進階篇
一、管理模板
管理模板的修改實際上是修改註冊表。
所有基於註冊表的組策略設定存爲Registry.pol,放在Sysvol文件夾中。
.adm文件實際上提出一種供企業管理員管理客戶端註冊表/應用程序配置的方法。
二、GMMC
安全篩選器
缺省:Authenticated Users
WMI篩選器
複製、粘貼組策略
組策略的遷移和遷移表
u 遷移需求(跨域)
? 試驗環境—生產環境
? 生產環境1—生產環境2
u 遷移解決方案
? 複製+粘貼
? 備份+導入
u 挑戰
? 安全主體(用戶、組、計算機)
? UNC
u 遷移表(*.migtable)
? 影射源GPO中安全主體、UNC到目標GPO中新值的文件
遷移表編輯器
Mtedit.exe
或
GPMC控制檯
右鍵單擊“域”,下拉菜單中選擇“打開遷移表編輯器”。
右擊“組策略對象”,下拉菜單中選擇“打開組策略編輯器”。
使用腳本”createmigrationtable.wsf”。
RSoP(resultant set of group policy)策略的結果集
客戶對於組策略的第一改進要求
兩種模式
記錄模式
計劃模式
工具
mmc中的組策略結果集
%systemroot%\system32\gpresult.exe
GPMC
組策略結果
組策略建模
高級查看
腳本化GPO操作
在program files\gpmc\scripts中
三、組策略安全設置
帳戶策略
l 密碼策略
? 定義密碼的長度、複雜度、歷史密碼以及存留週期等
? 注意:密碼策略只能設置在域級,設置在ou上的密碼策略只對OU所影響的計算機的本地用戶有效
l 帳戶鎖定策略
? 防止***者惡意猜測用戶密碼的保護措施
? 注意:默認管理員不會被鎖定
l Kerberos策略
? 定義票據策略(僅適用於域環境)
軟件限制策略
? 不能替代防病毒軟件
? 優先級
哈希、證書、路徑、區域規則
四、組策略最佳實踐和技巧
http://bbs.51cto.com/thread-408278-1-1.html
技巧#1單獨保留默認的GPOs
Default domain policy & default domain controllers policy
密碼、帳戶鎖定和kerberos策略設置必須在域級別實現
還有以下設置:登陸時間用完自動註銷用戶,重命名(Domain)管理員賬戶和重命名(Domain)來賓帳戶。
兩種方法:
#1:在Default Domain Policy僅修改以上策略設置,然後在其下鏈接其他GPO
#2:單獨保留Default Domain policy-永不修改,創建並鏈接高優先級的GPO,然後修改策略設置。
爲什麼是噩夢?KB226243,KB324800,KB267553
不要依賴DCgpofix(這將是最後的還原工具),最好使用您的備份替代
技巧#2設計您的OU結構
將DC放在DC所在的OU並單獨管理
爲用戶和計算機創建單獨的OU
使用OU把用戶/計算機按照角色分組
默認情況下,所有新帳戶創建在cn=users或者cn=computers(不能鏈接GPO)
Redirusr.exe 重定向用戶到指定OU
Redircmp.exe 重定向計算機到指定OU
如:redircmp ou=testou,dc=test,dc=com
注意域功能級別至少是2003才能生效
測試:net computer \\p1 /add,可以發現已重定向至testou
技巧#3:反對跨域GPO鏈接
將明顯的影響處理時間
通過線纜取GPO的時間
使排錯和客戶端處理GPO的速度非常慢
違反KISS規則keep it simple,stupid
在一個域更改GPO設置將將影響另外一個域
使用GPMC腳本來幫助部署和維護跨域的組策略的一致性
CreateEnvironmentFromXML.wsf
CreateXMLFromEnvironment.wsf
技巧#4:謹慎使用強制/禁止替代/阻止繼承、迴環處理模式
增加了處理時間,增加了排錯的難度
您可以在域級別強制一個標準策略,但是不要使用組織繼承
迴環處理模式會給配錯帶來負擔,但是有特定的場景使用
通過用於保證等於的每一個用戶都能獲得相同的配置
用於特定的計算機(例如:公共場所的電腦,圖書館,還有教室)
您需要基於使用的計算機來修改用戶策略
經常用戶終端服務實現
在組策略中,計算機配置-管理模板-系統-組策略-用戶組策略環回模式
技巧#5:使一切簡單化
考慮以下幾點:
每增加一個GPO都會增加複雜度
限制誰能創建/修改/鏈接GPOs(委派)
迴環處理/強制/阻止繼承使事情
KISS:如果可能的話,使用一下三個層次的GPO
默認的域策略
用戶帳戶設置
一個基線的安全策略(強制)
應用到域中的每個用戶,每臺計算機
一個指定OU的策略
專門針對某個OU包含一些唯一設置的GPO
反對爲每一個GPO設置安全過濾器
僅僅對每個GPO中需要的設置做修改,其它保留默認狀態(未配置)
技巧#6:在GPMC中進行所有的操作
