組策略最佳實踐之「降龍十八掌

 
 
降龍十八掌第一式——亢龍有悔:單獨保留默認的GPOs(推薦)
一、Default Domain Policy & Default Domain Controllers Policy
密碼、賬戶鎖定和Kerberos策略設置必須在域級別實現(若是在OU級別上去作,只是對計算機的本地用戶生效而不是域用戶)
還有如下設置:登陸時間用完自動註銷用戶,重命名(Domain)管理員賬戶和重命名(Domain)來賓賬戶。這些策略也必須在域級別實現,也是隻有這些策略須要在域級別上設置。
二、使用如下兩種方法:
   (1)在Default Domain Policy僅修改以上策略設置,而後在其下連接其餘GPO
   (2)單獨保留Default Domain Policy永不修改,建立並連接高優先級的GPO,
而後修改策略設置(推薦)
一、爲何由於恢復損壞的默認的GPOs是個噩夢?(KB 22624三、KB 324800 —
KB267553)
四、不要依賴DCgpofix(這將是最後的還原工具),Dcgpofix還原默認的GPOs到乾淨的安裝狀態。最好的方法使用您的備份替代!

降龍十八掌第二式——飛龍在天:設計OU結構
一、將DC放在DC所在的OU裏並單獨管理
二、爲用戶和計算機建立單獨的OU
三、使用OU把用戶/計算機按照角色分組,
例如:
(1)    計算機:郵件服務器、終端服務器、WEB服務器、文件和打印服務器、便攜計算機等
(2)    域控制器:保留在默認的Domain controllers OU下(連接Default Domain Controller Policy GPO)
(3)    用戶:IT職員、工程師、車間、移動用戶等
四、默認狀況下,全部新賬戶建立在cn=users或者cn=computers(不能連接GPO),因此若是是Windows 2003域:
(1)    在域中使用「redirusr.exe」和「redircmp.exe」指定全部新計算機/用戶賬戶建立時的默認OU
(2)    容許使用組策略管理新建立的賬戶
(使用「redirusr.exe」和「redircmp.exe」兩個命令,爲使重定向成功,在目錄域中的域功能級別必須至少是windows server 2003,這兩個工具是內置的,示例:所用域的名字是zxy.xy,讓新計算機加入到域,默認註冊到TEST的OU中去,進入命令提示符:c:\>redircmp 「ou=test,dc=zxy,dc=xy」用戶的相同)
(命令建立計算機賬戶:c:>net computer [url=file://computername/] \\computername[/url] /add)

降龍十八掌第三式——龍戰於野:反對跨域GPO連接
若是你公司是多域環境,絕對不要把父域的GPO連接到子域來使用,相反亦然。
一、將明顯的影響處理時間
(1)    經過線纜取GPO的時間
(2)    使排錯和客戶端處理GPO的速度很是慢
二、違反KISS規則(使問題變的簡單規則)
在一個域更改GPO設置將影響另一個域(若是想使用相同的GPO,能夠先在源域上備份或導出,而後在目標域作導入,或利用GPMC進行復制粘貼)
三、使用GPMC腳原本幫助部署和維護跨域的組策略的一致性
(1)    CreateEnvironmentFromXML.wsf
(2)    CreateXMLFromEnvironment.wsf
(例:我不是一個父域子域,我是一個測試域,我測試完了就連接到生產環境中來用,測試域跟生產域不要緊,測試完了GPO沒問題,而後就拿到生產環境來使用,能夠經過複製粘貼,另外還可使用腳本CreateEnvironmentFromXML.wsf去把測試環境中全部的OU、全部的GPO、GPO到OU的連接、GPO的設置,所有保存成一個XML文件,而後把XML的文件複製到生產的域,在生產的域安裝GPMC,運行CreateXMLFromEnvironment.wsf這個腳本,他能夠幫你從XML文件中把全部在測試環境中的OU,全部GPO、GPO到OU的連接、GPO的設置,甚至能夠把和GPO相關的用戶賬號和組賬號所有給他建立出來,因此這兩個腳本能夠很平滑的把測試環境到生產環境的組策略遷移的一個過程,並且很利害,他不只能夠遷組策略對象,還能夠把OU給建出來,把組策略對象給建出來,他會自動的把組策略對象給連接到OU,還能夠自動建立跟組策略相關的賬號,例用戶賬號)

