科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网软件频道图文剖析Windows Vista组策略新特性

图文剖析Windows Vista组策略新特性

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

组策略是一个非常强力的工具,可用于自定义,控制,以及保护Windows操作系统。它本是用于取代Windows NT中的系统策略功能,作为智能镜像技术的一部分而在Windows 2000中引入。

作者:ZDNet China 2007年6月28日

关键字: Windows

  • 评论
  • 分享微博
  • 分享邮件

视频与显示设置

在Video And Display Settings(视频与显示)文件夹中,有4个设定(实际上也是每一个策略,都有两种,分别是电脑接上电源,和电脑使用电池) 它们是:

◆关闭视频显示的超时: 这个设定控制了在电脑无动作多久之后,会自动关闭显示。 Windows会自动根据用户对输入设备的动作,调节相关的设定。

◆关闭显示: 如果你启用了这个策略,你需要提供一个数值(以秒计),以指定在多久电脑无动作之后,关闭显示。

用户帐户控制设定

在Vista之中最明显的安全改进之一就是UAC(User Account Control,用户帐户控制)。 在安全选项文件夹中有9个策略,你可以使用他们来改变此功能的相关行为。 要修改设定,在组策略目标编辑器的左面板“Computer Configuration(电脑配置)”节点下,展开“Windows Settings(Windows设置)”,然后是“Security Setting(安全设置)”,然后是“Local Policies(本地策略)”。 点击“Security(安全)”选项,如图F所示。
 
图文剖析Windows Vista组策略新特性

图F 你可以通过组策略,控制UAC行为的多个方面

这是你可以在Vista中配置的,UAC相关策略:

有关内置系统管理员帐号的管理批准模式: 如果你启用了这个策略,内置的系统管理员帐号将以管理批准模式登录,这意味着你将在提升权限发生之前,必须要求得到批准。 默认情况下,这个策略是禁止的,这样内置的系统管理员帐号会以XP兼容的模式登录(不像Vista之中其他的管理性帐号);所有的程序可以默认运行在完全管理权限之下。 启用这个策略会增加安全性。

在管理批准模式下,有关系统管理员提升提示的行为: 默认状态,所有的系统管理员(除了内置Administrator帐号以外),都会在权限提升之前要求得到批准。 如果你启用了这个策略,你可以通过要求系统管理员输入他们的信用资料以便提升权限,从而增加安全性,或者你可以允许在不提示信用或者得到批准的情况下直接提升权限,但这会降低安全性。 具体选择如图G所示
 
图文剖析Windows Vista组策略新特性

图G 你可以通过指定关于系统管理员的提升提示行为,提升或者降低安全级别。

对于标准用户来说,提升提示的行为有: 默认情况下,这些以标准用户帐号登录的人将会在提升权限时,提示要求输入管理信用资料。 如果你启用了这个策略,你可以选择在一个标准用户试图执行高权限的操作时,返回一个禁止存取的信息以增强安全性,

发现程序安装,并提示要求提升: 如果你启用了此策略,需要提升权限的程序安装包将会被启发式步骤自动识别,预先配置好的权限提升提示将被触发。

仅提升被签名和认证的可执行文件: 这个策略允许你强制要求在希望提升自身权限的交互性软件上进行PKI签名检查,以提升安全性。默认情况下,PKI校验链的确认不是强制要求的。

仅提升被安装在安全区域里的UIAccess程序 如果你启用了此策略,UIAccess程序将不会启动,除非他们被保存在一个安全的区域里。 安全区域包括“Program Files”目录,以及“Windows\System32\r-_\Program Files (x86)”目录。 这个策略默认是启动的,但是你可以禁止它,如果你希望保存在其他区域的UIAccess程序也可以运行的话。

将所有用户,包括系统管理员,都作为标准用户运行: 这个策略默认是启用的,因为这是Vista的UAC保护的核心。 如果你禁用了这个策略,所有的UAC策略将被禁止,而安全性将会降低。 你必须重启以便保证这个策略改变发生作用。

当要求提升时,切换到安全桌面: 这个策略默认是启用的;当权限提升要求时,桌面将被锁闭,任何程序都无法与之交流。 你可以禁用此策略,这样权限提升的要求将显示在普通的交互式桌面上,但是这会削弱安全性。
还有列表中的其他的……

我们只是简单看了Vista之中,800个可用全新组策略设置中的少数几个。 还有关于控制Vista的高级安全防火墙的新设置,根据所在位置赋予打印机的设置,自定义DVD视频作者的设置,启用网路通讯的质量控制服务中央管理的设置,管理网路存取保护(NAP)的设置,管理外壳程序存取的设置,以及配置新终端服务/远程桌面安全功能的设置。 另外,还有可用于IE 7的新策略。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章