【文章內(nèi)容簡介】 別和認(rèn)證 (GINA)：運(yùn)行在 Winlogon 進(jìn)程里的一個用戶模式dll， Winlogon 使用 GINA 獲取用戶名和密 碼，以及智能卡 PIN 等。 （ 8） 網(wǎng)絡(luò)登錄服務(wù) (Netlogon)：一個 Windows 服務(wù)，負(fù)責(zé)創(chuàng)建到域控制器的安區(qū)通道。 （ 9） 內(nèi)核安全設(shè)備驅(qū)動器 (KSecDD)：本地過程調(diào)用接口的內(nèi)核模式方法庫，其他組件 (如： EFS)用來和 Lsass 進(jìn)行通信。 這些組件之間的關(guān)系如下圖所示： 三、 Windows xp 系統(tǒng)安全分析 Windows xp 系統(tǒng)的組 策略和域基礎(chǔ)結(jié)構(gòu) 組策略 組策略是 Active Directory174。 目錄服務(wù)的一個功能，它便于管理 Microsoft174。 Windows Server? 2020 和 Microsoft Windows174。 2020 Server 域中的更改和配置。組策略設(shè)置存儲在 Active Directory 數(shù)據(jù)庫的組策略對象 (GPO) 中。 GPO 鏈接到容器，這些容器包括 Active Directory 站點(diǎn)、域和組織單位 (OU)。組策略是確保 Windows XP 安全的重要工具。 支持安全管理的 OU 設(shè)計 OU 是 Active Directory 域中的容器，可以包含用戶、組、計算機(jī)和其他組織單位，它們都稱為子 OU。可以將 GPO 鏈接到 OU， GPO 設(shè)置將應(yīng)用于該 OU 及其子 OU 中包含的用戶和計算機(jī)。為便于管理，可以向每個 OU 委派管理權(quán)限。 OU 不僅提供了一種分組用戶、計算機(jī)和其他安全主體的簡單方法，而且還提供了一種分割管理邊界的有效方式。由于某些設(shè) 置僅適用于用戶，而其他設(shè)置僅適用于計算機(jī)， Microsoft 建議組織將用戶和計 算機(jī)分配給單獨(dú)的 OU。 任何環(huán)境設(shè)計 OU 結(jié)構(gòu)的一個主要目標(biāo)是，為應(yīng)用于 Active Directory 中所有工作站的無縫組策略實施提供基礎(chǔ)，同時確保它們符合組織的安全標(biāo)準(zhǔn)。設(shè)計 OU 結(jié)構(gòu)的另一個目標(biāo)是，為組織中特定類型的用戶提供適當(dāng)?shù)陌踩O(shè)置。便攜式計算機(jī)用戶與桌面計算機(jī)用戶相比，安全要求也可以略有不同。下圖是一個組策略的簡單 OU 結(jié)構(gòu)。 圖 Windows XP 計算機(jī)的 OU 結(jié)構(gòu) 部門 OU：由于組織內(nèi)的安全要求經(jīng)常變化，很有必要在環(huán)境中創(chuàng)建部門 OU。部門安全設(shè)置可以通過 GPO 應(yīng)用于各自部門 OU 中的計算機(jī)和用戶。 安全的 XP 用戶 OU：此 OU 同時包含 EC 和 SSLF 環(huán)境中的用戶的帳戶。第 4 章 “Windows XP 管理模板 ” 的 “ 用戶配置 ” 部分論述了應(yīng)用于此 OU 的設(shè)置。 Windows XP OU：包含環(huán)境中每種 Windows XP 客戶端計算機(jī)的子 OU。本指南包含桌面計算機(jī)和便攜式計算機(jī)的指導(dǎo)。因此，已經(jīng)創(chuàng)建了桌面計算機(jī) OU 和便攜式計算機(jī) OU。 桌面計算機(jī) OU： 包含始終連接到網(wǎng)絡(luò)的桌面計算機(jī)。第 3 章 “Windows XP 客戶端安全設(shè)置 ” 和第 4 章 “Windows XP 管理模板 ” 詳細(xì)論述了應(yīng)用于此 OU 的設(shè)置。 便攜式 OU： 包含不始終連接到網(wǎng)絡(luò)的移動用戶的便攜式計算機(jī)。 支持安全管 理的 GPO 設(shè)計 使用 GPO 確保特定策略設(shè)置、用戶權(quán)限和行為應(yīng)用于 OU 中的所有工作站或用戶。使用組策略（而不是手動配置），可以很方便地更新大量將來需要額外更改的工作站或用戶。手動配置效率低下，它需要技術(shù)人員訪問每臺客戶端計算機(jī)。而且，如果基于域的 GPO 策略設(shè)置不同于本地應(yīng)用的策略設(shè)置，則基于域的 GPO 策略設(shè)置將覆蓋本地應(yīng)用的策略設(shè)置。 圖 GPO 應(yīng)用順序 此圖顯示對屬于子 OU 成員的計算機(jī)應(yīng)用 GPO 的順序，最低順序為 (1)，最高順序為 (5)。首先從每個 Windows XP 工作站的本地策略應(yīng)用組策略。應(yīng)用本地策略后，依次在站點(diǎn)級別和域級別應(yīng)用任何 GPO。 對于若干 OU 層中嵌套的 Windows XP 客戶端計算機(jī)，在層次結(jié)構(gòu)中按從最高 OU 級別到最低級別的順序應(yīng)用 GPO。