系统的密切“关系”,更在于它强大的安全功能。除了可通过其进行系
统配置,而且可对系统中几乎所有的软硬件实施管理,全方位地提升系统安
全。到目前为止,似乎没有任何一款第三方软件可提供如果多的配置项。何况
随着 Windows
系统的更新换代,组策略也是越来越强大了,比如在
Windows 7 中就增加了许多 Vista 没有的安全项。本文就以当前主流的 Vista
系统为例,就 Windows 组策略的安全特性进行一番比较深入的解析。
为了便于说明,笔者依据组策略的安全配置功能将其划分为三部分:系统
核心安全配置、应用程序和设备限制、Internet Explorer(IE)安全。下面就以
此为线索,分别谈谈组策略的安全特性。
1、系统核心安全配置
与系统核心安全相关的组策略设置项主要在“计算机配置→Windows 配置
→安全配置”节点下。
(1).账户策略
对于组策略的这一部分大家应该非常熟悉,因为在这里可以设置密码和账
户的锁定策略。例如,在这部分组策略中,我们可以设置密码最小长度或者密
码需要包含复杂字符。如果在到域(如默认域策略)的组策略对象(GPO)中定义
这些策略,域中的所有域控制器(DC)都会处理密码策略,并且组策略对象会控
制域用户账户的密码策略。当在到域的组策略对象中定义密码策略时,域中的
所有工作站和成员服务器也会进行处理,并为这些系统中定义的本地账户设置
账户策略。(图 1)
Word.