本文内容
适用范围
此参考主题介绍安全设置的常见方案、体系结构和过程。
安全策略设置是管理员在计算机上或多台设备上配置的规则,用于保护设备或网络上的资源。 本地组策略编辑器管理单元的安全设置扩展允许将安全配置定义为组策略对象 (GPO) 的一部分。 GPO 链接到 Active Directory 容器(如站点、域或组织单位),它们使你能够管理多个设备的安全设置,这些设备从加入域的任何设备。 安全设置策略用作整体安全实现的一部分,以帮助保护组织中的域控制器、服务器、客户端和其他资源。
安全设置可以控制:
若要管理多个设备的安全配置,可以使用以下选项之一:
有关管理安全配置的详细信息,请参阅 管理安全策略设置。
本地组策略编辑器的安全设置扩展包括以下类型的安全策略:
本地策略。 这些策略适用于计算机,并包括以下类型的策略设置:
具有高级安全性的 Windows 防火墙。 使用有状态防火墙指定设置来保护网络上的设备,该防火墙允许确定允许哪些网络流量在设备和网络之间传递。
网络列表管理器策略。 指定可用于配置网络在一个设备或多个设备上列出和显示方式的不同方面的设置。
公钥策略。 除了某些证书路径和服务设置外,还指定用于控制加密文件系统、数据保护和 BitLocker 驱动器加密的设置。
软件限制策略。 指定设置以标识软件并控制其在本地设备、组织单位、域或站点上运行的能力。
应用程序控制策略。 指定设置,以根据文件的唯一标识控制哪些用户或组可以在组织中运行特定应用程序。
本地计算机上的 IP 安全策略。 指定设置,以确保使用加密安全服务通过 IP 网络进行专用安全通信。 IPsec 建立从源 IP 地址到目标 IP 地址的信任和安全性。
高级审核策略配置。 指定用于控制将安全事件记录到设备上的安全日志的设置。 “高级审核策略配置”下的设置可以更好地控制要监视的活动,而不是“本地策略”下的“审核策略”设置。
Windows 版本和许可要求
下表列出了支持 Windows 安全策略设置和审核的 Windows 版本:
Windows 专业版Windows 企业版Windows 专业教育版/SEWindows 教育版
是
是
是
是
Windows 安全策略设置和审核许可证权利由以下许可证授予:
Windows 专业版/专业教育版/SEWindows 企业版 E3Windows 企业版 E5Windows 教育版 A3Windows 教育版 A5
是
是
是
是
是
有关 Windows 许可的详细信息,请参阅 Windows 许可概述。
基于策略的安全设置管理
用于组策略的安全设置扩展提供基于策略的集成管理基础结构,以帮助你管理和强制实施安全策略。
可以通过组策略和Active Directory 域服务 (AD DS) 来定义安全设置策略并将其应用于用户、组、网络服务器和客户端。 可以 (Microsoft Web (IIS) 服务器) 创建具有相同功能的一组服务器,然后使用组策略对象将常见安全设置应用于组。 如果以后将更多服务器添加到此组,则会自动应用许多常见安全设置,从而减少部署和管理工作。
使用安全设置策略的常见方案
安全设置策略用于管理安全性的以下方面:帐户策略、本地策略、用户权限分配、注册表值、文件和注册表访问控制列表 (ACL) 、服务启动模式等。
作为安全策略的一部分,可以使用专门为组织中的各种角色配置的安全设置策略(例如域控制器、文件服务器、成员服务器、客户端等)创建 GPO。
可以创建组织单位 (OU) 结构,根据设备的角色对设备进行分组。 使用 OU 是分离网络中不同角色的特定安全要求的最佳方法。 此方法还允许将自定义安全模板应用于每个服务器或计算机类。 创建安全模板后,为每个 OU 创建新的 GPO,然后将安全模板 (.inf 文件) 导入新 GPO。
将安全模板导入 GPO 可确保应用 GPO 的任何帐户在刷新组策略设置时自动接收模板的安全设置。 在工作站或服务器上,安全设置定期刷新, (随机偏移量最多为 30 分钟) ;在域控制器上,如果应用的任何 GPO 设置发生更改,则每隔几分钟就会发生一次此过程。 无论是否发生任何更改,设置也会每 16 小时刷新一次。
