|
降龙十八掌第一式——亢龙有悔单独保留默认的GPOs(推荐) Default Domain Policy & Default Domain Controllers Policy 密码帐户锁定和Kerberos策略设置必须在域级别实现(如果在OU级别上去做只是对计算机的本地用户生效而不是域用户) 还有以下设置登录时间用完自动注销用户重命名(Domain)管理员帐户和重命名(Domain)来宾帐户这些策略也必须在域级别实现也是只有这些策略需要在域级别上设置 使用以下两种方法 ()在Default Domain Policy仅修改以上策略设置然后在其下链接其他GPO ()单独保留Default Domain Policy永不修改创建并链接高优先级的GPO然后修改策略设置(推荐) 为什么因为恢复损坏的默认的GPOs是个噩梦?(KB KB — KB) 不要依赖DCgpofix(这将是最后的还原工具)Dcgpofix还原默认的GPOs到干净的安装状态最好的方法使用您的备份替代! 降龙十八掌第二式——飞龙在天设计OU结构 将DC放在DC所在的OU里并单独管理 为用户和计算机创建单独的OU 使用OU把用户/计算机按照角色分组 例如 () 计算机邮件服务器终端服务器WEB服务器文件和打印服务器便携计算机等 () 域控制器保留在默认的Domain controllers OU下(链接Default Domain Controller Policy GPO) () 用户IT职员工程师车间移动用户等 默认情况下所有新帐户创建在cn=users或者cn=computers(不能链接GPO)所以如果是Windows 域 () 在域中使用redirusrexe和redircmpexe指定所有新计算机/用户帐户创建时的默认OU () 允许使用组策略管理新创建的帐户 (使用redirusrexe和redircmpexe两个命令为使重定向成功在目录域中的域功能级别必须至少是windows server 这两个工具是内置的示例所用域的名字是zxyxy让新计算机加入到域默认注册到TEST的OU中去进入命令提示符c:\>redircmp ou=testdc=zxydc=xy用户的相同) (命令创建计算机帐户c:>net computer [url=file://computername/]\\computername[/url] /add) 降龙十八掌第三式——龙战于野反对跨域GPO链接 如果你公司是多域环境绝对不要把父域的GPO链接到子域来使用相反亦然 将明显的影响处理时间 () 通过线缆取GPO的时间 () 使排错和客户端处理GPO的速度非常慢 违反KISS规则(使问题变的简单规则) 在一个域更改GPO设置将影响另外一个域(如果想使用相同的GPO可以先在源域上备份或导出然后在目标域做导入或利用GPMC进行复制粘贴) 使用GPMC脚本来帮助部署和维护跨域的组策略的一致性 () CreateEnvironmentFromXMLwsf () CreateXMLFromEnvironmentwsf (例我不是一个父域子域我是一个测试域我测试完了就链接到生产环境中来用测试域跟生产域没关系测试完了GPO没问题然后就拿到生产环境来使用可以通过复制粘贴另外还可以使用脚本CreateEnvironmentFromXMLwsf去把测试环境中所有的OU所有的GPOGPO到OU的链接GPO的设置全部保存成一个XML文件然后把XML的文件复制到生产的域在生产的域安装GPMC运行CreateXMLFromEnvironmentwsf这个脚本他可以帮你从XML文件中把所有在测试环境中的OU所有GPOGPO到OU的链接GPO的设置甚至可以把和GPO相关的用户帐号和组帐号全部给他创建出来所以这两个脚本可以很平滑的把测试环境到生产环境的组策略迁移的一个过程而且很利害他不仅可以迁组策略对象还可以把OU给建出来把组策略对象给建出来他会自动的把组策略对象给链接到OU还可以自动创建跟组策略相关的帐号例用户帐号) 降龙十八掌第四式——潜龙勿用谨慎使用强制/禁止替代/阻止继承回环处理模式 增加了处理时间增加了排错的难度 可以在域级别强制一个标准策略但是不要使用阻止继承 回环处理模式会给排错带来负担但是有特定的场景使用 () 通常用于保证等于的每一个用户都能获得相同的配置 () 用于特定的计算机(例如公共场所的电脑图书馆还有教室)需要基于使用的计算机来修改用户策略 () 经常用户终端服务实现 () KB 降龙十八掌第五——利涉大川使一切简单化 考虑以下几点 () 每增加一个GPO都会增加复杂性(默认情况Client最多可处理个GPO) () 