高手篇
組策略內部原理
組策略的處理過程
初始處理
初始處理髮生在計算機開機或用戶登錄系統時
對於windows 2000來說,處理時同步的
對於windows xp來說,處理可以設置爲同步(計算機配置-管理模版-系統-登錄-總是等待網絡)或異步,默認異步
對於windows 2003來說,爲保證更高的安全性,處理是同步的
後臺處理
後臺處理在用戶正常工作時進行策略的應用
執行異步處理過程
在域控制器上週期的執行
默認每5分鐘一次
可以通過修改組策略來調整
在後臺處理中,策略不是全部刷新的
軟件安裝策略
未改變的策略
腳本和文件夾重定向策略
安全設置的後臺處理
僅包含windows設置下的安全設置
每16小時處理一次
安全設置在本地計算機的數據庫裏存儲和處理
在慢速網絡上應用組策略
默認500Kbps
配置組策略以改變組策略的處理
組策略後臺刷新、刷新間隔。。
計算機配置-管理模板-系統-組策略-。。。
組策略的環回處理
教室、實驗室、公共計算機等
計算機配置策略比用戶的高
兩個模式
替換:忽略用戶所在ou的組策略,只處理計算機所在OU的策略集合
合併:同時處理用戶所在ou的策略和計算機所在OU的策略,出現衝突時,以計算機爲準
可以參考http://zhongguohld.blog.163.com/blog/static/30847102008111793254716/
比如在計算機的OU下的組策略定義桌面隱藏,用戶所在的OU下的組策略定義桌面顯示,默認情況下,用戶登錄計算機是顯示桌面的,如果啓用環回處理模式,則隱藏桌面。
組策略衝突的處理
衝突如何解決
修改繼承選項
禁止替代(優先)
阻止策略繼承
規劃和設計組策略
組策略可以掛在域、站點、OU
OU結構
服務質量等級(SLA)
目標
組策略的模型設計
定義組策略的應用範圍
明確組策略的對象數量
組策略處理的最大數量—999個組策略
數量取決你的複雜性和目標,應儘量少
明確哪裏使用強制執行選項
設置組策略應用與所有用戶和計算機
不要修改默認策略!
設置組策略的管理委派模型
複習:
決定組策略設計的第一要素是什麼?
活動目錄的OU結構
減少組策略處理時間的有效辦法是什麼?
使用較簡單和較少的組策率
組策略模型嚮導不能模擬哪個策略?
本地系統策略
scriptomatic 編寫wmi篩選器
安全組合組策略設計
規劃GPO的指導方針
應用GPO設置在最高級別
減少GPO數量
創建特定的GPO
禁止計算機或用戶配置設置
組策略最佳實踐
不要修改默認的域策略,不要連接外域策略
堅持爲企業策略建立獨立的組策略對象
如果應用組策略出現預期之外的問題,請以安全模式啓動計算機修正策略
使用軟件限制策略的實踐(見前面的課程)
在組策略被應用之前應在測試環境進行測試
充分利用組策略模型功能評估組策略結構,儘可能將組策略連接到AD的最高級別
不要在具有多域的AD裏建立對SITE的組策略
組策略排錯
預備知識回顧
Gpresult.exe
Gpupdate.exe
Seceduit.exe
Gpotool.exe
MPS_Report
Userenv.log
Winlogo.log
案例:
scecli 1202
http://support.microsoft.com/kb/324383/zh-cn
注意:C:\WINDOWS\security\logs\winlogon.log
用戶名和SID映射出錯,比如你配置一個安全組的成員時,其成員並不存在。
Userenv 1058
---- C:\WINDOWS\Debug\UserMode
userenv.log
GUID(爲128位)開頭6AC1786C爲默認域控制器策略,31B2F340位默認域策略
DFS 文件服務一定要啓動,否則無法訪問\\domain.com默認域共享
Dfsutil
工具MPSReports
安裝完成之後在安裝目錄中c:\windows\MPSReports\DirSvc\Bin\mpsrpt.vbs
Userenv.log的另一案例