注意
这些刷新设置因操作系统版本而异,并且可以配置。
通过将基于 组策略 的安全配置与委派管理结合使用,可以确保将特定安全设置、权限和行为应用于 OU 中的所有服务器和计算机。 此方法可以轻松地使用将来所需的任何其他更改来更新多个服务器。
与其他操作系统技术的依赖关系
对于属于 Windows Server 2008 或更高版本域成员的设备,安全设置策略依赖于以下技术:
安全设置策略和组策略
本地组策略编辑器的安全设置扩展是安全Configuration Manager工具集的一部分。 以下组件与安全设置相关联:配置引擎;分析引擎;模板和数据库接口层;设置集成逻辑;和 secedit.exe 命令行工具。 安全配置引擎负责处理运行该引擎的系统的安全配置编辑器相关安全请求。 分析引擎分析给定配置的系统安全性并保存结果。 模板和数据库接口层处理内部存储) 从模板或数据库 (读取和写入请求。 本地组策略编辑器的安全设置扩展处理来自基于域或本地设备的组策略。 安全配置逻辑与安装程序集成并管理系统安全性,以便干净安装或升级到更新的 Windows 操作系统。 安全信息存储在模板 (.inf 文件) 或 Secedit.sdb 数据库中。
下图显示了安全设置和相关功能。
安全设置策略和相关功能
安全设置扩展体系结构
本地组策略编辑器的安全设置扩展是安全Configuration Manager工具的一部分,如下图所示。
安全设置体系结构
安全设置配置和分析工具包括安全配置引擎,该引擎提供本地计算机 (非域成员) 以及基于组策略的安全设置策略配置和分析。 安全配置引擎还支持创建安全策略文件。 安全配置引擎的主要功能是 scecli.dll 和 scesrv.dll。
以下列表介绍了安全配置引擎的这些主要功能以及其他安全设置相关功能。
在域控制器上,scesrv.dll 接收对 SAM 和 LSA 所做的更改的通知,这些更改需要跨域控制器同步。 Scesrv.dll 使用进程内 scecli.dll 模板修改 API 将这些更改合并到默认域控制器策略 GPO 中。Scesrv.dll 还会执行配置和分析操作。
Scecli.dll
此 Scecli.dll 是用于 scesrv.dll 的客户端接口或包装器。 scecli.dll 加载到 Wsecedit.dll 以支持 MMC 管理单元。安装程序使用它来配置安装程序 API .inf 文件安装的文件、注册表项和服务的默认系统安全性和安全性。
安全配置和分析用户界面的命令行版本 secedit.exe 使用 scecli.dll。
Scecli.dll 实现组策略的客户端扩展。
Scesrv.dll 使用 scecli.dll 从 SYSVOL 下载适用的组策略文件,以便将组策略安全设置应用到本地设备。
Scecli.dll 将安全策略的应用程序记录到 WMI (RSoP) 。
Scesrv.dll 策略筛选器在对 SAM 和 LSA 进行更改时使用 scecli.dll 来更新默认域控制器策略 GPO。
Wsecedit.dll
组策略对象编辑器管理单元的安全设置扩展。 可以使用此工具在站点、域或组织单位的 组策略 对象中配置安全设置。 还可以使用安全设置将安全模板导入 GPO。
Secedit.sdb
此 Secedit.sdb 是用于策略传播的永久系统数据库,包括用于回滚的持久设置表。
用户数据库
用户数据库是管理员为配置或分析安全性而创建的系统数据库以外的任何数据库。
.Inf 模板
这些模板是包含声明性安全设置的文本文件。 在配置或分析之前,它们将加载到数据库中。 组策略安全策略存储在域控制器的 SYSVOL 文件夹中的 .inf 文件中,这些策略 (使用文件复制) 下载,并在策略传播期间合并到系统数据库中。
安全设置策略流程和交互
对于管理组策略的已加入域的设备,安全设置将与组策略一起处理。 并非所有设置都是可配置的。
组策略处理
当计算机启动且用户登录时,将按以下顺序应用计算机策略和用户策略:
网络启动。 远程过程调用系统服务 (RPCSS) 和多个通用命名约定提供程序 (MUP) 启动。
