降龍十八掌第一式——亢龍有悔單獨保留默認的GPOs(推薦)
Default Domain Policy & Default Domain Controllers Policy
密碼帳戶鎖定和Kerberos策略設置必須在域級別實現(如果在OU級別上去做只是對計算機的本地用戶生效而不是域用戶)
還有以下設置登錄時間用完自動注銷用戶重命名(Domain)管理員帳戶和重命名(Domain)來賓帳戶這些策略也必須在域級別實現也是只有這些策略需要在域級別上設置
使用以下兩種方法
()在Default Domain Policy僅修改以上策略設置然後在其下鏈接其他GPO
()單獨保留Default Domain Policy永不修改創建並鏈接高優先級的GPO然後修改策略設置(推薦)
為什麼因為恢復損壞的默認的GPOs是個噩夢?(KB KB — KB)
不要依賴DCgpofix(這將是最後的還原工具)Dcgpofix還原默認的GPOs到干淨的安裝狀態最好的方法使用您的備份替代!
降龍十八掌第二式——飛龍在天設計OU結構
將DC放在DC所在的OU裡並單獨管理
為用戶和計算機創建單獨的OU
使用OU把用戶/計算機按照角色分組
例如
() 計算機郵件服務器終端服務器WEB服務器文件和打印服務器便攜計算機等
() 域控制器保留在默認的Domain controllers OU下(鏈接Default Domain Controller Policy GPO)
() 用戶IT職員工程師車間移動用戶等
默認情況下所有新帳戶創建在cn=users或者cn=computers(不能鏈接GPO)所以如果是Windows 域
() 在域中使用redirusrexe和redircmpexe指定所有新計算機/用戶帳戶創建時的默認OU
() 允許使用組策略管理新創建的帳戶
(使用redirusrexe和redircmpexe兩個命令為使重定向成功在目錄域中的域功能級別必須至少是windows server 這兩個工具是內置的示例所用域的名字是zxyxy讓新計算機加入到域默認注冊到TEST的OU中去進入命令提示符c:\>redircmp ou=testdc=zxydc=xy用戶的相同)
(命令創建計算機帳戶c:>net computer [url=file://computername/]\\computername[/url] /add)
降龍十八掌第三式——龍戰於野反對跨域GPO鏈接
如果你公司是多域環境絕對不要把父域的GPO鏈接到子域來使用相反亦然
將明顯的影響處理時間
() 通過線纜取GPO的時間
() 使排錯和客戶端處理GPO的速度非常慢
違反KISS規則(使問題變的簡單規則)
在一個域更改GPO設置將影響另外一個域(如果想使用相同的GPO可以先在源域上備份或導出然後在目標域做導入或利用GPMC進行復制粘貼)
使用GPMC腳本來幫助部署和維護跨域的組策略的一致性
() CreateEnvironmentFromXMLwsf
() CreateXMLFromEnvironmentwsf
(例我不是一個父域子域我是一個測試域我測試完了就鏈接到生產環境中來用測試域跟生產域沒關系測試完了GPO沒問題然後就拿到生產環境來使用可以通過復制粘貼另外還可以使用腳本CreateEnvironmentFromXMLwsf去把測試環境中所有的OU所有的GPOGPO到OU的鏈接GPO的設置全部保存成一個XML文件然後把XML的文件復制到生產的域在生產的域安裝GPMC運行CreateXMLFromEnvironmentwsf這個腳本他可以幫你從XML文件中把所有在測試環境中的OU所有GPOGPO到OU的鏈接GPO的設置甚至可以把和GPO相關的用戶帳號和組帳號全部給他創建出來所以這兩個腳本可以很平滑的把測試環境到生產環境的組策略遷移的一個過程而且很利害他不僅可以遷組策略對象還可以把OU給建出來把組策略對象給建出來他會自動的把組策略對象給鏈接到OU還可以自動創建跟組策略相關的帳號例用戶帳號)
降龍十八掌第四式——潛龍勿用謹慎使用強制/禁止替代/阻止繼承回環處理模式
增加了處理時間增加了排錯的難度
可以在域級別強制一個標准策略但是不要使用阻止繼承