限制谁能创建/修改/链接GPOs(委派) () 回环处理/强制/阻止继承使事情变得复杂 KISS如果可能的话使用以下三个层次的GPO () 默认的域策略(用户帐户设置) () 一个基线的安全策略(强制应用到域中的每个用户每台计算机) () 一个指定OU的策略(专门针对某个OU包含一些唯一设置的GPO) 反对为每一个GPO设置安全过滤器(安全过滤器的好处是GPO只对指定的用户或组生效不是非常必要的话不要用安全过滤器同样会增加处理GPO的负担的) 仅仅对每个GPO中需要的设置做修改其他保留默认状态(未配置) 降龙十八掌第六式——鸿渐于陆在GPMC中进行所有的操作 使用GPMC的RSOP工具 文档化GPO的设置 进行委派 所有的启用禁用链接强制等(使用它禁用所有GPO中不使用的部分用户或计算机—略微的改进处理时的性能) 在测试环境和生产环境进行迁移 和GPMC一起安装很多的脚本(c:\programfiles\gpmc\scripts) 降龙十八掌第七——突如其来使用GPO规划工具 所有的GPO设置参考 x?familyid=cfdadecdbc&displaylang=en XP SPspecific(详细) 详细指南 /mngxpspmspx 降龙十八掌第八式——震惊百里即使没有改变设置也强制重新应用策略 使用于当用户是客户计算机的本地管理员组的成员的场景(要了解组策略的应用模式首先用户登录后要应用GPO的策略设置以后就会有这样的一个问题如果你不对这个GPO里的策略进行任何修改那么客户端就不会再应用因为客户端会检测GPO的版本号只有对GPO更改过版本号才不同客户端才会去下载应用如果没有改过版本还一样客户端就不会再去下载重新刷新这个策略用强制策略处理可以把修改的一些策略刷新) ()在组策略应用以后覆盖指定的设置 ()默认情况下组策略只会检查有没有新的策略设置可用然后在后台刷新 强制策略再次处理 ()计算机或用户配置> 管理模板> 系统> 组策略> [每一种策略的类型]策略处理(需要启用以下节点注册表IE软件安装文件夹重定向脚本安全性IPSec无线EFS磁盘配额) ()每个节点(选择启用即使尚未更改组策略对象也要进行处理) 处理每个节点考虑禁用允许通过慢速网络连接进行处理例如软件安装禁用掉客户端就不会装这个软件 降龙十八掌第九式——或跃在渊使Windows XP同步处理组策略 Windows XP默认是异步处理组策略 无需等网络响应(XP应用过GPO就会在本地有个缓存的)这种异步处理方式大大缩短了XP客户端所需要的引导与登录时间可是处理文件夹重定项等都会有延迟这将会影响到排错 Windows 默认是同步处理组策略 我们应该 ()不想让操作系统来决定组策略的处理方式 ()也不想其它因素影响排错 这个策略的位置在计算机配置>管理模板>系统>登录>计算机启动和登录时总是等待网络(这个启用后XP就使用同步处理的方式这样应用GPO就不会有延迟了) 降龙十八掌第十式——神龙摆尾使用GPO命名惯例 保证GPO的一致性并保证容易理解(创建GPO的管理员越多一致性越差) 使用简洁的名字描述GPO的意图 微软使用的命名惯例 三个关键字符 范围(end user最终用户worldwide全部IT) 目的 谁管理 示例ITofficeITG 降龙十八掌第十一式——鱼越于渊为新的帐户指定策略 默认情况下所有新的帐户在cn=Users或cn=Computers(GPO不能链接到这些容器) 如果有Windows 域 ()在域中使用redirusrexe和redircmpexe指定所有新计算机/用户帐户创建时的默认OU ()允许使用组策略管理新创建的帐户 要求Windows 域的功能级别为Windows 参考KB# 降龙十八掌第十二式——见龙在田怎么才能阻止用户访问特定的驱动器(EFGHetc)? 组策略中包含的设置 用户配置>管理模板>windows组件>windows资源管理器>防止从我的电脑访问这些驱动器(要不就是所有要不就是ABCD四个) 不能禁用其他的驱动器 自定义管理模板或使用GPDriveOptions 降龙十八掌第十三式——双龙取水密码存储安全 windows 使用两种不同的密码表示方法(通常称为哈希)生成并存储用户帐户密码 ()当您将用户帐户的密码设置或更改为包含少于位字符的密码时windows会为此密码同时生成LAN Manager哈希(LM哈希)和windows NT哈希(NT哈希) ()这些哈希存储在本地安全帐户管理器(SAM)数据库或Active Directory中 ()与NT哈希相比LM哈希相对较弱因此容易遭到暴力攻击 ()考虑阻止windows 存储密码的LM哈唏 