Helt siden etableringen av Windows 2000 Server, har den primære mekanismen for å håndtere sikkerheten på et Windows-nettverk vært kollektive avtaler. For flere år selv om jeg har følt at gruppen politikk for å bli forlenget fordi det er mange aspekter av Windows-operativsystemet som rett og slett ikke kan kontrolleres av gruppen politikk. Heldigvis har utviklerne hos Microsoft erkjent disse gruppepolicyrelaterte svakheter, og har fullstendig overhalt gruppen politikk i Windows Vista og Windows Server 2008. I denne artikkelserien vil jeg diskutere noen av de nye group policy evner.

Hvis du noen gang har jobbet med gruppereglene i det siste, vet du at det finnes en rekke gruppepolicyinnstillinger er innebygd i Windows. Det er vanskelig å gi deg et eksakt tall på hvor mange gruppepolicyinnstillinger faktisk eksisterer fordi nye gruppepolicyinnstillinger er ofte introdusert med service packs og selv med noen programrelaterte nedlastinger. Jeg kan fortelle deg om at Windows Server 2003 Service Pack 1 har ca 1700 gruppepolicyinnstillinger. Dette tallet er økt til rundt 2 400 i Windows Vista og Windows Server 2008. Det å være tilfelle, jeg rett og slett ikke har plass til å snakke om hver enkelt gruppe policy innstilling som er tilgjengelig for deg. I stedet vil jeg prøve å snakke om flere viktige gruppepolicyinnstillinger.

Beskyttelse mot virus

En av de mest produktive trusler mot sikkerheten i de senere årene har vært e-postvirus. De fleste antivirusprodukter er laget for å integrere seg inn i Microsoft Outlook, ideen er at programvaren kan skanne e-postvedlegg som de er åpnet. Likevel har operativsystemet Windows alltid manglet en sentralisert mekanisme for å sørge for at antivirusprogramvare er installert og fungerer som den skal. Heldigvis, Windows Vista og Windows Server 2008 inneholder nå gruppepolicyinnstillinger som tillater deg å håndheve organisasjonens antivirus politikk på gruppepolicynivå.

Selv om gruppepolicyinnstillinger som jeg er i ferd med å vise at du er spesifikke for Windows Vista og Windows Server 2008, de kan brukes til å regulere datamaskiner som kjører Windows XP Service Pack 2 også. Du kan finne antivirus relatert group policy knyttet innstillingene i group policy treet på. Brukerkonfigurasjon \\ Administrative maler \\ Windows-komponenter \\ Vedleggsbehandling

Hold antivirusprogrammer når du åpner vedlegg

Denne gruppen politikk innstillingen brukes til å varsle antivirusprogrammet når et e-postvedlegg åpnes, slik at e-postvedlegg kan skannes for virus. Selv om denne gruppen policyinnstillingen høres enkelt nok, det er to begrensninger som du må være klar over før du aktiverer den. Først, hvis din antivirus programvare er utviklet for automatisk å skanne e-postvedlegg uansett, da slik at denne gruppen policyinnstillingen er overflødig.

Det andre forbeholdet at du må være klar over er at dersom denne gruppen policyinnstillingen er aktivert, og antivirusprogramvare eller annen grunn ikke klarer å skanne et vedlegg, da Windows vil blokkere vedlegg blir åpnet.

Ikke Bevar Zone informasjon i vedlegg

En av de viktigste sikkerhets begreper i Internet Explorer er at av soner. Internet Explorer tillater administratorer å klassifisere web-domener i ulike soner basert på hvor mye administrator stoler nettsteder. I Windows Vista og Windows Server 2008, kan dette konseptet soner bli overført til e-post. Når en e-postmelding inneholder et vedlegg, kan Windows se på avsenderens domene og sammenligne det med Internet Explorer sone listen. Det kan deretter bruke denne sonen informasjon for å fastslå hvor troverdig vedlegget er.

Denne spesielle gruppen policyinnstillingen er litt misvisende skjønt. Hvis du aktiverer policyinnstillingen, deretter sone informasjon vil bli fullstendig ignorert. Hvis du vil være sikker på at Windows bruker soneinformasjon i forbindelse med e-postvedlegg, må du deaktivere denne policyinnstillingen.

