的一部分。 以下组件与安全设置相关联: 配置引擎;分析引擎;模板和数据库界面层;设置集成逻辑;和 secedit.exe 命令行工具。 安全配置引擎负责处理对其运行的系统的安全配置编辑器相关安全请求。 分析引擎分析给定配置的系统安全性并保存结果。 模板和数据库界面层处理从模板或数据库 (对于内部存储) 的读取和写入请求。 本地组策略编辑器的安全设置扩展处理来自基于域或本地设备的组策略。 安全配置逻辑与设置集成, 并管理全新安装的系统安全或升级到更新的 Windows 操作系统。 安全信息存储在模板 (.inf 文件) 或 Secedit.exe 数据库中。

下图显示了安全设置和相关功能。

安全设置策略和相关功能

与安全策略相关的组件

  • Scesrv

    提供核心安全引擎功能。

  • Scecli

    向安全配置引擎提供客户端接口, 并向策略的结果集 (RSoP) 提供数据。

  • Wsecedit

    本地组策略编辑器的安全设置扩展。 将 scecli 加载到 wsecedit 以支持安全设置用户界面。

  • Gpedit.msc

    本地组策略编辑器 MMC 管理单元。

安全设置扩展体系结构

本地组策略编辑器的安全设置扩展是安全配置管理器工具的一部分, 如下图所示。

安全设置体系结构

安全策略设置的体系结构

"安全设置配置和分析工具" 包括一个安全配置引擎, 它提供本地计算机 (非域成员) 和基于组策略−的安全设置策略的配置和分析。 安全配置引擎还支持创建安全策略文件。 安全配置引擎的主要功能是 scecli 和 scesrv。

下表介绍了安全配置引擎的这些主要功能和其他安全设置−相关功能。

  • scesrv

    此 .dll 托管在 setup.exe 中, 在 "本地系统上下文" 下运行。 scesrv 提供核心安全配置管理器功能, 如 "导入"、"配置"、"分析" 和 "策略传播"。

    Scesrv 通过调用相应的系统 Api (包括 LSA、SAM 和注册表) 来执行各种安全相关系统参数的配置和分析。

    Scesrv 公开诸如导入、导出、配置和分析之类的 Api。 它检查请求是否通过 LRPC (WindowsXP) 发出, 如果不是, 则调用失败。

    安全设置扩展各部分之间的通信使用以下方法进行通信:

    • 组件对象模型 (COM) 调用
    • 本地远程过程调用 (LRPC)
    • 轻型目录访问协议 (LDAP)
    • Active Directory 服务接口 (ADSI)
    • 服务器消息块 (SMB)
    • Win32 Api
    • Windows Management Instrumentation (WMI) 调用

    在域控制器上, scesrv 接收对 SAM 和需要跨域控制器同步的 LSA 所做更改的通知。 Scesrv 使用进程内 scecli 模板修改 Api 将这些更改合并到默认域控制器策略 GPO 中。 Scesrv 还执行配置和分析操作。

  • Scecli

    这是 scesrv 的客户端接口或包装器。 将 scecli 加载到 Wsecedit 以支持 MMC 管理单元。安装程序使用它来配置由安装 API .inf 文件安装的文件、注册表项和服务的默认系统安全和安全。

    安全配置和分析用户界面 (secedit.exe) 的命令行版本使用 scecli。

    Scecli 实现组策略的客户端扩展。

    Scesrv 使用 scecli 从 SYSVOL 下载适用的组策略文件, 以便将组策略安全设置应用到本地设备。

    Scecli 将安全策略的应用程序登录到 WMI (RSoP)。

    在对 SAM 和 LSA 进行更改时, Scesrv 策略筛选器使用 scecli 更新默认域控制器策略 GPO。

  • Wsecedit

    组策略对象编辑器管理单元的安全设置扩展。 可使用此工具配置网站、域或组织单位的组策略对象中的安全设置。 你还可以使用安全设置将安全模板导入到 GPO。

  • Secedit.exe

    这是用于策略传播的永久系统数据库, 其中包括用于回滚的持久设置表。

  • 用户数据库

    用户数据库是由管理员创建的除系统数据库之外的任何数据库, 目的是配置或分析安全。

  • .Inf 模板

    这些是包含声明性安全设置的文本文件。 在配置或分析之前, 它们会加载到数据库中。 组策略安全策略存储在位于域控制器的 SYSVOL 文件夹中的 .inf 文件中, 它们在策略传播期间被下载 (通过使用文件复制) 并合并到系统数据库中。