使用GPMC的RSOP工具
文檔化GPO的設置
進行委派
所有的啓用、禁用、鏈接、強制等
使用它禁用所有的GPO中不使用的部分(用戶或計算機)-略微的改進處理時的性能
在測試環境和生產環境進行遷移
和GPMC一起安裝的腳本(c:\programfiles\gpmc\scripts)
技巧#7使用GPO規劃工具
1、所有的GPO設置參考
[url=http://www.microsoft.com/downloads/details.aspx?familyid=][color=#0008ec]http://www.microsoft.com/downloads/details.aspx?familyid=[/color][/url]7821c32f-da15-438d-8e48-45915cd2bc14&displaylang=en
2、XP SP2-specific(詳細):
詳細指南:
[url=http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/mangxpsp2/mngxpsp2.mspx][color=#0008ec]http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/mangxpsp2/mngxpsp2.mspx[/color][/url]
技巧#8:即使沒有改變設置也強制重新應用策略
使用於當用戶是客戶計算機的本地管理員的成員的場景
在組策略應用以後覆蓋指定的設置
默認情況下,組策略只會檢查有沒有新的策略設置可用,然後在後臺刷新。
強制策略再次處理:
計算機或用戶配置>管理模板>系統>組策略>[每一種策略的類型]策略處理
技巧#9:使windows xp同步處理組策略
Windows xp默認是異步處理組策略
Windows 2000默認是同步處理組策略
我的看法:
我不想讓操作系統來決定組策略的處理方式
我並不想其它因素影響排錯
計算機配置-管理模版-系統-登陸-計算機啓動過河登陸時總是等待網絡
技巧#10:使用GPO命名慣例
保證GPO的一致性並保證容易理解
創建GPO的管理員越多,一致性越差
使用簡潔的名字描述GPO的意圖
微軟使用的命名慣例:
三個關鍵字符
範圍(end user ,worldwide,IT)
目的
誰管理
示例:“IT-office2003-ITG”
技巧#11:爲新的賬戶制定策略
默認情況下,所有新的賬戶在cn=users或cn=computers
不能鏈接gpos到這些容器
技巧#12:我怎麼樣阻止用戶寫數據到usb設備?
創建自定義ADM模版
限制windows xp/sp2:(將對設備“寫保護“)
Class machine
Category “USB Storage”
Policy “write protect usb storage”
Keyname “system\currentcontrolset\control\storagedevicepolicies”
Valvename “writeprotect”
Valveon numeric 1
Valveoff numeric 0
End policy
End category
禁止讀寫
。。。。
技巧#13我怎樣才能阻止用戶訪問特定的驅動器(E:、F:、G:、H.etc)?
組策略設置
用戶配置-管理模版-windows組件-windows資源管理器-防止從“我的電腦”訪問這些驅動器
不能禁用其他的驅動器
自定義管理模版或使用GPDriveOptions
技巧#14 我怎麼樣快速的複製我的環境用於測試?
CreatXMLformenvironment
Createenvironmentfromxml
技巧#15:什麼是對每個gpo文檔化的最好的途徑
在GPMC中,組策略的save report
技巧#16:我怎麼樣找出那些GPO包含特定的策略設置?
Gpmc\scripts\findgposbypolicyextension.wsf
技巧#17:密碼存儲安全
1、windows 使用兩種不同的密碼錶示方法(通常稱爲“哈希”)生成並存儲用戶帳戶密碼
(1)當您將用戶帳戶的密碼設置或更改爲包含少於15位字符的密碼時,windows會爲此密碼同時生成LAN Manager哈希(LM哈希)和windows NT哈希(NT哈希)
(2)這些哈希存儲在本地安全帳戶管理器(SAM)數據庫或Active Directory中。
(3)與NT哈希相比,LM哈希相對較弱,因此容易遭到暴力***。
(4)考慮阻止windows 存儲密碼的LM哈唏
2、不允許存儲LM哈希值(windows XP或windows server2003)
(1)計算機配置>windows設置>安全設置>本地策略>安全選項>網絡安全:不要在下次更改密碼時存儲LAN Manager哈希值。
(2)有些產品或者應用程序依賴於LM哈唏(Win9x沒有安裝活動目錄客戶端和第三方SMB客戶端例:samba).