回環處理模式會給排錯帶來負擔但是有特定的場景使用
() 通常用於保證等於的每一個用戶都能獲得相同的配置
() 用於特定的計算機(例如公共場所的電腦圖書館還有教室)需要基於使用的計算機來修改用戶策略
() 經常用戶終端服務實現
() KB
降龍十八掌第五——利涉大川使一切簡單化
考慮以下幾點
() 每增加一個GPO都會增加復雜性(默認情況Client最多可處理個GPO)
() 限制誰能創建/修改/鏈接GPOs(委派)
() 回環處理/強制/阻止繼承使事情變得復雜
KISS如果可能的話使用以下三個層次的GPO
() 默認的域策略(用戶帳戶設置)
() 一個基線的安全策略(強制應用到域中的每個用戶每台計算機)
() 一個指定OU的策略(專門針對某個OU包含一些唯一設置的GPO)
反對為每一個GPO設置安全過濾器(安全過濾器的好處是GPO只對指定的用戶或組生效不是非常必要的話不要用安全過濾器同樣會增加處理GPO的負擔的)
僅僅對每個GPO中需要的設置做修改其他保留默認狀態(未配置)
降龍十八掌第六式——鴻漸於陸在GPMC中進行所有的操作
使用GPMC的RSOP工具
文檔化GPO的設置
進行委派
所有的啟用禁用鏈接強制等(使用它禁用所有GPO中不使用的部分用戶或計算機—略微的改進處理時的性能)
在測試環境和生產環境進行遷移
和GPMC一起安裝很多的腳本(c:\programfiles\gpmc\scripts)
降龍十八掌第七——突如其來使用GPO規劃工具
所有的GPO設置參考
x?familyid=cfdadecdbc&displaylang=en
XP SPspecific(詳細)
詳細指南
/mngxpspmspx
降龍十八掌第八式——震驚百裡即使沒有改變設置也強制重新應用策略
使用於當用戶是客戶計算機的本地管理員組的成員的場景(要了解組策略的應用模式首先用戶登錄後要應用GPO的策略設置以後就會有這樣的一個問題如果你不對這個GPO裡的策略進行任何修改那麼客戶端就不會再應用因為客戶端會檢測GPO的版本號只有對GPO更改過版本號才不同客戶端才會去下載應用如果沒有改過版本還一樣客戶端就不會再去下載重新刷新這個策略用強制策略處理可以把修改的一些策略刷新)
()在組策略應用以後覆蓋指定的設置
()默認情況下組策略只會檢查有沒有新的策略設置可用然後在後台刷新
強制策略再次處理
()計算機或用戶配置> 管理模板> 系統> 組策略> [每一種策略的類型]策略處理(需要啟用以下節點注冊表IE軟件安裝文件夾重定向腳本安全性IPSec無線EFS磁盤配額)
()每個節點(選擇啟用即使尚未更改組策略對象也要進行處理)
處理每個節點考慮禁用允許通過慢速網絡連接進行處理例如軟件安裝禁用掉客戶端就不會裝這個軟件
降龍十八掌第九式——或躍在淵使Windows XP同步處理組策略
Windows XP默認是異步處理組策略
無需等網絡響應(XP應用過GPO就會在本地有個緩存的)這種異步處理方式大大縮短了XP客戶端所需要的引導與登錄時間可是處理文件夾重定項等都會有延遲這將會影響到排錯
Windows 默認是同步處理組策略
我們應該
()不想讓操作系統來決定組策略的處理方式
()也不想其它因素影響排錯
這個策略的位置在計算機配置>管理模板>系統>登錄>計算機啟動和登錄時總是等待網絡(這個啟用後XP就使用同步處理的方式這樣應用GPO就不會有延遲了)
降龍十八掌第十式——神龍擺尾使用GPO命名慣例
保證GPO的一致性並保證容易理解(創建GPO的管理員越多一致性越差)
使用簡潔的名字描述GPO的意圖
微軟使用的命名慣例
三個關鍵字符
范圍(end user最終用戶worldwide全部IT)
目的
誰管理
示例ITofficeITG
降龍十八掌第十一式——魚越於淵為新的帳戶指定策略
默認情況下所有新的帳戶在cn=Users或cn=Computers(GPO不能鏈接到這些容器)
如果有Windows 域
()在域中使用redirusrexe和redircmpexe指定所有新計算機/用戶帳戶創建時的默認OU
()允許使用組策略管理新創建的帳戶
要求Windows 域的功能級別為Windows
參考KB#
降龍十八掌第十二式——見龍在田怎麼才能阻止用戶訪問特定的驅動器(EFGHetc)?