安全设置策略流程和交互

对于加入了组策略的域加入的设备, 安全设置与组策略一起进行处理。 并非所有设置都是可配置的。

组策略处理

当计算机启动并且用户登录时, 将按照以下顺序应用计算机策略和用户策略:

  1. 网络启动。 远程过程调用系统服务 (RPCSS) 和多个通用命名规范提供程序 (MUP) 开始。
  2. 为设备获取组策略对象的排序列表。 列表可能取决于以下因素:

    • 设备是否是域的一部分, 因此, 通过 Active Directory 遵守组策略。
    • 设备在 Active Directory 中的位置。
    • 组策略对象列表是否已更改。 如果组策略对象列表未更改, 则不会执行任何处理。
  3. 已应用计算机策略。 这些是收集的列表中的 "计算机配置" 下的设置。 这是一个同步过程, 默认情况下按以下顺序发生: 本地、网站、域、组织单位、子组织单位等。 处理计算机策略时, 不会显示用户界面。

  4. 启动脚本运行。 默认情况下, 这是隐藏和同步的;每个脚本必须在下一脚本开始之前完成或超时。 默认超时时间为600秒。 你可以使用多个策略设置来修改此行为。
  5. 用户按 CTRL + ALT + DEL 登录。
  6. 用户验证后, 将加载用户配置文件;它由有效的策略设置控制。
  7. 为用户获取组策略对象的排序列表。 列表可能取决于以下因素:

    • 用户是否是域的一部分, 因此通过 Active Directory 遵守组策略。
    • 环回策略处理是否已启用, 如果是, 则为环回策略设置的状态 (合并或替换)。
    • 用户在 Active Directory 中的位置。
    • 组策略对象列表是否已更改。 如果组策略对象列表未更改, 则不会执行任何处理。
  8. 已应用用户策略。 这些是 "用户配置" 下的 "收集的" 列表中的设置。 默认情况下, 这是同步的, 顺序如下: 本地、网站、域、组织单位、子组织单位等。 处理用户策略时, 不会显示用户界面。

  9. 登录脚本运行。 默认情况下, 组策略基于组策略的登录脚本是隐藏和异步的。 用户对象脚本将在最后运行。
  10. 将显示由组策略预指定的操作系统用户界面。

组策略对象存储

组策略对象 (GPO) 是由全局唯一标识符 (GUID) 标识并存储在域级别的虚拟对象。 GPO 的策略设置信息存储在以下两个位置:

  • Active Directory 中的组策略容器。

    组策略容器是一个 Active Directory 容器, 其中包含 GPO 属性, 例如版本信息、GPO 状态以及其他组件设置的列表。

  • 域的系统卷文件夹 (SYSVOL) 中的组策略模板。

    组策略模板是一个文件系统文件夹, 其中包括由 admx 文件、安全设置、脚本文件以及有关可供安装的应用程序的信息所指定的策略数据。 组策略模板位于 domain\Policies 子文件夹中的 SYSVOL 文件夹中。

GROUP_POLICY_OBJECT结构提供有关 gpo 列表中的 gpo 的信息, 包括 gpo 的版本号、指向指示 Gpo 的活动目录部分的字符串的指针和指向指定路径的字符串的指针GPO 的文件系统部分。

组策略处理顺序

按以下顺序处理组策略设置:

  1. 本地组策略对象。

    运行 Windows 操作系统且从 Windows XP 开始的每台设备都有一个本地存储的组策略对象。

  2. 现场.