为设备获取组策略对象的有序列表。 该列表可能取决于以下因素:
应用计算机策略。 这些设置位于已收集列表中的“计算机配置”下。 此过程默认为同步过程,按以下顺序进行:本地、站点、域、组织单位、子组织单位等。 处理计算机策略时不显示任何用户界面。
启动脚本运行。 默认情况下,这些脚本是隐藏和同步的;每个脚本必须在下一个脚本开始之前完成或超时。 默认超时为 600 秒。 可以使用多个策略设置来修改此行为。
用户按 Ctrl+Alt+DEL 登录。
验证用户后,将加载用户配置文件;它受有效的策略设置控制。
为用户获取组策略对象的有序列表。 该列表可能取决于以下因素:
应用用户策略。 这些设置是收集列表中的“用户配置”下的设置。 默认情况下,这些设置是同步的,按以下顺序进行:本地、站点、域、组织单位、子组织单位等。 处理用户策略时,不显示任何用户界面。
登录脚本运行。 默认情况下,基于 组策略 的登录脚本是隐藏和异步的。 用户对象脚本最后运行。
将显示由组策略规定的操作系统用户界面。
组策略对象存储
组策略 对象 (GPO) 是由全局唯一标识符 (GUID) 标识的虚拟对象,存储在域级别。 GPO 的策略设置信息存储在以下两个位置:
GROUP_POLICY_OBJECT结构提供有关 GPO 列表中 GPO 的信息,包括 GPO 的版本号、指向指示 GPO Active Directory 部分的字符串的指针,以及指向指定 GPO 文件系统部分路径的字符串的指针。
组策略处理顺序
组策略设置按以下顺序进行处理:
本地组策略对象。
运行从 Windows XP 开始的 Windows 操作系统的每个设备都有一个本地存储组策略对象。
网站。
接下来将处理已链接到站点的任何组策略对象。 处理是同步的,按指定的顺序进行。
域。
多个域链接组策略对象的处理是同步的,按指定的顺序处理。
组织单位。
组策略首先处理链接到 Active Directory 层次结构中最高的组织单位的对象,然后组策略链接到其子组织单位的对象,依此类说。 最后,将处理链接到包含用户或设备的组织单位的组策略对象。
在 Active Directory 层次结构中的每个组织单位级别,可以链接一个、多个或任何组策略对象。 如果多个组策略对象链接到一个组织单位,则它们的处理是同步的,并且按指定的顺序进行。
此顺序意味着首先处理本地组策略对象,最后处理组策略链接到计算机或用户是直接成员的组织单位的对象,这将覆盖以前的组策略对象。
此顺序是默认处理顺序,管理员可以指定此订单的例外。 链接到站点、域或组织单位 (非本地组策略对象) 的组策略对象可针对该网站、域或组织单位设置为“强制实施”,以便无法重写其策略设置。 在任何站点、域或组织单位,都可以有选择地将组策略继承标记为“块继承”。 组策略始终应用设置为“强制实施”的对象链接,但无法阻止它们。 有关详细信息,请参阅组策略基础知识 - 第 2 部分:了解要应用哪些 GPO。
安全设置策略处理
在组策略处理的上下文中,安全设置策略按以下顺序进行处理。
在组策略处理期间,组策略引擎确定要应用哪些安全设置策略。
如果 GPO 中存在安全设置策略,组策略将调用安全设置客户端扩展。
安全设置扩展从适当的位置(例如特定域控制器)下载策略。
安全设置扩展根据优先规则合并所有安全设置策略。 处理根据本地、站点、域和组织单位 (OU) 组策略处理顺序,如前面“组策略处理顺序”部分所述。 如果多个 GPO 对给定设备有效,并且没有冲突的策略,则策略是累积的并合并的。
此示例使用下图所示的 Active Directory 结构。 给定的计算机是 GROUPMembershipPolGPO GPO 链接到的 OU2 的成员。 此计算机还受 UserRightsPolGPO GPO 的约束,该 GPO 链接到层次结构中较高级别的 OU1。 在这种情况下,不存在任何冲突的策略,因此设备接收 UserRightsPolGPO 和 GroupMembershipPolGPO GPO 中包含的所有策略。
多个 GPO 和安全策略的合并