登陸後加載桌面很慢
通過userenv.log可以進行檢查
SceCli 1001
C:\windows\security\templates\policies,本地緩存的策略,默認會先下載到該目錄下,也可以到winlogon.log查看
腳本執行失敗
Userenv 1085
Userenv.log查詢
步驟
步驟一:深入瞭解該技術領域的”正常狀態”
養成筆記習慣
熟練使用相關工具
步驟二:以正確方法爲綱
清楚的界定問題(SPIN)
背景(Situation)
問題(Problem)
潛在影響(Impact)
需要做什麼(Need-payoff)
蒐集信息
步驟三:進入技術分析階段
一般的日誌分析順序
步驟四:複覈/測試/解決
步驟五:總結
使用ipsec維護網絡安全
縱深防禦
Ipsec
對稱加密,非對稱加密
公鑰加密,私鑰解密
位於網絡層
組策略設計方案概要
組策略的應用範圍:
站點、域、OU
組策略的設計方式設計AD的域和OU層次
最好讓一個人來設計AD 的ou和組策略的層次結構。
功能
地理位置
組織結構
混合
設計方案建議
檢查並測試組策略設計使之更高效
? 避免過多的GPO鏈接到同一個用戶或計算機以加快客戶端登錄速度
? 禁用GPO中不使用的用戶或計算機設置以加快客戶端登錄速度
? 將包含多個設置的多個GPO整合爲一個GPO以減少複製。
? 利用WMI篩選器
? gpinventory
例如:
Wmi工具:scriptomatic
Select * FROM Win32logicalDisk WHERE (Name =”C:” or name=”D:” OR Name=”E:”) AND DriveType=3 AND FreeSpace > 1024576000 AND FileSystem = NTFS”
組策略備份與還原
該課講師:孔文達
組策略綜合解決方案
2 組策略通用場景
group policy common scenarios
導入組策略
2 使用組策略配置EFS數據恢復代理
Cipher.exe /R:filename
向CA 申請用於數據恢復的證書
定義數據恢復策略
確保域中計算機的數據恢復
在建立第一個域控制器時,即會爲域配置一個默認的恢復策略
默認恢復策略使用自簽名證書,以將域管理員帳戶指定爲恢復代理;
如果決定使用默認恢復策略,則您不再需要申請文件恢復證書。
在域需要多個恢復代理的情況下,或者由於法律或公司政策等原因需要由域管理員以外的人員擔任恢復代理,這時您可能需要將特定用戶指定爲恢復代理。必須向這些用戶頒發文件恢復證書。
將特定用戶指定爲數據恢復代理
將特定用戶指定爲數據恢復代理
l 要實現此目的,您必須完成下列過程
2 必須有企業證書頒發機構(CA)
2 企業CA中的策略必須允許指定用戶/代理申請並獲得文件恢復證書;
2 每個用戶都必須申請一個文件恢復證書。
l 操作步驟:
2 設置企業CA;
2 爲指定爲恢復代理的用戶創建安全組;
2 將創建的安全組添加到EFS恢復模板中;
2 申請文件愛你恢復證書;
2 將證書導出爲.cer格式以便通過組策略進行指派;
2 將證書添加到恢復策略中。
? 使用組策略配置WSUS
? 基於角色的安全保護
安全設置-導入2
Mmc-安全模板,瞭解安全模板中的設置,如果察看設置的區別,可以使喲國內安全配置模板分析
? 第三方工具和擴展
Centrify
DirectControl Suite
DesktopStandard
GPOVault(Free)
Policy Maker Share Manager
PolicyMaker Application Security
PolicyMaker Registry Extension(Free)
PolicyMaker Software update
PolicyMaker Standard Edition
FullArmor
GPAnywhere
IntelliPolicy for Clients
NetlQ