适用范围

此参考主题介绍安全设置的常见方案、体系结构和过程。

安全策略设置是管理员在计算机上或多台设备上配置的规则，用于保护设备或网络上的资源。 本地组策略编辑器管理单元的安全设置扩展允许将安全配置定义为组策略对象 (GPO) 的一部分。 GPO 链接到 Active Directory 容器（如站点、域或组织单位），它们使你能够管理多个设备的安全设置，这些设备从加入域的任何设备。 安全设置策略用作整体安全实现的一部分，以帮助保护组织中的域控制器、服务器、客户端和其他资源。

安全设置可以控制：

若要管理多个设备的安全配置，可以使用以下选项之一：

有关管理安全配置的详细信息，请参阅 管理安全策略设置。

本地组策略编辑器的安全设置扩展包括以下类型的安全策略：

帐户策略。 这些策略在设备上定义;它们会影响用户帐户与计算机或域的交互方式。 帐户策略包括以下类型的策略：

本地策略。 这些策略适用于计算机，并包括以下类型的策略设置：

审核策略。 指定控制安全事件记录到计算机上的安全日志的安全设置，并指定要记录 (成功、失败或两者) 的安全事件类型。

注意

对于运行 Windows 7 及更高版本的设备，我们建议使用“高级审核策略配置”下的设置，而不是“本地策略”下的“审核策略设置”。

用户权限分配。 指定在设备上具有登录权限或特权的用户或组

安全选项。 指定计算机的安全设置，例如管理员和来宾帐户名称;访问软盘驱动器和 CD-ROM 驱动器;安装驱动程序;登录提示;等等。

具有高级安全性的 Windows 防火墙。 使用有状态防火墙指定设置来保护网络上的设备，该防火墙允许确定允许哪些网络流量在设备和网络之间传递。

网络列表管理器策略。 指定可用于配置网络在一个设备或多个设备上列出和显示方式的不同方面的设置。

公钥策略。 除了某些证书路径和服务设置外，还指定用于控制加密文件系统、数据保护和 BitLocker 驱动器加密的设置。

软件限制策略。 指定设置以标识软件并控制其在本地设备、组织单位、域或站点上运行的能力。

应用程序控制策略。 指定设置，以根据文件的唯一标识控制哪些用户或组可以在组织中运行特定应用程序。

本地计算机上的 IP 安全策略。 指定设置，以确保使用加密安全服务通过 IP 网络进行专用安全通信。 IPsec 建立从源 IP 地址到目标 IP 地址的信任和安全性。

高级审核策略配置。 指定用于控制将安全事件记录到设备上的安全日志的设置。 “高级审核策略配置”下的设置可以更好地控制要监视的活动，而不是“本地策略”下的“审核策略”设置。

下表列出了支持 Windows 安全策略设置和审核的 Windows 版本：

Windows 安全策略设置和审核许可证权利由以下许可证授予：

有关 Windows 许可的详细信息，请参阅 Windows 许可概述。

用于组策略的安全设置扩展提供基于策略的集成管理基础结构，以帮助你管理和强制实施安全策略。

可以通过组策略和Active Directory 域服务 (AD DS) 来定义安全设置策略并将其应用于用户、组、网络服务器和客户端。 可以 (Microsoft Web (IIS) 服务器) 创建具有相同功能的一组服务器，然后使用组策略对象将常见安全设置应用于组。 如果以后将更多服务器添加到此组，则会自动应用许多常见安全设置，从而减少部署和管理工作。

安全设置策略用于管理安全性的以下方面：帐户策略、本地策略、用户权限分配、注册表值、文件和注册表访问控制列表 (ACL) 、服务启动模式等。

作为安全策略的一部分，可以使用专门为组织中的各种角色配置的安全设置策略（例如域控制器、文件服务器、成员服务器、客户端等）创建 GPO。

可以创建组织单位 (OU) 结构，根据设备的角色对设备进行分组。 使用 OU 是分离网络中不同角色的特定安全要求的最佳方法。 此方法还允许将自定义安全模板应用于每个服务器或计算机类。 创建安全模板后，为每个 OU 创建新的 GPO，然后将安全模板 (.inf 文件) 导入新 GPO。

将安全模板导入 GPO 可确保应用 GPO 的任何帐户在刷新组策略设置时自动接收模板的安全设置。 在工作站或服务器上，安全设置定期刷新， (随机偏移量最多为 30 分钟) ;在域控制器上，如果应用的任何 GPO 设置发生更改，则每隔几分钟就会发生一次此过程。 无论是否发生任何更改，设置也会每 16 小时刷新一次。

注意

这些刷新设置因操作系统版本而异，并且可以配置。

通过将基于 组策略 的安全配置与委派管理结合使用，可以确保将特定安全设置、权限和行为应用于 OU 中的所有服务器和计算机。 此方法可以轻松地使用将来所需的任何其他更改来更新多个服务器。

