探索Windows Vista组策略中新事物

Kdsffsd

　　组策略是一个用来对Windows操作系统进行自定义、控制以及保护的强大工具。替换了Windows NT中的系统策略特性，在Windows 2000中作为IntelliMirror技术的一部分引入，并且在随后的基于NT的每个版本的操作系统中，它的应用范围和功能也有所拓展。
　　组策略能够在本地计算机层或是组织单元、域或者活动目录环境下的站点中应用。组策略能够被Windows XP Professional所支持，但XP Home版本则无法支持它。同样地，组策略也被Vista Business、Enterprise和Ultimate版本所支持，而Home Basic和Home Premium版本则无法支持。
　　Vista中的组策略添加了几百项新的设置，让管理员能够更好地控制用户和计算机。其中一些是用于增加功能的，而另一些则是对Windows XP中组策略进行了提高。在这篇文章中，我们将讨论组策略中一些你可以用到的有趣的新特性。你可以从微软的网站上下载到包含了为计算机和用户配置而设的组策略设置表格，而这是包含在随着Vista一同发布的管理员模版文件中的。要注意的是，在Vista中的管理员模版文件是新的基于XML的文件格式（.ADMX）。
　　控制可移动的媒介
　　可移动的设备包括USB驱动、闪存记忆卡阅读器以及外置USB硬盘，还有CD和DVD写入器甚至是传统软盘，它们都能够非常方便地在两台计算机之间进行数据传送。不幸的是，它们也都伴随着一个较大的安全问题：用户能够很轻易地将原本不能离开公司网络的数据下载到可移动的设备中并随身携带，或者是他们也能够从设备中将数据上传到公司的计算机内，可能在不知情的情况下就带入了病毒或者是恶意软件。
　　在过去，一些公司可能会通过填充一些物质的手段来物理摧毁USB接口。没有那么极端的就将计算机内部的USB接口的连接去掉并拆除光驱以去除光盘烧制的功能。你也可以购买第三方软件来让你启用或禁用对USB设备、CD/DVD刻录机等的访问。或者你也可以创建一个自定义的.ADM文件来阻止人们在XP中使用这些设备。
　　Vista则让这些更为简易。以下就是让你用组策略控制可移动媒介对本地的Vista计算机访问的操作步骤：
　　1、点击“开始”，在搜索框中输入“gpedit.msc”后按下回车键。
　　2、在“组策略对象编辑器”的左边窗格中，在“计算机配置”下，展开“管理模版”并点击“系统”。
　　3、在右边窗格中用鼠标滚动并点击“可移动存储访问”，如图1所示。
　　
　　图1 你可以通过Vista的组策略控制对可移动存储的访问（点击看大图）
　　你可以从众多的选项中进行选择，这都取决于你想要控制的可移动存储的类型。例如，你可以通过双击右边窗格中的“所有可移动存储类：拒绝所有权限”来将所有类型的可移动存储拒绝访问。
　　4、在属性窗格中，选择“已启用”选项，如图2所示。
　　
　　图2 启用此策略来对所有可移动存储拒绝访问权限
　　6、点击“应用”或“确认”。
　　这项对所有类型可移动存储的拒绝权限会优于对单独的存储类进行设置的组策略。你可以单独设置的存储类型有：
　　CD 和 DVD
　　软盘驱动器
　　可移动磁盘
　　磁带驱动器
　　WPD 设备（蜂窝电话、便携媒体播放器、辅助显示设备、像掌上电脑这样基于CE的设备）
　　你也可以通过对策略进行设置来分别拒绝读取或者是写入的权限，因此，你能够允许用户从设备中读取数据但无法将数据保存在其中。
　　控制电源管理设置
　　企业要求能够在Windows中有能够控制电源管理方法已经有很长一段时间了。现在已经有一些第三方的软件能够让管理员集中地控制这些设置，但必须为软件承担额外的费用。在Vista中，公司就能够通过组策略来控制电源管理，这样还能够节省用电的开支。
　　在Vista组策略中的电源管理，是与之前提到的可移动存储访问在同一个“管理模板”文件夹下的，其中包含了一些子文件夹，能够将策略应用到电源管理的不同方面，如图3所示。
