继上篇文章Windows Vista组策略中新事物的探索之后,我们接着探索windows vista组策略中的新事物,具体内容如下所述。
睡眠设置
“睡眠设置”文件夹包含了12个策略项目。每个操作则又包含了两类策略,一类是控制当你的计算机接通电源时,另一类是控制当你的计算机使用电池时的,它们分别是:
启用应用程序以防止睡眠转换:如果你启用了此项策略,应用程序或服务就能够防止系统进入混合睡眠、待机或是休眠模式。
指定系统休眠超时:如果你启用了此项策略,你就可以设置Windows须经过多长的非活动时间让系统进入休眠状态。在此可输入的值的范围是从1到999999,单位为秒。
唤醒计算机时需要密码:如果你启用了此项策略或不对其进行配置,那么当唤醒系统时用户就会被提示输入密码;因为,在默认情况下系统就是要求密码的。如果你不希望被提示输入密码的话,那么就就可以将此策略禁用。
指定系统休眠超时:如同休眠超时策略,在此,值也是以秒为单位输入。
关闭混合休眠:如果你启用了此项策略,系统就不会在睡眠时让其进入到休眠状态。
睡眠时允许待机状态(S1-S3):如果你启用此项策略,Windows就能够在计算机睡眠时使用待机状态。如果此项策略是禁用的,那么计算机就会进入休眠状态,也就是混合睡眠模式。
在早期版本的Windows中,待机能够将工作保存到内存中,并让计算机处在一种省电的状态,而休眠则是将工作保存到硬盘中。Vista将待机和休眠结合成了一个状态:混合睡眠。在这样的状态下,工作会被存在硬盘中,且当计算机被唤醒时,之前工作所进行到的阶段也可以恢复。
然而,你也可以通过组策略启用传统的待机状态。标准的ACPI待机状态是:
S0:系统是开启并随时准备投入工作的。
S1:CPU电源是关闭的;RAM空闲但会被更新。系统可以通过鼠标、键盘等唤醒。
S2(并非很经常实施):所有的设备电源关闭,就像S3那样,但RAM更新加快。
S3:所有的设备电源被关闭,工作都被保存到RAM中。键盘、鼠标是否能够唤醒你的系统则取决于你的控制。
S4:所有的硬件关闭,工作保存到硬盘中。这与休眠状态等同。
视频与显示设置:
有四项策略包含在“视频与显示设置”文件夹中,实际上是两组分别当计算机接通电源和使用电池情况下的策略设置:
关闭自适应显示超时:这项设置是控制在显示关闭之前计算机非活动状态的时长。Windows会自动根据用户对输入设备的设置来调节此项设置。
关闭显示器:如果你启用了此项策略,那么你就需要以秒为单位制定一个在显示器关闭之前计算机非活动状态的时长。
用户账户控制设置:
Vista中最为突出的一项安全改进就是用户帐户控制(UAC)。在“安全选项”文件夹中有九项策略能够用来更改此功能的具体工作方式。要更改这些设置,在“组策略对象编辑器”左边窗格的“计算机配置”中展开“Windows设置”,找到“安全设置”,接着选择“本地策略”。点击“安全选项”,如图6所示。
图6 你可以通过组策略对UAC的具体工作方式进行控制
以下是你在Vista中可进行的与UAC相关的策略配置:
用于内置Administrator帐户的管理员批准模式:如果你启用了此项策略,内置的管理员帐户就会以管理批准模式登录,这也就意味着你会在权限提升之被提示进行同意。在默认情况下,这项策略是禁用的,因此,内置的管理员帐户(不同于其它Vista中的管理帐户)就会在XP兼容模式下登录;所有的应用程序也能够在默认情况下具有完整管理员权限而运行。启用这项组策略则会增加安全性。
管理员批准模式中管理员的提升提示行为:在默认情况下,除了内置管理员帐户外的所有帐户都会在需要提升权限前被提示同意操作。如果你启用了此项策略,你就可以选择要求管理员提供凭据来获得提升权限或者是通过无须提示凭据或同意操作来降低安全性。此选项如图7所示。
图7 你可以通过与管理员提示的相关操作来增强或减弱安全性
标准用户的提升提示行为:在默认情况下,以标准用户帐户登录都会被提示输入管理员凭据来提升权限。如果你启用了此项策略,你就可以通过当标准用户试图进行一项需要提升的权限的操作时反馈一条拒绝访问的信息来增强安全性。
检测应用程序安装并提示提升:如果你启用了此项策略,要求提升的权限应用程序安装包则会通过启发式的算法进行检测,并会在打开时出现需要提升权限的提示。
只提升签名并验证的可执行文件:这项策略能够让你通过实施PKI的签名来检测那些需要提升权限的互动式应用程序来增强安全性。在默认情况下,PKI证书链验证是没有实施的。
仅提升安装在安全位置的UIAccess应用程序:如果你启用了此项策略,UIAccess应用程序则不能够打开,除非它们是存储在安全位置下。安全为止包括Program Files目录以及Windows\System32\r-_\Program Files (x86)目录。这项策略在默认情况下是启用的,但你如果想要存储在其它位置的UIAccess应用程序能够运行的话,你可以将它禁用。
以标准用户运行所有包括管理员在内的用户:这项策略在默认情况下是启用的,并且它是Vista的UAC保护的心脏部分。如果你禁用了此项策略,所有的UAC策略就会被禁用,安全性也会大大削弱。你需要通过重新启动才能够让这些策略的设置生效。
提示提升时切换到安全桌面:这项策略在默认情况下是启用的;当要求权限时,桌面就会被锁定,并且没有应用程序能够解开此锁定。你可以仅用此项策略来去掉对提升时的要求,让其显示在正常的桌面上,但这样以来就会降低安全性。
此外还有一些其它选项……
我们在此仅仅是一起看了Vista中数百项新的组策略设置中的一小部分。还有一些新的设置用来控制Vista的高级安全防火墙,根据位置配置打印机,自定义DVD光盘的作者,管理网络访问保护,配置新的终端服务/远程桌面的安全功能等等。此外,新的组策略还能够为Internet Explorer 7服务。
windows vista组策略中的新事物远远不止这些,更多有关组策略的功能还有待于管理员去探索。
【编辑推荐】