    已链接到该网站的任何组策略对象将在下一步处理。 处理是按你指定的顺序进行同步。

  3. 域。

    多域链接的组策略对象的处理是同步的, 并且按您 speciy 的顺序排列。

  4. 组织单位。

    链接到在 Active Directory 层次结构中最高的组织单位的组策略对象首先处理, 然后是链接到其子组织单位的组策略对象等。 最后, 处理链接到包含用户或设备的组织单元的组策略对象。

在 Active Directory 层次结构中每个组织单位的级别上, 一个、多个或不可以链接任何组策略对象。 如果多个组策略对象链接到一个组织单元, 则其处理将按您指定的顺序进行同步。

这种顺序意味着首先处理本地组策略对象, 最后处理链接到计算机或用户直接成员的组织单位的组策略对象, 这将覆盖以前的组策略对象。

这是默认的处理顺序, 管理员可以指定此顺序的例外。 链接到网站、域或组织单位 (而不是本地组策略对象) 的组策略对象可以设置为相对于该网站、域或组织单元强制实施, 以便不能覆盖任何策略设置。 在任何网站、域或组织单元中, 你可以有选择地将组策略继承标记为阻止继承。 将始终应用设置为强制实施的组策略对象链接, 但不能阻止它们。 有关详细信息, 请参阅组策略基础知识-第2部分: 了解要应用的 gpo

安全设置策略处理

在组策略处理的上下文中, 安全设置策略按以下顺序处理。

  1. 在组策略处理期间, 组策略引擎确定要应用的安全设置策略。
  2. 如果 GPO 中存在安全设置策略, 组策略将调用安全设置客户端扩展。
  3. 安全设置扩展从相应的位置 (如特定的域控制器) 下载策略。
  4. 安全设置扩展将根据优先规则合并所有安全设置策略。 根据前面的 "组策略处理顺序" 部分中所述, 处理是根据本地、网站、域和组织单元 (OU) 的组策略处理顺序进行的。 如果多个 Gpo 对给定的设备有效, 并且没有相冲突的策略, 则策略将累计并合并。

    此示例使用下图中所示的 Active Directory 结构。 给定计算机是 OU2 的成员, GroupMembershipPolGPO GPO 链接到该成员。 此计算机还受UserRightsPolGPO GPO 的制约, 该 GPO 与 OU1 相关联, 在层次结构中更高。 在这种情况下, 不存在相冲突的策略, 因此设备接收包含在UserRightsPolGPOGroupMembershipPolGPO gpo 中的所有策略。

    多个 Gpo 和安全策略的合并

    多个 gpo 和安全策略的合并

  5. 所得到的安全策略存储在 secedit.exe、安全设置数据库中。 安全引擎获取安全模板文件, 并将它们导入到 secedit.exe。

  6. 安全设置策略应用于设备。 下图说明了安全设置策略处理。

安全设置策略处理

安全策略 settin 的流程和交互

在域控制器上合并安全策略

密码策略、Kerberos 和某些安全选项仅与在域上的根级别链接的 Gpo 合并。 这样做是为了使这些设置在域中的所有域控制器上保持同步。 合并了以下安全选项:

  • 网络安全: 在超过登录时间后强制注销
  • 帐户: 管理员帐户状态
  • 帐户: 来宾帐户状态
  • 帐户: 重命名系统管理员帐户
  • 帐户: 重命名来宾帐户

存在另一个允许管理员通过使用 "网络帐户" 合并到默认域策略 GPO 中所做的安全策略更改的机制。 通过使用本地安全机构 (LSA) Api 进行的用户权限更改将筛选到默认域控制器策略 GPO 中。

域控制器的特殊注意事项

如果使用操作主机角色 (也称为灵活单主机操作或 FSMO) 在主域控制器 (PDC) 上安装应用程序, 并且应用程序对用户权限或密码策略进行更改, 则必须将这些更改传递到确保域控制器间的同步发生。 Scesrv 接收对安全帐户管理器 (SAM) 和 LSA 的任何更改的通知, 这些更改需要跨域控制器同步, 然后通过使用 scecli 模板将更改合并到默认域控制器策略 GPO 中修改 Api。