　　
　　图3 Vista让管理员能够控制电源管理的不同方面（点击看大图）
　　“按钮设置”文件夹包含了以下几个组策略选项：
　　选择电源按钮操作（接通电源）
　　选择休眠按钮操作（接通电源）
　　选择开始菜单电源按钮操作（接通电源）
　　选择盖子开关操作（接通电源）
　　选择电源按钮操作（使用电池）
　　选择睡眠按钮操作（使用电池）
　　选择开始菜单电源按钮操作（使用电池）
　　选择盖子开关操作（使用电池）
　　为每个按钮你所可以设置的选项包括：
　　不执行操作
　　关机
　　睡眠
　　休眠
　　双击你想要配置的电源项目并选择“已启用”选项。接着，从下拉菜单中选择相应的操作，如图4所示。
　　
　　图4 你可以为无力电源和睡眠按钮、开始菜单按钮和盖子开关配置需要的操作
　　硬盘设置
　　“硬盘设置”文件夹中仅包含两项策略：
　　关闭硬盘（接通电源）
　　关闭硬盘（使用电池）
　　你可以用它们来控制当计算机处在非活动状态时Windows关闭硬盘前的时间长度。你必须以秒为单位输入需要的值，范围是1到999999。
　　通知设置
　　“通知设置”文件夹有以下策略能够让你进行配置：
　　电池电量严重短缺通知操作
　　电池电量不足通知操作
　　电池电量严重短缺通知级别
　　关闭电池电量不足用户通知
　　电池电量不足级别通知
　　通过使用这些组策略，你能够设置通知需要在什么程度会被触发。当一个级别的策略启用时，你所定制的值就代表电池容量的百分比，例如，如果你想要在“10”的时候进行通知，那么就表示当电池容量剩下10％的时候。这些设置如图5所示。
　　
　　图5 你可以设置是需要在电量不足或是严重短缺时发出通知
　　通知操作策略能够让你设定当计算机处于电量不足或严重短缺时计算机的提示。当你启用了这些策略，你就可以从如下操作中进行选择：
　　不执行操作
　　关机
　　睡眠
　　休眠
　　要“关闭电池电量不足用户通知”并不仅是像它所描述的那样：当其启用时，在电池电量达到不足或严重短缺的级别时，并不会对用户显示提示。
　　睡眠设置
　　“睡眠设置”文件夹包含了12个策略项目。每个操作则又包含了两类策略，一类是控制当你的计算机接通电源时，另一类是控制当你的计算机使用电池时的，它们分别是：
　　启用应用程序以防止睡眠转换：如果你启用了此项策略，应用程序或服务就能够防止系统进入混合睡眠、待机或是休眠模式。
　　指定系统休眠超时：如果你启用了此项策略，你就可以设置Windows须经过多长的非活动时间让系统进入休眠状态。在此可输入的值的范围是从1到999999，单位为秒。
　　唤醒计算机时需要密码：如果你启用了此项策略或不对其进行配置，那么当唤醒系统时用户就会被提示输入密码；因为，在默认情况下系统就是要求密码的。如果你不希望被提示输入密码的话，那么就就可以将此策略禁用。
　　指定系统休眠超时：如同休眠超时策略，在此，值也是以秒为单位输入。
　　关闭混合休眠：如果你启用了此项策略，系统就不会在睡眠时让其进入到休眠状态。
　　睡眠时允许待机状态（S1-S3）：如果你启用此项策略，Windows就能够在计算机睡眠时使用待机状态。如果此项策略是禁用的，那么计算机就会进入休眠状态，也就是混合睡眠模式。
　　在早期版本的Windows中，待机能够将工作保存到内存中，并让计算机处在一种省电的状态，而休眠则是将工作保存到硬盘中。Vista将待机和休眠结合成了一个状态：混合睡眠。在这样的状态下，工作会被存在硬盘中，且当计算机被唤醒时，之前工作所进行到的阶段也可以恢复。
　　然而，你也可以通过组策略启用传统的待机状态。标准的ACPI待机状态是：
　　S0：系统是开启并随时准备投入工作的。
　　S1：CPU电源是关闭的；RAM空闲但会被更新。系统可以通过鼠标、键盘等唤醒。
　　S2（并非很经常实施）：所有的设备电源关闭，就像S3那样，但RAM更新加快。
