45、利用组策略实现安全配置

利用组策略实现安全配置

在现代企业环境中，保障系统安全是至关重要的任务。通过组策略可以对用户账户控制（UAC）、无线网络和有线网络策略以及Windows防火墙等方面进行有效管理和配置，从而增强系统的安全性。下面将详细介绍这些方面的相关内容。

用户账户控制（UAC）策略设置

UAC有10个设置选项，能够对其进行灵活控制。但不建议直接关闭UAC，而应根据具体情况进行调整。以下是不同场景下的UAC策略设置建议：
|场景|建议设置|说明|
| ---- | ---- | ---- |
|企业桌面：标准用户（需要时可远程获得帮助）|1. 设置“UAC：标准用户的提升提示行为”为禁用
2. 设置“UAC：提升提示时切换到安全桌面”为禁用|减少攻击面，避免用户看到凭据对话框而请求管理员账户，同时在用户不提升权限时无需安全桌面保护|
|企业桌面：标准用户（需要时获得“肩旁协助”）|设置“UAC：标准用户的提升提示行为”为“提示输入凭据”|便于管理员在不切换用户的情况下提供帮助|
|企业桌面：受保护的管理员|将所有UAC策略设置为默认值|默认策略可使之前以管理员权限运行的应用以标准用户权限运行，减少攻击面|
|企业桌面（仅运行Windows“徽标”软件）|1. 设置“UAC：标准用户的提升请求自动拒绝”为禁用
2. 设置“UAC：提升提示时切换到安全桌面”为禁用
3. 设置“将文件和注册表写入失败虚拟化到每个用户位置”为禁用|提高性能，但前提是所有应用都是现代版的|
|企业桌面：受保护的管理员（所有应用都已签名）|设置“仅提升已签名和验证的可执行文件”为启用|确保只有Windows自带或组织明确签名和信任的应用才能以管