降龍十八掌第四式——潛龍勿用:謹慎使用強制/禁止替代/阻止繼承、迴環處理模式
一、增長了處理時間,增長了排錯的難度
能夠在域級別強制一個標準策略,可是不要使用阻止繼承
二、迴環處理模式會給排錯帶來負擔,可是有特定的場景使用
(1)    一般用於保證等於的每個用戶都能得到相同的配置
(2)    用於特定的計算機(例如:公共場所的電腦,圖書館,還有教室),須要基於使用的計算機來修改用戶策略
(3)    常常用戶終端服務實現
(4)    KB 231287

降龍十八掌第五——利涉大川:使一切簡單化
一、考慮如下幾點:
(1)    每增長一個GPO都會增長複雜性(默認狀況Client最多可處理999個GPO)
(2)    限制誰能建立/修改/連接GPOs(委派)
(3)    迴環處理/強制/阻止繼承使事情變得複雜
二、KISS:若是可能的話,使用如下三個層次的GPO:
(1)    默認的域策略(用戶賬戶設置)
(2)    一個基線的安全策略(強制應用到域中的每一個用戶,每臺計算機)
(3)    一個指定OU的策略(專門針對某個OU包含一些惟一設置的GPO)
三、反對爲每個GPO設置安全過濾器(安全過濾器的好處是GPO只對指定的用戶或組生效,不是很是必要的話,不要用安全過濾器,一樣會增長處理GPO的負擔的)
四、僅僅對每一個GPO中須要的設置作修改,其餘保留默認狀態(未配置)

降龍十八掌第六式——鴻漸於陸:在GPMC中進行全部的操做
一、使用GPMC的RSOP工具
二、文檔化GPO的設置
三、進行委派
四、全部的啓用、禁用、連接、強制等(使用它禁用全部GPO中不使用的部分用戶或計算機—略微的改進處理時的性能)
五、在測試環境和生產環境進行遷移
六、和GPMC一塊兒安裝不少的腳本(c:\programfiles\gpmc\scripts)

降龍十八掌第七——突如其來:使用GPO規劃工具
一、全部的GPO設置參考
    [url=http://www.microsoft.com/downloads/details.aspx?familyid=]http://www.microsoft.com/downloads/details.aspx?familyid=[/url]7821c32f-da15-438d-8e48-45915cd2bc14&displaylang=en
二、XP SP2-specific(詳細):
詳細指南:
[url=http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/mangxpsp2/mngxpsp2.mspx]http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/mangxpsp2/mngxpsp2.mspx[/url]

降龍十八掌第八式——震驚百里:即便沒有改變設置也強制從新應用策略
一、使用於當用戶是客戶計算機的本地管理員組的成員的場景(要了解組策略的應用模式,首先用戶登陸後,要應用GPO的策略設置,之後就會有這樣的一個問題,若是你不對這個GPO裏的策略進行任何修改,那麼客戶端就不會再應用,由於客戶端會檢測GPO的版本號,只有對GPO更改過,版本號纔不一樣,客戶端纔會去下載應用,若是沒有改過,版本還同樣,客戶端就不會再去下載,從新刷新這個策略,用強制策略處理,能夠把修改的一些策略刷新)
(1)在組策略應用之後覆蓋指定的設置
(2)默認狀況下,組策略只會檢查有沒有新的策略設置可用,而後在後臺刷新
二、強制策略再次處理:
(1)計算機或用戶配置-> 管理模板-> 系統-> 組策略-> [每一種策略的類型]策略處理(須要啓用如下節點:註冊表、IE、軟件安裝、文件夾重定向、腳本、安全性、IPSec、無線、EFS、磁盤配額)
(2)每一個節點:(選擇:啓用「即便還沒有更改組策略對象也要進行處理」)
三、處理每一個節點:考慮禁用「容許經過慢速網絡鏈接進行處理」,例如:「軟件安裝」禁用掉客戶端就不會裝這個軟件,