对于属于 Windows Server 2008 或更高版本域成员的设备，安全设置策略依赖于以下技术：

Active Directory 域服务 (AD DS)

基于 Windows 的目录服务 AD DS 在网络上存储有关对象的信息，并使此信息可供管理员和用户使用。 通过使用 AD DS，可以从单个位置查看和管理网络上的网络对象，并且用户可以使用单一登录访问允许的网络资源。

组策略

AD DS 中的基础结构，用于在运行 Windows Server 的设备上启用基于目录的配置管理用户和计算机设置。 通过使用组策略，可以定义用户组和计算机组的配置，包括策略设置、基于注册表的策略、软件安装、脚本、文件夹重定向、远程安装服务、Internet Explorer 维护和安全性。

域名系统 (DNS)

用于在 Internet 和专用 TCP/IP 网络上查找域名的分层命名系统。 DNS 提供用于将 DNS 域名映射到 IP 地址和将 IP 地址映射到域名的服务。 此服务允许用户、计算机和应用程序查询 DNS，以通过完全限定的域名而不是 IP 地址指定远程系统。

Winlogon

Windows 操作系统的一部分，提供交互式登录支持。 Winlogon 是围绕交互式登录模型设计的，该模型由三个组件组成：Winlogon 可执行文件、凭据提供程序和任意数量的网络提供程序。

设置

在干净安装或从早期版本的 Windows Server 升级期间，安全配置与操作系统设置过程交互。

安全帐户管理器 (SAM)

登录过程中使用的 Windows 服务。 SAM 维护用户帐户信息，包括用户所属的组。

本地安全机构 (LSA)

一个受保护的子系统，用于对用户进行身份验证并将其登录到本地系统。 LSA 还维护有关系统上本地安全的各个方面的信息，统称为系统的本地安全策略。

Windows Management Instrumentation (WMI)

WMI 是 Microsoft Windows 操作系统的一项功能，是 Microsoft 实现 Web-Based 企业管理 (WBEM) ，这是开发用于访问企业环境中管理信息的标准技术的行业举措。 WMI 提供对托管环境中对象相关信息的访问。 通过 WMI 和 WMI 应用程序编程接口 (API) ，应用程序可以在公共信息模型 (CIM) 存储库和由各种类型的提供程序维护的动态信息中查询和更改静态信息。

策略 (RSoP) 的结果集

增强的组策略基础结构，它使用 WMI，以便更轻松地规划和调试策略设置。 RSoP 提供公共方法，用于公开扩展组策略在假设情况下将执行的操作，以及扩展在实际情况中执行的操作。 这些公共方法允许管理员轻松确定适用于用户或设备的策略设置组合，或者将应用于用户或设备。

服务控制管理器 (SCM)

用于配置服务启动模式和安全性。

注册表

用于配置注册表值和安全性。

文件系统

用于配置安全性。

文件系统转换

当管理员将文件系统从 FAT 转换为 NTFS 时，将设置安全性。

Microsoft 管理控制台 (MMC)

安全设置工具的用户界面是本地组策略编辑器 MMC 管理单元的扩展。

本地组策略编辑器的安全设置扩展是安全Configuration Manager工具集的一部分。 以下组件与安全设置相关联：配置引擎;分析引擎;模板和数据库接口层;设置集成逻辑;和 secedit.exe 命令行工具。 安全配置引擎负责处理运行该引擎的系统的安全配置编辑器相关安全请求。 分析引擎分析给定配置的系统安全性并保存结果。 模板和数据库接口层处理内部存储) 从模板或数据库 (读取和写入请求。 本地组策略编辑器的安全设置扩展处理来自基于域或本地设备的组策略。 安全配置逻辑与安装程序集成并管理系统安全性，以便干净安装或升级到更新的 Windows 操作系统。 安全信息存储在模板 (.inf 文件) 或 Secedit.sdb 数据库中。

下图显示了安全设置和相关功能。

Scesrv.dll

提供核心安全引擎功能。

Scecli.dll

提供安全配置引擎的客户端接口，并向 RSoP) (策略的结果集提供数据。

Wsecedit.dll

本地组策略编辑器的安全设置扩展。 scecli.dll 加载到 wsecedit.dll 以支持安全设置用户界面。

Gpedit.dll

本地组策略编辑器 MMC 管理单元。

本地组策略编辑器的安全设置扩展是安全Configuration Manager工具的一部分，如下图所示。

安全设置体系结构

安全设置配置和分析工具包括安全配置引擎，该引擎提供本地计算机 (非域成员) 以及基于组策略的安全设置策略配置和分析。 安全配置引擎还支持创建安全策略文件。 安全配置引擎的主要功能是 scecli.dll 和 scesrv.dll。