3、參考KB 299656
技巧#18:清空上次登陸的用戶名
1、 如果便攜電腦被盜,盜竊者需要猜測兩個部分(用戶名、密碼)
2、計算機配置>windows設置>本地策略>安全選項>交互式登錄:不顯示上次登錄名
具體應用場景:臺式機設置不顯示上次登錄名的必要性小點,主要是針對便攜式計算機,可以給便攜式計算機建個OU,設置不顯示上次登錄用戶名的策略。
技巧#19:面對密碼猜測
1、 使用清空上次登錄的用戶名技巧
2、最好能佈置監視的工具(最佳技巧)
(1)不要實現帳戶鎖定策略(別人就可以利用腳本進行不停的猜測密碼,這就會形成一種拒絕服務***,讓所有域用戶帳戶鎖定),集中在面對密碼猜測的響應。
(2)如果可能,在特定的週期內對大量的密碼猜測讓系統自動響應(找出猜密碼的人,而進一步做處理)。
2、如果沒有監視工具
(1)考慮使用帳戶鎖定策略
(2)增加了管理上的負擔
(3)接受DOS***(通過隱藏上次的登錄名減少***)
技巧#20使用WMI過濾器(XP and ws2003 only)需要考慮好它的生存週期
爲什麼?顯著的增加了處理時間
每次組策略重新應用時將被重新評估
示例:
微軟OTG小組需要對具有適當網卡的計算機實現IPSEC
創建GPO並連接一個單獨的WMI過濾器(WMI過濾器用於檢查是否正確的網卡)
能夠馬上實現,而不是等待所有計算機都安裝了適當的網卡
一旦IPSEC實現了,WMI過濾器就應當移除
注意,Windows 2000並不會評估WMI過濾器-但gpo仍然會應用
使用WMI scriptomatic來找出正確的wmi查詢
技巧#21:創建登陸警報
l 通常用於實現通知用戶他們使用的系統屬於公司並且
? 他們系統被監視
l 計算機配置-Windows設置-本地策略-安全選項-交互式登錄-用戶試圖登陸時的消息文字
l 您消息文字中提示的內容可以做也可以不去做-但是使用消息文字,最起碼可以讓你的老闆知道您正在做您的份內工作。
技巧#22:嚴格控制default domain controllers policy用戶權利
Default domain controllers policy-計算機配置-windows設置-安全設置-本地策略-用戶權限指派
從網路訪問此計算機 刪除everyone
允許在本地登陸
通過終端服務允許登陸 僅administrators
域中添加工作站 僅adminsitrators
更改系統時間 僅administrators
裝載和卸載設備驅動程序僅administrators
還原文件和目錄僅administrators
關閉系統僅administrators
技巧#23:限制匿名枚舉
l 匿名枚舉允許非授權的客戶端請求信息
? 域成員列表
? 列出可用的共享
l Default domain controllers policy –計算機配置-windows設置-安全設置-本地策略-安全選項-網路訪問
? 允許匿名sid/名稱轉換
2 止用戶使用已知的SID猜測管理員的用戶名
? 不允許SAM賬戶的匿名猜測
2 防止匿名用戶從SAM數據庫收集信息並枚舉共享
? 讓每個人的權限應用於匿名用戶
2 用戶控制是否讓匿名用戶具有和everyone一樣的權利
? 限制匿名訪問的命名管道/共享
2 控制匿名用戶是否客戶訪問共享資源
技巧#24:關機清理頁面文件
1、 頁面文件中存放着很多有用的信息,像臨時倉庫
2、創建/清理硬盤上的虛擬內存頁面文件將增加開機和關機時間
3、這是一個安全考慮(建議無論是DC還是客戶端都應啓用這個策略)
位置:計算機配置>Windows設置>安全設置>本地策略>安全選項>關機:清除虛擬內存頁面文件
技巧#25:打開審覈&更改日誌文件大小
1、 改變所有日誌文件大小爲10MB+
(1)計算機配置>Windows設置>安全設置>事件日誌>[日誌名字]日誌最大值
(2)爲每個節點設置保持方法。建議方法:不要覆蓋事件(手動清除日誌)
2、禁用如果無法記錄安全審覈則立即關閉系統(例:Windows設置的日誌大小是200M,經過一段時間,日誌寫滿了,那服務器就會自動關機的)
計算機配置>Windows設置>安全設置>本地策略>安全選項>審覈:如果無法記錄安全審覈則立即關閉系統
技巧#26:強制使LM離開您的網絡
1、網絡中使用哈唏做身份驗證的若干種方法
(1)LM:非常脆弱,很容易被sniffer捕獲到口令
(2)NTLM v1:比LM安全,但仍然容易被***
(3)NTLM v2:較安全,但是不被以前的客戶端支持
(4)Kerberos:非常安全,不被以前的客戶端支持
2、有些產品依賴於LM哈唏
(1)Win9x(沒有安裝活動目錄客戶端)
(2)第三方的SMB客戶端(samba)
3、設置合適的LM兼容級別
Default Domain Controllers Policy>計算機配置>Windows設置>安全設置>本地策略>安全選項>網絡安全:LAN Manager身份驗證級別(建議設定不在支持LM)
4、參考KB 239869
組策率盤點工具