不允许存储LM哈希值(windows XP或windows server) ()计算机配置>windows设置>安全设置>本地策略>安全选项>网络安全不要在下次更改密码时存储LAN Manager哈希值 ()有些产品或者应用程序依赖于LM哈唏(Winx没有安装活动目录客户端和第三方SMB客户端例samba) 参考KB 降龙十八掌第十四——时乘六龙清空上次登录的用户名 如果便携电脑被盗盗窃者需要猜测两个部分(用户名密码) 计算机配置>windows设置>本地策略>安全选项>交互式登录不显示上次登录名 具体应用场景台式机设置不显示上次登录名的必要性小点主要是针对便携式计算机可以给便携式计算机建个OU设置不显示上次登录用户名的策略 降龙十八掌第十五式——密云不雨面对密码猜测 使用清空上次登录的用户名技巧 最好能布置监视的工具(最佳技巧) ()不要实现帐户锁定策略(别人就可以利用脚本进行不停的猜测密码这就会形成一种拒绝服务攻击让所有域用户帐户锁定)集中在面对密码猜测的响应 ()如果可能在特定的周期内对大量的密码猜测让系统自动响应(找出猜密码的人而进一步做处理) 如果没有监视工具 ()考虑使用帐户锁定策略 ()增加了管理上的负担 ()接受DOS攻击(通过隐藏上次的登录名减少攻击) 降龙十八掌第十六式——损则有孚创建登录警报 通常用于实现通知用户他们使用的系统属于公司并且他们系统被监视 计算机配置>windows设置>本地策略>安全选项>交互登录用户试图登录时的消息文字 消息文字中提示的内容可以做也可以不去做一但是使用消息文字最起码可以让你的老板知道您正在做您的份内工作 降龙十八掌第十七式——履霜冰至严格控制Default Domain controllers Policy用户权利 位置Default Domain Controllers Policy>计算机配置>Windows设置>安全设置>本地策略>用户权限指派 降龙十八掌第十八式——抵羊触藩限制匿名枚举 匿名枚举黑客不用提交用户名和密码他只要能通过命名管道(IPC$)能连闯上来他就可以通过匿名的方式列出来我这电脑有那些用户有那些共享这就对域控制器非常危险的 匿名枚举允许非授权的客户端请求信息 ()域成员列表 ()列出可用的共享 Default Domain Controllers Policy>计算机配置>Windows设置>安全设置>本地策略>安全选项>网络访问 ()允许匿名SID/名称转换(防止用户使用已知的SID猜测管理员的用户名) ()不允许SAM帐户的匿名枚举(防止匿名用户从SAM数据库收集信息) ()不允许SAM帐户和共享的匿名枚举(防止匿名用户从SAM数据库收集信息并枚举共享) ()让每个人的权限应用于匿名用户(用户控制是否让匿名用户具有和everyone一样的权利) ()限制匿名访问的命名管道/共享(控制匿名用户是否能访问共享资源) (以上为使用组策略的一些技巧其中的降龙十八掌希望对大家有所帮助下面我在奉献三招独孤九剑) 独孤九剑第一招总诀式关机清理页面文件 页面文件中存放着很多有用的信息像临时仓库 创建/清理硬盘上的虚拟内存页面文件将增加开机和关机时间 这是一个安全考虑(建议无论是DC还是客户端都应启用这个策略) 位置计算机配置>Windows设置>安全设置>本地策略>安全选项>关机清除虚拟内存页面文件 独孤九剑第二招是破剑式打开审核和更改日志文件大小 改变所有日志文件大小为MB+ ()计算机配置>Windows设置>安全设置>事件日志>[日志名字]日志最大值 ()为每个节点设置保持方法建议方法不要覆盖事件(手动清除日志) 禁用如果无法记录安全审核则立即关闭系统(例Windows设置的日志大小是M经过一段时间日志写满了那服务器就会自动关机的) 计算机配置>Windows设置>安全设置>本地策略>安全选项>审核如果无法记录安全审核则立即关闭系统 最佳实践 (只有启用帐户登录事件才记录用户从客户端登录的事件) 独孤九剑第三招破刀式强制使用LM离开您的网络 网络中使用哈唏做身份验证的若干种方法 ()LM非常脆弱很容易被sniffer捕获到口令 ()NTLM v比LM安全但仍然容易被攻击 ()NTLM v较安全但是不被以前的客户端支持 ()Kerberos非常安全不被以前的客户端支持 有些产品依赖于LM哈唏 ()Winx(没有安装活动目录客户端) ()第三方的SMB客户端(samba) 设置合适的LM兼容级别 Default Domain Controllers Policy>计算机配置>Windows设置>安全设置>本地策略>安全选项>网络安全LAN Manager身份验证级别(建议设定不在支持LM) 参考KB |