当应用安全设置时

编辑安全设置策略后, 在以下情况下, 在链接到组策略对象的组织单位中的计算机上刷新设置:

  • 重新启动设备时。
  • 工作站或服务器上每隔90分钟, 在域控制器上每隔5分钟。 此刷新间隔是可配置的。
  • 默认情况下, 通过组策略传递的安全策略设置也会每16小时 (960 分钟) 应用, 即使 GPO 未更改也是如此。

安全设置策略的持久性

即使最初应用的策略中已不再定义某个设置, 安全设置也可以保留。

安全设置可能会保留在以下情况中:

  • 之前尚未为设备定义该设置。
  • 该设置适用于注册表安全对象。
  • 这些设置适用于文件系统安全对象。

通过本地策略或通过组策略对象应用的所有设置都存储在计算机上的本地数据库中。 当安全设置被修改时, 计算机会将 "安全设置" 值保存到本地数据库, 从而保留已应用到计算机的所有设置的历史记录。 如果策略首先定义了一个安全设置, 但不再定义该设置, 则该设置将采用数据库中以前的值。 如果数据库中不存在以前的值, 则该设置不会还原为任何内容并保持定义原样。 此行为有时称为 "tattooing"。

注册表和文件安全设置将保留通过组策略应用的值, 直到该设置设置为其他值。

要应用策略所需的权限

必须使用 "应用组策略" 和 "读取" 权限, 才能将组策略对象中的设置应用于用户或组以及计算机。

筛选安全策略

默认情况下, 所有 Gpo 均已读取并应用 "已验证用户" 组所允许的组策略。 "经过身份验证的用户" 组包括用户和计算机。 安全设置策略是基于计算机的。 若要指定哪些客户端计算机将不会应用组策略对象, 您可以拒绝这些计算机对该组策略对象的 "应用组策略" 或 "读取" 权限。 通过更改这些权限, 你可以将 GPO 的范围限制为网站、域或 OU 中的一组特定计算机。

注意: 请勿在域控制器上使用安全策略筛选, 因为这将阻止安全策略对其应用。

迁移包含安全设置的 Gpo

在某些情况下, 你可能希望将 Gpo 从一个域环境迁移到另一个环境。 两种最常见的方案是测试到生产迁移和生产到生产迁移。 GPO 复制过程对某些类型的安全设置有意义。

单个 GPO 的数据存储在多个位置并采用各种格式;某些数据包含在 Active Directory 中, 而其他数据存储在域控制器上的 SYSVOL 共享中。 某些策略数据可能在一个域中有效, 但可能在要复制 GPO 的域中无效。 例如, 存储在安全策略设置中的安全标识符 (Sid) 通常是特定于域的。 因此复制 Gpo 不像拍摄文件夹并将其从一台设备复制到另一台设备上一样简单。

以下安全策略可能包含安全主体, 并且可能需要一些额外的工作才能成功地将它们从一个域移动到另一个域。

  • 用户权限分配
  • 受限制的组
  • 服务
  • 文件系统
  • 注册表
  • GPO DACL (如果你选择在复制操作期间保留它)

若要确保正确复制数据, 可以使用组策略管理控制台 (GPMC)。 将 GPO 从一个域迁移到另一个域时, GPMC 会确保正确复制所有相关数据。 GPMC 还提供迁移表, 可用于将特定于域的数据更新为迁移过程中的新值。 GPMC 会隐藏迁移 GPO 操作中涉及的大部分复杂性, 并且它提供了简单可靠的机制来执行诸如复制和备份 Gpo 等操作。

本部分内容

主题 说明
管理安全策略设置 本文介绍管理本地设备上的安全策略设置或在整个小型或中型组织中管理安全策略设置的不同方法。
配置安全策略设置 介绍在本地设备、加入域的设备和域控制器上配置安全策略设置的步骤。
安全策略设置参考 此安全设置引用提供有关如何实施和管理安全策略的信息, 包括设置选项和安全注意事项。