组策略最佳实践之“降龙十八掌”

组策略最佳实践之“降龙十八掌”

 

降龙十八掌第一式――亢龙有悔：单独保留默认的 GPOs （推荐）

1 、 Default Domain Policy & Default Domain Controllers Policy

密码、帐户锁定和 Kerberos 策略设置必须在域级别实现（如果在 OU 级别上去做，只是对计算机的本地用户生效而不是域用户）

还有以下设置：登录时间用完自动注销用户，重命名（ Domain ）管理员帐户和重命名（ Domain ）来宾帐户。这些策略也必须在域级别实现，也是只有这些策略需要在域级别上设置。

2 、使用以下两种方法：

   （ 1 ）在 Default Domain Policy 仅修改以上策略设置，然后在其下链接其他 GPO

   （ 2 ）单独保留 Default Domain Policy 永不修改，创建并链接高优先级的 GPO ，

然后修改策略设置（推荐）

1、 为什么因为恢复损坏的默认的 GPOs 是个噩梦？（ KB 226243 、 KB 324800 ―

KB267553 ）

4 、不要依赖 DCgpofix （这将是最后的还原工具）， Dcgpofix 还原默认的 GPOs 到干净的安装状态。最好的方法使用您的备份替代！

 

降龙十八掌第二式――飞龙在天：设计 OU 结构

1、 将 DC 放在 DC 所在的 OU 里并单独管理

2、 为用户和计算机创建单独的 OU

3、 使用 OU 把用户 / 计算机按照角色分组，

例如：

（1）    计算机：邮件服务器、终端服务器、 WEB 服务器、文件和打印服务器、便携计算机等

（2）    域控制器：保留在默认的 Domain controllers OU 下（链接 Default Domain Controller Policy GPO ）

（3）    用户： IT 职员、工程师、车间、移动用户等

4、 默认情况下，所有新帐户创建在 cn=users 或者 cn=computers （不能链接 GPO ），所以如果是 Windows 2003 域：

（1）    在域中使用“ redirusr.exe ”和“ redircmp.exe ”指定所有新计算机 / 用户帐户创建时的默认 OU

（2）    允许使用组策略管理新创建的帐户

（使用“ redirusr.exe ”和“ redircmp.exe ”两个命令，为使重定向成功，在目录域中的域功能级别必须至少是 windows server 2003 ，这两个工具是内置的，示例：所用域的名字是 zxy.xy ，让新计算机加入到域，默认注册到 TEST 的 OU 中去，进入命令提示符： c:\>redircmp “ou=test,dc=zxy,dc=xy” 用户的相同）

（命令创建计算机帐户： c:>net computer \\computername /add ）

 

降龙十八掌第三式――龙战于野：反对跨域 GPO 链接

如果你公司是多域环境，绝对不要把父域的 GPO 链接到子域来使用，相反亦然。

1、 将明显的影响处理时间

（1）    通过线缆取 GPO 的时间

（2）    使排错和客户端处理 GPO 的速度非常慢

2、 违反 KISS 规则（使问题变的简单规则）

在一个域更改 GPO 设置将影响另外一个域（如果想使用相同的 GPO ，可以先在源域上备份或导出，然后在目标域做导入，或利用 GPMC 进行复制粘贴）

3、 使用 GPMC 脚本来帮助部署和维护跨域的组策略的一致性

（1）    CreateEnvironmentFromXML.wsf

（2）    CreateXMLFromEnvironment.wsf

（例：我不是一个父域子域，我是一个测试域，我测试完了就链接到生产环境中来用，测试域跟生产域没关系，测试完了 GPO 没问题，然后就拿到生产环境来使用，可以通过复制粘贴，另外还可以使用脚本 CreateEnvironmentFromXML.wsf 去把测试环境中所有的 OU 、所有的 GPO 、 GPO 到 OU 的链接、 GPO 的设置，全部保存成一个 XML 文件，然后把 XML 的文件复制到生产的域，在生产的域安装 GPMC ，运行 CreateXMLFromEnvironment.wsf 这个脚本，他可以帮你从 XML 文件中把所有在测试环境中的 OU ，所有 GPO 、 GPO 到 OU 的链接、 GPO 的设置，甚至可以把和 GPO 相关的用户帐号和组帐号全部给他创建出来，所以这两个脚本可以很平滑的把测试环境到生产环境的组策略迁移的一个过程，而且很利害，他不仅可以迁组策略对象，还可以把 OU 给建出来，把组策略对象给建出来，他会自动的把组策略对象给链接到 OU ，还可以自动创建跟组策略相关的帐号，例用户帐号）