　　S3：所有的设备电源被关闭，工作都被保存到RAM中。键盘、鼠标是否能够唤醒你的系统则取决于你的控制。
　　S4：所有的硬件关闭，工作保存到硬盘中。这与休眠状态等同。
　　视频与显示设置：
　　有四项策略包含在“视频与显示设置”文件夹中，实际上是两组分别当计算机接通电源和使用电池情况下的策略设置：
　　关闭自适应显示超时：这项设置是控制在显示关闭之前计算机非活动状态的时长。Windows会自动根据用户对输入设备的设置来调节此项设置。
　　关闭显示器：如果你启用了此项策略，那么你就需要以秒为单位制定一个在显示器关闭之前计算机非活动状态的时长。
　　用户账户控制设置：
　　Vista中最为突出的一项安全改进就是用户帐户控制（UAC）。在“安全选项”文件夹中有九项策略能够用来更改此功能的具体工作方式。要更改这些设置，在“组策略对象编辑器”左边窗格的“计算机配置”中展开“Windows设置”，找到“安全设置”，接着选择“本地策略”。点击“安全选项”，如图6所示。
　　
　　图6 你可以通过组策略对UAC的具体工作方式进行控制（点击看大图）
　　以下是你在Vista中可进行的与UAC相关的策略配置：
　　用于内置Administrator帐户的管理员批准模式：如果你启用了此项策略，内置的管理员帐户就会以管理批准模式登录，这也就意味着你会在权限提升之被提示进行同意。在默认情况下，这项策略是禁用的，因此，内置的管理员帐户（不同于其它Vista中的管理帐户）就会在XP兼容模式下登录；所有的应用程序也能够在默认情况下具有完整管理员权限而运行。启用这项组策略则会增加安全性。
　　管理员批准模式中管理员的提升提示行为：在默认情况下，除了内置管理员帐户外的所有帐户都会在需要提升权限前被提示同意操作。如果你启用了此项策略，你就可以选择要求管理员提供凭据来获得提升权限或者是通过无须提示凭据或同意操作来降低安全性。此选项如图7所示。
　　
　　图7 你可以通过与管理员提示的相关操作来增强或减弱安全性
　　标准用户的提升提示行为：在默认情况下，以标准用户帐户登录都会被提示输入管理员凭据来提升权限。如果你启用了此项策略，你就可以通过当标准用户试图进行一项需要提升的权限的操作时反馈一条拒绝访问的信息来增强安全性。
　　检测应用程序安装并提示提升：如果你启用了此项策略，要求提升的权限应用程序安装包则会通过启发式的算法进行检测，并会在打开时出现需要提升权限的提示。
　　只提升签名并验证的可执行文件：这项策略能够让你通过实施PKI的签名来检测那些需要提升权限的互动式应用程序来增强安全性。在默认情况下，PKI证书链验证是没有实施的。
　　仅提升安装在安全位置的UIAccess应用程序：如果你启用了此项策略，UIAccess应用程序则不能够打开，除非它们是存储在安全位置下。安全为止包括Program Files目录以及WindowsSystem32 -_Program Files （x86）目录。这项策略在默认情况下是启用的，但你如果想要存储在其它位置的UIAccess应用程序能够运行的话，你可以将它禁用。

　　以标准用户运行所有包括管理员在内的用户：这项策略在默认情况下是启用的，并且它是Vista的UAC保护的心脏部分。如果你禁用了此项策略，所有的UAC策略就会被禁用，安全性也会大大削弱。你需要通过重新启动才能够让这些策略的设置生效。
　　提示提升时切换到安全桌面：这项策略在默认情况下是启用的；当要求权限时，桌面就会被锁定，并且没有应用程序能够解开此锁定。你可以仅用此项策略来去掉对提升时的要求，让其显示在正常的桌面上，但这样以来就会降低安全性。
　　此外还有一些其它选项……
　　我们在此仅仅是一起看了Vista中数百项新的组策略设置中的一小部分。还有一些新的设置用来控制Vista的高级安全防火墙，根据位置配置打印机，自定义DVD光盘的作者，管理网络访问保护，配置新的终端服务/远程桌面的安全功能等等。此外，新的组策略还能够为Internet Explorer 7服务。