以下列表介绍了安全配置引擎的这些主要功能以及其他安全设置相关功能。

scesrv.dll

此 .dll 文件托管在 services.exe 中，并在本地系统上下文中运行。 scesrv.dll 提供核心安全Configuration Manager功能，例如导入、配置、分析和策略传播。

Scesrv.dll 通过调用相应的系统 API（包括 LSA、SAM 和注册表）来执行各种与安全相关的系统参数的配置和分析。

Scesrv.dll 公开导入、导出、配置和分析等 API。 它会检查请求是否通过 LRPC (Windows XP) 发出，如果不是，则调用失败。

使用以下方法在部分安全设置扩展之间进行通信：

在域控制器上，scesrv.dll 接收对 SAM 和 LSA 所做的更改的通知，这些更改需要跨域控制器同步。 Scesrv.dll 使用进程内 scecli.dll 模板修改 API 将这些更改合并到默认域控制器策略 GPO 中。 Scesrv.dll 还会执行配置和分析操作。

Scecli.dll

此 Scecli.dll 是用于 scesrv.dll 的客户端接口或包装器。 scecli.dll 加载到 Wsecedit.dll 以支持 MMC 管理单元。安装程序使用它来配置安装程序 API .inf 文件安装的文件、注册表项和服务的默认系统安全性和安全性。

安全配置和分析用户界面的命令行版本 secedit.exe 使用 scecli.dll。

Scecli.dll 实现组策略的客户端扩展。

Scesrv.dll 使用 scecli.dll 从 SYSVOL 下载适用的组策略文件，以便将组策略安全设置应用到本地设备。

Scecli.dll 将安全策略的应用程序记录到 WMI (RSoP) 。

Scesrv.dll 策略筛选器在对 SAM 和 LSA 进行更改时使用 scecli.dll 来更新默认域控制器策略 GPO。

Wsecedit.dll

组策略对象编辑器管理单元的安全设置扩展。 可以使用此工具在站点、域或组织单位的 组策略 对象中配置安全设置。 还可以使用安全设置将安全模板导入 GPO。

Secedit.sdb

此 Secedit.sdb 是用于策略传播的永久系统数据库，包括用于回滚的持久设置表。

用户数据库

用户数据库是管理员为配置或分析安全性而创建的系统数据库以外的任何数据库。

.Inf 模板

这些模板是包含声明性安全设置的文本文件。 在配置或分析之前，它们将加载到数据库中。 组策略安全策略存储在域控制器的 SYSVOL 文件夹中的 .inf 文件中，这些策略 (使用文件复制) 下载，并在策略传播期间合并到系统数据库中。

对于管理组策略的已加入域的设备，安全设置将与组策略一起处理。 并非所有设置都是可配置的。

当计算机启动且用户登录时，将按以下顺序应用计算机策略和用户策略：

网络启动。 远程过程调用系统服务 (RPCSS) 和多个通用命名约定提供程序 (MUP) 启动。

为设备获取组策略对象的有序列表。 该列表可能取决于以下因素：

应用计算机策略。 这些设置位于已收集列表中的“计算机配置”下。 此过程默认为同步过程，按以下顺序进行：本地、站点、域、组织单位、子组织单位等。 处理计算机策略时不显示任何用户界面。

启动脚本运行。 默认情况下，这些脚本是隐藏和同步的;每个脚本必须在下一个脚本开始之前完成或超时。 默认超时为 600 秒。 可以使用多个策略设置来修改此行为。

用户按 Ctrl+Alt+DEL 登录。

验证用户后，将加载用户配置文件;它受有效的策略设置控制。

为用户获取组策略对象的有序列表。 该列表可能取决于以下因素：

应用用户策略。 这些设置是收集列表中的“用户配置”下的设置。 默认情况下，这些设置是同步的，按以下顺序进行：本地、站点、域、组织单位、子组织单位等。 处理用户策略时，不显示任何用户界面。

登录脚本运行。 默认情况下，基于 组策略 的登录脚本是隐藏和异步的。 用户对象脚本最后运行。

将显示由组策略规定的操作系统用户界面。

组策略 对象 (GPO) 是由全局唯一标识符 (GUID) 标识的虚拟对象，存储在域级别。 GPO 的策略设置信息存储在以下两个位置：

组策略 Active Directory 中的容器。

组策略容器是包含 GPO 属性的 Active Directory 容器，例如版本信息、GPO 状态以及其他组件设置列表。

(SYSVOL) 域的系统卷文件夹中组策略模板。

组策略模板是一个文件系统文件夹，其中包含由 .admx 文件指定的策略数据、安全设置、脚本文件和有关可供安装的应用程序的信息。 组策略模板位于域>\策略子文件夹中的