利用组策略实现安全配置
在现代企业环境中,保障系统安全是至关重要的任务。通过组策略可以对用户账户控制(UAC)、无线网络和有线网络策略以及Windows防火墙等方面进行有效管理和配置,从而增强系统的安全性。下面将详细介绍这些方面的相关内容。
用户账户控制(UAC)策略设置
UAC有10个设置选项,能够对其进行灵活控制。但不建议直接关闭UAC,而应根据具体情况进行调整。以下是不同场景下的UAC策略设置建议:
|场景|建议设置|说明|
| ---- | ---- | ---- |
|企业桌面:标准用户(需要时可远程获得帮助)|1. 设置“UAC:标准用户的提升提示行为”为禁用
2. 设置“UAC:提升提示时切换到安全桌面”为禁用|减少攻击面,避免用户看到凭据对话框而请求管理员账户,同时在用户不提升权限时无需安全桌面保护|
|企业桌面:标准用户(需要时获得“肩旁协助”)|设置“UAC:标准用户的提升提示行为”为“提示输入凭据”|便于管理员在不切换用户的情况下提供帮助|
|企业桌面:受保护的管理员|将所有UAC策略设置为默认值|默认策略可使之前以管理员权限运行的应用以标准用户权限运行,减少攻击面|
|企业桌面(仅运行Windows“徽标”软件)|1. 设置“UAC:标准用户的提升请求自动拒绝”为禁用
2. 设置“UAC:提升提示时切换到安全桌面”为禁用
3. 设置“将文件和注册表写入失败虚拟化到每个用户位置”为禁用|提高性能,但前提是所有应用都是现代版的|
|企业桌面:受保护的管理员(所有应用都已签名)|设置“仅提升已签名和验证的可执行文件”为启用|确保只有Windows自带或组织明确签名和信任的应用才能以管