降龍十八掌第九式——或躍在淵:使Windows XP同步處理組策略
一、Windows XP默認是異步處理組策略
   無需等網絡響應(XP應用過GPO就會在本地有個緩存的),這種異步處理方式大大縮短了XP客戶端所須要的引導與登陸時間,但是處理文件夾重定項等都會有延遲,這將會影響到排錯。
二、Windows 2000默認是同步處理組策略
三、咱們應該:
   (1)不想讓操做系統來決定組策略的處理方式
   (2)也不想其它因素影響排錯
四、這個策略的位置在:計算機配置>管理模板>系統>登陸>計算機啓動和登陸時老是等待網絡(這個啓用後,XP就使用同步處理的方式,這樣應用GPO就不會有延遲了)

降龍十八掌第十式——神龍擺尾:使用GPO命名慣例
一、保證GPO的一致性,並保證容易理解(建立GPO的管理員越多,一致性越差)
二、使用簡潔的名字描述GPO的意圖
三、微軟使用的命名慣例:
三個關鍵字符:
    範圍(end user最終用戶,worldwide所有,IT)
    目的
    誰管理
示例:IT-office2003-ITG

降龍十八掌第十一式——魚越於淵:爲新的賬戶指定策略
一、默認狀況下,全部新的賬戶在cn=Users或cn=Computers(GPO不能連接到這些容器)
二、若是有Windows 2003域:
   (1)在域中使用「redirusr.exe」和「redircmp.exe」指定全部新計算機/用戶賬戶建立時的默認OU
      (2)容許使用組策略管理新建立的賬戶
三、要求Windows 2003域的功能級別爲Windows 2003
四、參考KB#324929

降龍十八掌第十二式——見龍在田:怎麼才能阻止用戶訪問特定的驅動器(E:、F:、G:、H:、.etc)?
一、組策略中包含的設置
   用戶配置>管理模板>windows組件>windows資源管理器>防止從「個人電腦」訪問這些驅動器(要不就是全部,要不就是ABCD四個)
二、不能禁用其餘的驅動器
三、自定義管理模板或使用GPDriveOptions

降龍十八掌第十三式——雙龍取水:密碼存儲安全
一、windows 使用兩種不一樣的密碼錶示方法(一般稱爲「哈希」)生成並存儲用戶賬戶密碼
(1)當您將用戶賬戶的密碼設置或更改成包含少於15位字符的密碼時,windows會爲此密碼同時生成LAN Manager哈希(LM哈希)和windows NT哈希(NT哈希)
(2)這些哈希存儲在本地安全賬戶管理器(SAM)數據庫或Active Directory中。
(3)與NT哈希相比,LM哈希相對較弱,所以容易遭到暴力***。
(4)考慮阻止windows 存儲密碼的LM哈唏
二、不容許存儲LM哈希值(windows XP或windows server2003)
(1)計算機配置>windows設置>安全設置>本地策略>安全選項>網絡安全:不要在下次更改密碼時存儲LAN Manager哈希值。
(2)有些產品或者應用程序依賴於LM哈唏(Win9x沒有安裝活動目錄客戶端和第三方SMB客戶端例:samba).
三、參考KB 299656

降龍十八掌第十四——時乘六龍:清空上次登陸的用戶名
一、若是便攜電腦被盜,盜竊者須要猜想兩個部分(用戶名、密碼)
二、計算機配置>windows設置>本地策略>安全選項>交互式登陸:不顯示上次登陸名
具體應用場景:臺式機設置不顯示上次登陸名的必要性小點,主要是針對便攜式計算機,能夠給便攜式計算機建個OU,設置不顯示上次登陸用戶名的策略。

降龍十八掌第十五式——密雲不雨:面對密碼猜想
一、使用清空上次登陸的用戶名技巧
二、最好能佈置監視的工具(最佳技巧)
(1)不要實現賬戶鎖定策略(別人就能夠利用腳本進行不停的猜想密碼,這就會造成一種拒絕服務***,讓全部域用戶賬戶鎖定),集中在面對密碼猜想的響應。
(2)若是可能,在特定的週期內對大量的密碼猜想讓系統自動響應(找出猜密碼的人,而進一步作處理)。
二、若是沒有監視工具
(1)考慮使用賬戶鎖定策略
(2)增長了管理上的負擔
(3)接受DOS***(經過隱藏上次的登陸名減小***)