組策略中包含的設置
用戶配置>管理模板>windows組件>windows資源管理器>防止從我的電腦訪問這些驅動器(要不就是所有要不就是ABCD四個)
不能禁用其他的驅動器
自定義管理模板或使用GPDriveOptions
降龍十八掌第十三式——雙龍取水密碼存儲安全
windows 使用兩種不同的密碼表示方法(通常稱為哈希)生成並存儲用戶帳戶密碼
()當您將用戶帳戶的密碼設置或更改為包含少於位字符的密碼時windows會為此密碼同時生成LAN Manager哈希(LM哈希)和windows NT哈希(NT哈希)
()這些哈希存儲在本地安全帳戶管理器(SAM)數據庫或Active Directory中
()與NT哈希相比LM哈希相對較弱因此容易遭到暴力攻擊
()考慮阻止windows 存儲密碼的LM哈唏
不允許存儲LM哈希值(windows XP或windows server)
()計算機配置>windows設置>安全設置>本地策略>安全選項>網絡安全不要在下次更改密碼時存儲LAN Manager哈希值
()有些產品或者應用程序依賴於LM哈唏(Winx沒有安裝活動目錄客戶端和第三方SMB客戶端例samba)
參考KB
降龍十八掌第十四——時乘六龍清空上次登錄的用戶名
如果便攜電腦被盜盜竊者需要猜測兩個部分(用戶名密碼)
計算機配置>windows設置>本地策略>安全選項>交互式登錄不顯示上次登錄名
具體應用場景台式機設置不顯示上次登錄名的必要性小點主要是針對便攜式計算機可以給便攜式計算機建個OU設置不顯示上次登錄用戶名的策略
降龍十八掌第十五式——密雲不雨面對密碼猜測
使用清空上次登錄的用戶名技巧
最好能布置監視的工具(最佳技巧)
()不要實現帳戶鎖定策略(別人就可以利用腳本進行不停的猜測密碼這就會形成一種拒絕服務攻擊讓所有域用戶帳戶鎖定)集中在面對密碼猜測的響應
()如果可能在特定的周期內對大量的密碼猜測讓系統自動響應(找出猜密碼的人而進一步做處理)
如果沒有監視工具
()考慮使用帳戶鎖定策略
()增加了管理上的負擔
()接受DOS攻擊(通過隱藏上次的登錄名減少攻擊)
降龍十八掌第十六式——損則有孚創建登錄警報
通常用於實現通知用戶他們使用的系統屬於公司並且他們系統被監視
計算機配置>windows設置>本地策略>安全選項>交互登錄用戶試圖登錄時的消息文字
消息文字中提示的內容可以做也可以不去做一但是使用消息文字最起碼可以讓你的老板知道您正在做您的份內工作
降龍十八掌第十七式——履霜冰至嚴格控制Default Domain controllers Policy用戶權利
位置Default Domain Controllers Policy>計算機配置>Windows設置>安全設置>本地策略>用戶權限指派
降龍十八掌第十八式——抵羊觸藩限制匿名枚舉
匿名枚舉黑客不用提交用戶名和密碼他只要能通過命名管道(IPC$)能連闖上來他就可以通過匿名的方式列出來我這電腦有那些用戶有那些共享這就對域控制器非常危險的
匿名枚舉允許非授權的客戶端請求信息
()域成員列表
()列出可用的共享
Default Domain Controllers Policy>計算機配置>Windows設置>安全設置>本地策略>安全選項>網絡訪問
()允許匿名SID/名稱轉換(防止用戶使用已知的SID猜測管理員的用戶名)
()不允許SAM帳戶的匿名枚舉(防止匿名用戶從SAM數據庫收集信息)
()不允許SAM帳戶和共享的匿名枚舉(防止匿名用戶從SAM數據庫收集信息並枚舉共享)
()讓每個人的權限應用於匿名用戶(用戶控制是否讓匿名用戶具有和everyone一樣的權利)
()限制匿名訪問的命名管道/共享(控制匿名用戶是否能訪問共享資源)
(以上為使用組策略的一些技巧其中的降龍十八掌希望對大家有所幫助下面我在奉獻三招獨孤九劍)
獨孤九劍第一招總訣式關機清理頁面文件
頁面文件中存放著很多有用的信息像臨時倉庫
創建/清理硬盤上的虛擬內存頁面文件將增加開機和關機時間
這是一個安全考慮(建議無論是DC還是客戶端都應啟用這個策略)
位置計算機配置>Windows設置>安全設置>本地策略>安全選項>關機清除虛擬內存頁面文件
獨孤九劍第二招是破劍式打開審核和更改日志文件大小
改變所有日志文件大小為MB+
()計算機配置>Windows設置>安全設置>事件日志>[日志名字]日志最大值
()為每個節點設置保持方法建議方法不要覆蓋事件(手動清除日志)
禁用如果無法記錄安全審核則立即關閉系統(例Windows設置的日志大小是M經過一段時間日志寫滿了那服務器就會自動關機的)
計算機配置>Windows設置>安全設置>本地策略>安全選項>審核如果無法記錄安全審核則立即關閉系統
最佳實踐
(只有啟用帳戶登錄事件才記錄用戶從客戶端登錄的事件)
獨孤九劍第三招破刀式強制使用LM離開您的網絡
網絡中使用哈唏做身份驗證的若干種方法
()LM非常脆弱很容易被sniffer捕獲到口令
()NTLM v比LM安全但仍然容易被攻擊
()NTLM v較安全但是不被以前的客戶端支持
()Kerberos非常安全不被以前的客戶端支持
有些產品依賴於LM哈唏
()Winx(沒有安裝活動目錄客戶端)
()第三方的SMB客戶端(samba)
設置合適的LM兼容級別
Default Domain Controllers Policy>計算機配置>Windows設置>安全設置>本地策略>安全選項>網絡安全LAN Manager身份驗證級別(建議設定不在支持LM)
參考KB
From:http://tw.wingwit.com/Article/os/xtgl/201311/9541.html