從包含客戶端計算機(jī)的 OU 應(yīng)用最后的 GPO。此 GPO 處理順序（本地策略 、站點(diǎn)、域、父 OU 和子 OU）非常重要，因為此過程中稍后應(yīng)用的 GPO 將會替代先前應(yīng)用的 GPO。用戶 GPO 的應(yīng)用方式相同。 當(dāng)設(shè)計組策略時請記住下列注意事項。 (1)管理員必須設(shè)置將多個 GPO 鏈接到一個 OU 的順序，否則，默認(rèn)情況下，將按以前鏈接到此 OU 的順序應(yīng)用策略。如果在多個策略中配置了相同設(shè)置，容器的策略列表中的最高策略享有最高優(yōu)先級。 (2)可以使用 “ 禁止替代 ” 選項來配置 GPO。如果選擇此選項，其他 GPO 不能替代此 GPO 中配置的設(shè)置 。 注意 ：在 Windows 2020 中， “Enforced（禁止替代） ” 選項是指 “No Override （禁止替代） ” 選項。 (3)可以使用 “ 阻止策略繼承 ” 選項來配置 Active Directory、站點(diǎn)、域或 OU。此選項阻止來自 Active Directory 層次結(jié)構(gòu)中更高的 GPO 的 GPO 設(shè)置，除非它們選擇了 “ 禁止替代 ” 選項。換句話說， “ 禁止替代 ” 選項優(yōu)先于 “ 阻止策略繼承 ” 選項。 (4)組策略設(shè)置根據(jù) Active Directory 中用戶或計算機(jī)對象所在的 位置應(yīng)用于用戶和計算機(jī)。在某些情況下，可能需要根據(jù)計算機(jī)對象的位置（而不是用戶對象的位置）對用戶對象應(yīng)用策略。組策略環(huán)回功能使管理員能夠根據(jù)用戶登錄的計算機(jī)應(yīng)用用戶組策略設(shè)置。有關(guān)環(huán)回支持的詳細(xì)信息，請參閱本章結(jié)尾的 “ 更多信息 ” 部分列出的組策略白皮書。 下圖展開了基本 OU 結(jié)構(gòu)，以顯示如何對屬于桌面計算機(jī) OU 和便攜式計算機(jī) OU 的 Windows XP 客戶端計算機(jī)應(yīng)用 GPO。 圖 展開的 OU 結(jié)構(gòu)包 在上例中，便攜式計算機(jī)是便攜式 OU 的成員。應(yīng)用的第一個策略是便攜式計算機(jī)上的本地安全策略。由于此例中只有一個站點(diǎn)，所以站點(diǎn)級別上未應(yīng)用 GPO，將域 GPO 作為下一個要應(yīng)用的策略。最后，應(yīng)用便攜式計算機(jī) GPO。 注意 ：桌面策略未應(yīng)用于任何便攜式計算機(jī)，因為它未鏈接到包含便攜式 OU 的層次結(jié)構(gòu)中的任何 OU。另外，安全的 XP 用戶 OU 沒有對應(yīng)的安全模板（ .inf 文件），因為它只包括來自管理模塊的設(shè)置。 為顯示優(yōu)先級如何起作用，假設(shè) “ 通過終端服務(wù)允許登錄 ” 的 Windows XP OU 策略設(shè)置被設(shè)置為 Administrators 組。 “ 通過終端服務(wù)允許登錄 ” 的便攜式計算機(jī) GPO 設(shè)置被設(shè)置為 Power Users和 Administrators組。在此例中，帳戶位于 Power Users組中的用戶可以使用終端服務(wù)登錄到便攜式計算機(jī)，這是因為便攜式 OU 是 Windows XP OU 的子級。如果在 Windows XP GPO 中啟用了“ 禁止替代 ” 策略選項，則只允許那些帳戶位于 Administrators 組中的用戶使用終端服務(wù)登錄到客戶端計算機(jī)。 Windows xp 系統(tǒng)的模板及其管理 安全模板及其管理 安全模板：是包含安全設(shè)置值的文本文件。它們是 GPO 的子組件。安全模板包含的策略設(shè)置可以在 MMC 組策略對象編輯器管理單元中修改，它們位于“ 計 算機(jī)配置 \Windows 設(shè)置 \安全設(shè)置 ” 文件夾之下。也可以使用 MMC 安全模板管理單元或記事本之類的文本編輯器修改這些文件。 Microsoft 建議您使用組策略對象編輯器管理單元來管理 GPO 安全模板中的策略設(shè)置，以及使用安全模板管理單元來管理獨(dú)立安全模板中的策略設(shè)置。 安全模板管理： 將生產(chǎn)環(huán)境的安全模板存儲在基礎(chǔ)結(jié)構(gòu)中的安全位置非常重要。安全模板的訪問權(quán)限只應(yīng)該授予負(fù)責(zé)實施組策略的管理員。默認(rèn)情況下， Windows XP、 Windows 2020 和 Windows Server 2020 附帶的安全模板存儲在 %SystemRoot%\security\templates文件夾中。當(dāng)評估和優(yōu)化設(shè)置以符合組織業(yè)務(wù)需求時，您可能需要將安全模板從此文件夾復(fù)制或移動到測試計算機(jī)上的 新位置。測試完畢后，應(yīng)該將安全模板的最終版本移動到集中位置，例如內(nèi)置安全模板的默認(rèn)位置。 %SystemRoot%\security\templates 文件夾不能跨域控制器進(jìn)行復(fù)制。因此，您需要選