降龍十八掌第十六式——損則有孚:建立登陸警報
一、一般用於實現通知用戶他們使用的系統屬於公司而且他們系統被監視。
二、計算機配置>windows設置>本地策略>安全選項>交互登陸:用戶試圖登陸時的消息文字
三、消息文字中提示的內容能夠作也能夠不去作一可是使用消息文字,最起碼可讓你的老闆知道您正在作您的分內工做。

降龍十八掌第十七式——履霜冰至:嚴格控制Default Domain controllers Policy用戶權利
位置:Default Domain Controllers Policy>計算機配置>Windows設置>安全設置>本地策略>用戶權限指派

降龍十八掌第十八式——抵羊觸藩:限制匿名枚舉
匿名枚舉:***不用提交用戶名和密碼,他只要能經過命名管道(IPC$)能連闖上來,他就能夠經過匿名的方式列出來我這電腦有那些用戶,有那些共享,這就對域控制器很是危險的。
一、匿名枚舉容許非受權的客戶端請求信息
(1)域成員列表
(2)列出可用的共享
二、Default Domain Controllers Policy>計算機配置>Windows設置>安全設置>本地策略>安全選項>網絡訪問
(1)容許匿名SID/名稱轉換(防止用戶使用已知的SID猜想管理員的用戶名)
(2)不容許SAM賬戶的匿名枚舉(防止匿名用戶從SAM數據庫收集信息)
(3)不容許SAM賬戶和共享的匿名枚舉(防止匿名用戶從SAM數據庫收集信息並枚舉共享)
(4)讓每一個人的權限應用於匿名用戶(用戶控制是否讓匿名用戶具備和everyone同樣的權利)
(5)限制匿名訪問的命名管道/共享(控制匿名用戶是否能訪問共享資源)

(以上爲使用組策略的一些技巧其中的「降龍十八掌」但願對你們有所幫助,下面我在奉獻三招「獨孤九劍」)

獨孤九劍第一招「總訣式」:關機清理頁面文件
一、頁面文件中存放着不少有用的信息,像臨時倉庫
二、建立/清理硬盤上的虛擬內存頁面文件將增長開機和關機時間
三、這是一個安全考慮(建議不管是DC仍是客戶端都應啓用這個策略)
位置:計算機配置>Windows設置>安全設置>本地策略>安全選項>關機:清除虛擬內存頁面文件

獨孤九劍第二招是「破劍式」:打開審覈和更改日誌文件大小
一、改變全部日誌文件大小爲10MB+
(1)計算機配置>Windows設置>安全設置>事件日誌>[日誌名字]日誌最大值
(2)爲每一個節點設置保持方法。建議方法:不要覆蓋事件(手動清除日誌)
二、禁用若是沒法記錄安全審覈則當即關閉系統(例:Windows設置的日誌大小是200M,通過一段時間,日誌寫滿了,那服務器就會自動關機的)
計算機配置>Windows設置>安全設置>本地策略>安全選項>審覈:若是沒法記錄安全審覈則當即關閉系統
最佳實踐

(只有啓用「賬戶登陸」事件才記錄用戶從客戶端登陸的事件)

獨孤九劍第三招「破刀式」:強制使用LM離開您的網絡 一、網絡中使用哈唏作身份驗證的若干種方法 (1)LM:很是脆弱,很容易被sniffer捕獲到口令 (2)NTLM v1:比LM安全,但仍然容易被*** (3)NTLM v2:較安全,可是不被之前的客戶端支持 (4)Kerberos:很是安全,不被之前的客戶端支持 二、有些產品依賴於LM哈唏 (1)Win9x(沒有安裝活動目錄客戶端) (2)第三方的SMB客戶端(samba) 三、設置合適的LM兼容級別 Default Domain Controllers Policy>計算機配置>Windows設置>安全設置>本地策略>安全選項>網絡安全:LAN Manager身份驗證級別(建議設定不在支持LM)
相關文章
相關標籤/搜索