GPMC组策略管理(三)

 

降龙十八掌第九式――或跃在渊：使 Windows XP 同步处理组策略

1 、 Windows XP 默认是异步处理组策略

   无需等网络响应（ XP 应用过 GPO 就会在本地有个缓存的），这种异步处理方式大大缩短了 XP 客户端所需要的引导与登录时间，可是处理文件夹重定项等都会有延迟，这将会影响到排错。

2 、 Windows 2000 默认是同步处理组策略

3 、我们应该：

   （ 1 ）不想让操作系统来决定组策略的处理方式

   （ 2 ）也不想其它因素影响排错

4 、这个策略的位置在：计算机配置 > 管理模板 > 系统 > 登录 > 计算机启动和登录时总是等待网络（这个启用后， XP 就使用同步处理的方式，这样应用 GPO 就不会有延迟了）

 

降龙十八掌第十式――神龙摆尾：使用 GPO 命名惯例

1 、保证 GPO 的一致性，并保证容易理解（创建 GPO 的管理员越多，一致性越差）

2 、使用简洁的名字描述 GPO 的意图

3 、微软使用的命名惯例：

三个关键字符：

    范围（ end user 最终用户 ,worldwide 全部 ,IT ）

    目的

    谁管理

示例： IT-office2003-ITG

 

降龙十八掌第十一式――鱼越于渊：为新的帐户指定策略

1 、默认情况下，所有新的帐户在 cn=Users 或 cn=Computers （ GPO 不能链接到这些容器）

2 、如果有 Windows 2003 域：

   （ 1 ）在域中使用“ redirusr.exe ”和“ redircmp.exe ”指定所有新计算机 / 用户帐户创建时的默认 OU

      （ 2 ）允许使用组策略管理新创建的帐户

3 、要求 Windows 2003 域的功能级别为 Windows 2003

4 、参考 KB#324929

 

降龙十八掌第十二式――见龙在田：怎么才能阻止用户访问特定的驱动器（ E ：、 F ：、 G ：、 H ：、 .etc ） ?

1 、组策略中包含的设置

   用户配置 > 管理模板 >windows 组件 >windows 资源管理器 > 防止从“我的电脑”访问这些驱动器（要不就是所有，要不就是 ABCD 四个）

2 、不能禁用其他的驱动器

3 、自定义管理模板或使用 GPDriveOptions

 

降龙十八掌第十三式――双龙取水：密码存储安全

1 、 windows 使用两种不同的密码表示方法（通常称为“哈希”）生成并存储用户帐户密码

（ 1 ）当您将用户帐户的密码设置或更改为包含少于 15 位字符的密码时， windows 会为此密码同时生成 LAN Manager 哈希（ LM 哈希）和 windows NT 哈希（ NT 哈希）

（ 2 ）这些哈希存储在本地安全帐户管理器（ SAM ）数据库或 Active Directory 中。

（ 3 ）与 NT 哈希相比， LM 哈希相对较弱，因此容易遭到暴力攻击。

（ 4 ）考虑阻止 windows 存储密码的 LM 哈唏

2 、不允许存储 LM 哈希值（ windows XP 或 windows server2003 ）

（ 1 ）计算机配置 >windows 设置 > 安全设置 > 本地策略 > 安全选项 > 网络安全：不要在下次更改密码时存储 LAN Manager 哈希值。

（ 2 ）有些产品或者应用程序依赖于 LM 哈唏（ Win9x 没有安装活动目录客户端和第三方 SMB 客户端例： samba ） .

3 、参考 KB 299656

 

降龙十八掌第十四――时乘六龙：清空上次登录的用户名

1 、如果便携电脑被盗，盗窃者需要猜测两个部分（用户名、密码）

2 、计算机配置 >windows 设置 > 本地策略 > 安全选项 > 交互式登录：不显示上次登录名

具体应用场景：台式机设置不显示上次登录名的必要性小点，主要是针对便携式计算机，可以给便携式计算机建个 OU ，设置不显示上次登录用户名的策略。

 

降龙十八掌第十五式――密云不雨：面对密码猜测

1 、使用清空上次登录的用户名技巧

2 、最好能布置监视的工具（最佳技巧）

（ 1 ）不要实现帐户锁定策略（别人就可以利用脚本进行不停的猜测密码，这就会形成一种拒绝服务攻击，让所有域用户帐户锁定），集中在面对密码猜测的响应。

（ 2 ）如果可能，在特定的周期内对大量的密码猜测让系统自动响应（找出猜密码的人，而进一步做处理）。

2 、如果没有监视工具

（ 1 ）考虑使用帐户锁定策略

（ 2 ）增加了管理上的负担

（ 3 ）接受 DOS 攻击（通过隐藏上次的登录名减少攻击）

 

降龙十八掌第十六式――损则有孚：创建登录警报

1 、通常用于实现通知用户他们使用的系统属于公司并且他们系统被监视。

2 、计算机配置 >windows 设置 > 本地策略 > 安全选项 > 交互登录：用户试图登录时的消息文字

3 、消息文字中提示的内容可以做也可以不去做一但是使用消息文字，最起码可以让你的老板知道您正在做您的份内工作。

 

降龙十八掌第十七式――履霜冰至：严格控制 Default Domain controllers Policy 用户权利

位置： Default Domain Controllers Policy> 计算机配置 >Windows 设置 > 安全设置 > 本地策略 > 用户权限指派

最佳实践：

权利	谁可以获得
从网络访问此计算机	删除 Everyone
允许在本地登录 通过终端服务允许登录	仅 Administrators
域中添加工作站	仅 Administrators
更改系统时间	仅 Administrators
装载和卸载设备驱动程序	仅 Administrators
还原文件和目录	仅 Administrators
关闭系统	仅 Administrators

 

降龙十八掌第十八式――抵羊触藩：限制匿名枚举

匿名枚举：黑客不用提交用户名和密码，他只要能通过命名管道（ IPC$ ）能连闯上来，他就可以通过匿名的方式列出来我这电脑有那些用户，有那些共享，这就对域控制器非常危险的。

1 、匿名枚举允许非授权的客户端请求信息

（ 1 ）域成员列表

（ 2 ）列出可用的共享

2 、 Default Domain Controllers Policy> 计算机配置 >Windows 设置 > 安全设置 > 本地策略 > 安全选项 > 网络访问

（ 1 ）允许匿名 SID/ 名称转换（防止用户使用已知的 SID 猜测管理员的用户名）

（ 2 ）不允许 SAM 帐户的匿名枚举（防止匿名用户从 SAM 数据库收集信息）

（ 3 ）不允许 SAM 帐户和共享的匿名枚举（防止匿名用户从 SAM 数据库收集信息并枚举共享）

（ 4 ）让每个人的权限应用于匿名用户（用户控制是否让匿名用户具有和 everyone 一样的权利）

（ 5 ）限制匿名访问的命名管道 / 共享（控制匿名用户是否能访问共享资源）