 

降龙十八掌第四式――潜龙勿用：谨慎使用强制 / 禁止替代 / 阻止继承、回环处理模式

1、 增加了处理时间，增加了排错的难度

可以在域级别强制一个标准策略，但是不要使用阻止继承

2、 回环处理模式会给排错带来负担，但是有特定的场景使用

（1）    通常用于保证等于的每一个用户都能获得相同的配置

（2）    用于特定的计算机（例如：公共场所的电脑，图书馆，还有教室），需要基于使用的计算机来修改用户策略

（3）    经常用户终端服务实现

（4）    KB 231287

 

降龙十八掌第五――利涉大川：使一切简单化

1、 考虑以下几点：

（1）    每增加一个 GPO 都会增加复杂性（默认情况 Client 最多可处理 999 个 GPO ）

（2）    限制谁能创建 / 修改 / 链接 GPOs （委派）

（3）    回环处理 / 强制 / 阻止继承使事情变得复杂

2、 KISS ：如果可能的话，使用以下三个层次的 GPO ：

（1）    默认的域策略（用户帐户设置）

（2）    一个基线的安全策略（强制应用到域中的每个用户，每台计算机）

（3）    一个指定 OU 的策略（专门针对某个 OU 包含一些唯一设置的 GPO ）

3、 反对为每一个 GPO 设置安全过滤器（安全过滤器的好处是 GPO 只对指定的用户或组生效，不是非常必要的话，不要用安全过滤器，同样会增加处理 GPO 的负担的）

4、 仅仅对每个 GPO 中需要的设置做修改，其他保留默认状态（未配置）

 

降龙十八掌第六式――鸿渐于陆：在 GPMC 中进行所有的操作

1、 使用 GPMC 的 RSOP 工具

2、 文档化 GPO 的设置

3、 进行委派

4、 所有的启用、禁用、链接、强制等（使用它禁用所有 GPO 中不使用的部分用户或计算机 ― 略微的改进处理时的性能）

5、 在测试环境和生产环境进行迁移

6、 和 GPMC 一起安装很多的脚本（ c:\programfiles\gpmc\scripts ）

 

降龙十八掌第七――突如其来：使用 GPO 规划工具

1 、所有的 GPO 设置参考

   [url]http://www.microsoft.com/downloads/details.aspx?familyid=[/url] 7821c 32f -da15-438d-8e48-45915cd2bc14&displaylang=en

2 、 XP SP2-specific( 详细 ) ：

详细指南：

[url]http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/mangxpsp2/mngxpsp2.mspx[/url]

 

降龙十八掌第八式――震惊百里：即使没有改变设置也强制重新应用策略

1 、使用于当用户是客户计算机的本地管理员组的成员的场景（要了解组策略的应用模式，首先用户登录后，要应用 GPO 的策略设置，以后就会有这样的一个问题，如果你不对这个 GPO 里的策略进行任何修改，那么客户端就不会再应用，因为客户端会检测 GPO 的版本号，只有对 GPO 更改过，版本号才不同，客户端才会去下载应用，如果没有改过，版本还一样，客户端就不会再去下载，重新刷新这个策略，用强制策略处理，可以把修改的一些策略刷新）

（ 1 ）在组策略应用以后覆盖指定的设置

（ 2 ）默认情况下，组策略只会检查有没有新的策略设置可用，然后在后台刷新

2 、强制策略再次处理：

（ 1 ）计算机或用户配置 -> 管理模板 -> 系统 -> 组策略 -> [ 每一种策略的类型 ] 策略处理 ( 需要启用以下节点：注册表、 IE 、软件安装、文件夹重定向、脚本、安全性、 IPSec 、无线、 EFS 、磁盘配额 )

（ 2 ）每个节点：（选择：启用“即使尚未更改组策略对象也要进行处理”）

3 、处理每个节点：考虑禁用“允许通过慢速网络连接进行处理”，例如：“软件安装”禁用掉客户端就不会装这个软件，

 

降龙十八掌第九式――或跃在渊：使 Windows XP 同步处理组策略

1 、 Windows XP 默认是异步处理组策略

   无需等网络响应（ XP 应用过 GPO 就会在本地有个缓存的），这种异步处理方式大大缩短了 XP 客户端所需要的引导与登录时间，可是处理文件夹重定项等都会有延迟，这将会影响到排错。