En viktig del av sonen relatert sikkerhet som du må være klar over er at avsenderens sone blir lagret som en fil attributt. Dette betyr at NTFS-filsystemet er et must. Hvis et system er formatert med FAT eller FAT-32, vil soneinformasjonen ikke beholdes, og Windows vil ikke rapportere feilen.

Skjul mekanismer for å fjerne Zone Informasjon

Under normale omstendigheter er det ganske enkelt for en bruker å fjerne sonerelaterte attributter fra filer. For å gjøre dette må de bare klikk på Fjern-knappen finnes på filens egenskaper ark. Hvis du ønsker å hindre brukere fra strippesonen informasjon fra filer, bare aktivere denne policyinnstillingen. Gjør du det vil skjule noen mekanisme som en bruker kan potensielt bruke til å fjerne soneinformasjon fra en fil.

Standard risikonivå for filvedlegg

Denne gruppen policyinnstillingen lar deg automatisk tildele enten en høy , middels eller lav risikonivået til e-postvedlegg. Jeg vil snakke mye mer om ulike risiko i avsnittene nedenfor.

inkluderingsListe for Høyrisiko filtyper

Selvfølgelig, noen filtyper er mye mer sannsynlig å bære ondsinnet kode enn andre. For eksempel, er en EXE-fil eller en PIF- fil mye mer sannsynlig å være skadelig enn en PDF-fil. På grunn av dette, gir Windows deg å flagge forskjellige filtyper som høy, middels eller lav risiko.

Windows gir separate gruppepolicyinnstillinger for listene over lav, middels og høy risiko filtyper. Grunnen til at Microsoft valgte å gjøre ting på denne måten er fordi det gir strammere sikkerhetsinnstillinger for å gå foran lavere innstillinger nivå trygghet i tilfelle av en konflikt. Anta for eksempel at en bestemt filtype er oppført både som høy risiko og som middels risiko. I en slik situasjon, ville den høye risikoen politikken forrang over middels risiko politikk, og filtypen ville bli behandlet som høy risiko uavhengig av hva de andre policyinnstillinger kan diktere.

Så hva betyr det egentlig å klassifisere en filtype som å være høy risiko? Når en bruker forsøker å åpne en fil, ser Windows ikke bare på filtypen, men også i sonen hvor filen kommer fra. Hvis filen stammer fra den begrensede sonen og er klassifisert som høy risiko, da Windows hindrer brukeren i å åpne filen. . Hvis filen stammer fra Internett-sonen, vil Windows vise en advarsel til brukeren før du åpner filen

inkluderingsListe for Lave filtyper

Merk:
Dette er ikke en skrivefeil, utelater Windows ordet RISK i denne politikken sette navn

Definere en filtype som lav risiko fungerer svært likt å definere en filtype som høy risiko, men med et par forskjeller. Den første forskjellen er at Windows allerede behandler visse filtyper som høy risiko som standard. Hvis du setter en av disse filtypene som lav risiko, så din innstilling har forrang over Window inne i innstillingene, og filen vil bli behandlet som lav risiko. Selvfølgelig hvis du manuelt har lagt til en filtype til den høye risikolisten og deretter legge den til den lave risikoen listen, vil filen bli behandlet som høy risiko fordi listen høy risiko går foran den lave risikoen listen. I tilfelle du lurer på, er brukerne lov til å åpne lav risiko filer uavhengig av sone.

inkluderingsListe for moderat risiko filtyper

Definere en filtype som er av en middels risiko fungerer nøyaktig samme som å definere en fil som lav risiko, men med ett unntak. Hvis filen stammer fra Restricted eller Internett-sonen, da Windows vil vise en advarsel før slik at brukeren til å åpne filen.

Konklusjon

I denne artikkelen har jeg forklart at Windows Vista og Windows Server 2008 inneholder mange flere gruppepolicyinnstillinger enn Windows Server 2003 eller Windows XP. Jeg fortsatte med å diskutere noen av de mer nyttige antivirus relatert gruppe policyinnstillinger. I del to vil jeg diskusjonen.
fortsette med å snakke om noe mer om nye gruppepolicyinnstillinger