生成的安全策略存储在安全设置数据库 secedit.sdb 中。 安全引擎获取安全模板文件并将其导入到 secedit.sdb。
安全设置策略将应用于设备。下图演示了安全设置策略处理。
安全设置策略处理
在域控制器上合并安全策略
密码策略、Kerberos 和某些安全选项仅从域的根级别链接的 GPO 合并。 进行此合并是为了使这些设置在域中的所有域控制器之间保持同步。 合并了以下安全选项:
存在另一种机制,允许管理员使用净帐户进行的安全策略更改合并到默认域策略 GPO 中。 使用本地安全机构 (LSA) API 进行的用户权限更改将筛选到默认域控制器策略 GPO 中。
域控制器的特殊注意事项
如果应用程序安装在主域控制器上, (PDC) 操作主角色 (也称为灵活的单主操作或 FSMO) 并且应用程序对用户权限或密码策略进行了更改,则必须传达这些更改以确保跨域控制器进行同步。 Scesrv.dll 会收到一条通知,指示安全帐户管理器 (SAM) 和 LSA 发生任何更改,这些更改需要跨域控制器同步,然后使用 scecli.dll 模板修改 API 将更改合并到默认域控制器策略 GPO 中。
应用安全设置时
编辑安全设置策略后,在以下实例中链接到 组策略 对象的组织单位中的计算机上刷新设置:
安全设置策略的持久性
即使最初应用安全设置的策略中不再定义某个设置,安全设置也可以保留。
在以下情况下,安全设置可能会保留:
通过本地策略或通过 组策略 对象应用的所有设置都存储在计算机上的本地数据库中。 每当修改安全设置时,计算机都会将安全设置值保存到本地数据库,该数据库保留已应用于计算机的所有设置的历史记录。 如果策略首先定义安全设置,然后不再定义该设置,则该设置将采用数据库中的上一个值。 如果数据库中不存在上一个值,则该设置不会还原为任何内容,并且仍按原样定义。此行为有时称为“纹身”。
注册表和文件安全设置将保留通过 组策略 应用的值,直到该设置设置为其他值。
应用策略所需的权限
“应用组策略”和“读取”权限都需要将组策略对象的设置应用于用户或组和计算机。
筛选安全策略
默认情况下,所有 GPO 都具有“读取”和“应用”组策略“经过身份验证的用户组均允许”。 “经过身份验证的用户组”包括用户和计算机。 安全设置策略基于计算机。 若要指定哪些客户端计算机将或不会应用组策略 Object,可以拒绝它们对该组策略对象的“应用组策略”或“读取”权限。 通过更改这些权限,可将 GPO 的范围限制为站点、域或 OU 中的一组特定计算机。
注意
不要在域控制器上使用安全策略筛选,因为这会阻止向其应用安全策略。
迁移包含安全设置的 GPO
在某些情况下,你可能希望将 GPO 从一个域环境迁移到另一个环境。 两种最常见的方案是测试到生产迁移和生产到生产迁移。 GPO 复制过程对某些类型的安全设置有影响。
单个 GPO 的数据存储在多个位置和各种格式中;某些数据包含在 Active Directory 中,其他数据存储在域控制器上的 SYSVOL 共享上。 某些策略数据可能在一个域中有效,但在要向其复制 GPO 的域中可能无效。 例如,存储在安全策略设置中的安全标识符 (SID) 通常是特定于域的。 因此,复制 GPO 并不像获取文件夹并将其从一台设备复制到另一台设备那么简单。
以下安全策略可以包含安全主体,并且可能需要更多工作才能成功将它们从一个域移动到另一个域。
若要确保正确复制数据,可以使用 组策略 管理控制台 (GPMC) 。 当 GPO 从一个域迁移到另一个域时,GPMC 可确保正确复制所有相关数据。 GPMC 还提供迁移表,这些表可用于在迁移过程中将特定于域的数据更新为新值。 GPMC 隐藏了迁移 GPO 操作所涉及的大部分复杂性,并且它为执行 GPO 复制和备份等操作提供了简单可靠的机制。
本部分内容主题说明
管理安全策略设置
本文讨论在本地设备或整个中小型组织中管理安全策略设置的不同方法。
配置安全策略设置
介绍在本地设备、已加入域的设备和域控制器上配置安全策略设置的步骤。
安全策略设置参考
此安全设置参考提供了有关如何实现和管理安全策略的信息,包括设置选项和安全注意事项。