2 、 Windows 2000 默认是同步处理组策略

3 、我们应该：

   （ 1 ）不想让操作系统来决定组策略的处理方式

   （ 2 ）也不想其它因素影响排错

4 、这个策略的位置在：计算机配置 > 管理模板 > 系统 > 登录 > 计算机启动和登录时总是等待网络（这个启用后， XP 就使用同步处理的方式，这样应用 GPO 就不会有延迟了）

 

降龙十八掌第十式――神龙摆尾：使用 GPO 命名惯例

1 、保证 GPO 的一致性，并保证容易理解（创建 GPO 的管理员越多，一致性越差）

2 、使用简洁的名字描述 GPO 的意图

3 、微软使用的命名惯例：

三个关键字符：

    范围（ end user 最终用户 ,worldwide 全部 ,IT ）

    目的

    谁管理

示例： IT-office2003-ITG

 

降龙十八掌第十一式――鱼越于渊：为新的帐户指定策略

1 、默认情况下，所有新的帐户在 cn=Users 或 cn=Computers （ GPO 不能链接到这些容器）

2 、如果有 Windows 2003 域：

   （ 1 ）在域中使用“ redirusr.exe ”和“ redircmp.exe ”指定所有新计算机 / 用户帐户创建时的默认 OU

      （ 2 ）允许使用组策略管理新创建的帐户

3 、要求 Windows 2003 域的功能级别为 Windows 2003

4 、参考 KB#324929

 

降龙十八掌第十二式――见龙在田：怎么才能阻止用户访问特定的驱动器（ E ：、 F ：、 G ：、 H ：、 .etc ） ?

1 、组策略中包含的设置

   用户配置 > 管理模板 >windows 组件 >windows 资源管理器 > 防止从“我的电脑”访问这些驱动器（要不就是所有，要不就是 ABCD 四个）

2 、不能禁用其他的驱动器

3 、自定义管理模板或使用 GPDriveOptions

 

降龙十八掌第十三式――双龙取水：密码存储安全

1 、 windows 使用两种不同的密码表示方法（通常称为“哈希”）生成并存储用户帐户密码

（ 1 ）当您将用户帐户的密码设置或更改为包含少于 15 位字符的密码时， windows 会为此密码同时生成 LAN Manager 哈希（ LM 哈希）和 windows NT 哈希（ NT 哈希）

（ 2 ）这些哈希存储在本地安全帐户管理器（ SAM ）数据库或 Active Directory 中。

（ 3 ）与 NT 哈希相比， LM 哈希相对较弱，因此容易遭到暴力攻击。

（ 4 ）考虑阻止 windows 存储密码的 LM 哈唏

2 、不允许存储 LM 哈希值（ windows XP 或 windows server2003 ）

（ 1 ）计算机配置 >windows 设置 > 安全设置 > 本地策略 > 安全选项 > 网络安全：不要在下次更改密码时存储 LAN Manager 哈希值。

（ 2 ）有些产品或者应用程序依赖于 LM 哈唏（ Win9x 没有安装活动目录客户端和第三方 SMB 客户端例： samba ） .

3 、参考 KB 299656

 

降龙十八掌第十四――时乘六龙：清空上次登录的用户名

1 、如果便携电脑被盗，盗窃者需要猜测两个部分（用户名、密码）

2 、计算机配置 >windows 设置 > 本地策略 > 安全选项 > 交互式登录：不显示上次登录名

具体应用场景：台式机设置不显示上次登录名的必要性小点，主要是针对便携式计算机，可以给便携式计算机建个 OU ，设置不显示上次登录用户名的策略。

 

降龙十八掌第十五式――密云不雨：面对密码猜测

1 、使用清空上次登录的用户名技巧

2 、最好能布置监视的工具（最佳技巧）

（ 1 ）不要实现帐户锁定策略（别人就可以利用脚本进行不停的猜测密码，这就会形成一种拒绝服务攻击，让所有域用户帐户锁定），集中在面对密码猜测的响应。

（ 2 ）如果可能，在特定的周期内对大量的密码猜测让系统自动响应（找出猜密码的人，而进一步做处理）。

2 、如果没有监视工具

（ 1 ）考虑使用帐户锁定策略

（ 2 ）增加了管理上的负担

（ 3 ）接受 DOS 攻击（通过隐藏上次的登录名减少攻击）

 

降龙十八掌第十六式――损则有孚：创建登录警报

1 、通常用于实现通知用户他们使用的系统属于公司并且他们系统被监视。

2 、计算机配置 >windows 设置 > 本地策略 > 安全选项 > 交互登录：用户试图登录时的消息文字

3 、消息文字中提示的内容可以做也可以不去做一但是使用消息文字，最起码可以让你的老板知道您正在做您的份内工作。

 

降龙十八掌第十七式――履霜冰至：严格控制 Default Domain controllers Policy 用户权利

位置： Default Domain Controllers Policy> 计算机配置 >Windows 设置 > 安全设置 > 本地策略 > 用户权限指派

最佳实践：

权利	谁可以获得
从网络访问此计算机	删除 Everyone
允许在本地登录 通过终端服务允许登录	仅 Administrators
域中添加工作站	仅 Administrators
更改系统时间	仅 Administrators
装载和卸载设备驱动程序	仅 Administrators
还原文件和目录	仅 Administrators
关闭系统	仅 Administrators

 

降龙十八掌第十八式――抵羊触藩：限制匿名枚举

匿名枚举：黑客不用提交用户名和密码，他只要能通过命名管道（ IPC$ ）能连闯上来，他就可以通过匿名的方式列出来我这电脑有那些用户，有那些共享，这就对域控制器非常危险的。

1 、匿名枚举允许非授权的客户端请求信息

（ 1 ）域成员列表

（ 2 ）列出可用的共享

2 、 Default Domain Controllers Policy> 计算机配置 >Windows 设置 > 安全设置 > 本地策略 > 安全选项 > 网络访问

（ 1 ）允许匿名 SID/ 名称转换（防止用户使用已知的 SID 猜测管理员的用户名）

（ 2 ）不允许 SAM 帐户的匿名枚举（防止匿名用户从 SAM 数据库收集信息）

（ 3 ）不允许 SAM 帐户和共享的匿名枚举（防止匿名用户从 SAM 数据库收集信息并枚举共享）

（ 4 ）让每个人的权限应用于匿名用户（用户控制是否让匿名用户具有和 everyone 一样的权利）

（ 5 ）限制匿名访问的命名管道 / 共享（控制匿名用户是否能访问共享资源）

 

（以上为使用组策略的一些技巧其中的“降龙十八掌”希望对大家有所帮助，下面我在奉献三招“独孤九剑”）

 

独孤九剑第一招“总诀式”：关机清理页面文件

1 、页面文件中存放着很多有用的信息，像临时仓库

2 、创建 / 清理硬盘上的虚拟内存页面文件将增加开机和关机时间

3 、这是一个安全考虑（建议无论是 DC 还是客户端都应启用这个策略）

位置：计算机配置 >Windows 设置 > 安全设置 > 本地策略 > 安全选项 > 关机：清除虚拟内存页面文件

 

独孤九剑第二招是“破剑式”：打开审核和更改日志文件大小

1 、改变所有日志文件大小为 10MB+

（ 1 ）计算机配置 >Windows 设置 > 安全设置 > 事件日志 >[ 日志名字 ] 日志最大值

（ 2 ）为每个节点设置保持方法。建议方法：不要覆盖事件（手动清除日志）

2 、禁用如果无法记录安全审核则立即关闭系统（例： Windows 设置的日志大小是 200M ，经过一段时间，日志写满了，那服务器就会自动关机的）

计算机配置 >Windows 设置 > 安全设置 > 本地策略 > 安全选项 > 审核：如果无法记录安全审核则立即关闭系统

最佳实践

事件	成功	失败
帐户登录	√	√
帐户管理	√
策略更改	√
系统事件	√	√

（只有启用“帐户登录”事件才记录用户从客户端登录的事件）

 

独孤九剑第三招“破刀式”：强制使用 LM 离开您的网络

1 、网络中使用哈唏做身份验证的若干种方法

（ 1 ） LM ：非常脆弱，很容易被 sniffer 捕获到口令

（ 2 ） NTLM v1 ：比 LM 安全，但仍然容易被攻击

（ 3 ） NTLM v2 ：较安全，但是不被以前的客户端支持

（ 4 ） Kerberos ：非常安全，不被以前的客户端支持

2 、有些产品依赖于 LM 哈唏

（ 1 ） Win9x （没有安装活动目录客户端）

（ 2 ）第三方的 SMB 客户端（ samba ）

3 、设置合适的 LM 兼容级别

Default Domain Controllers Policy> 计算机配置 >Windows 设置 > 安全设置 > 本地策略 > 安全选项 > 网络安全： LAN Manager 身份验证级别（建议设定不在支持 LM ）

4 、参考 KB 239869