GPMC组策略管理(四)

 

（以上为使用组策略的一些技巧其中的“降龙十八掌”希望对大家有所帮助，下面我在奉献三招“独孤九剑”）

 

独孤九剑第一招“总诀式”：关机清理页面文件

1 、页面文件中存放着很多有用的信息，像临时仓库

2 、创建 / 清理硬盘上的虚拟内存页面文件将增加开机和关机时间

3 、这是一个安全考虑（建议无论是 DC 还是客户端都应启用这个策略）

位置：计算机配置 >Windows 设置 > 安全设置 > 本地策略 > 安全选项 > 关机：清除虚拟内存页面文件

 

独孤九剑第二招是“破剑式”：打开审核和更改日志文件大小

1 、改变所有日志文件大小为 10MB+

（ 1 ）计算机配置 >Windows 设置 > 安全设置 > 事件日志 >[ 日志名字 ] 日志最大值

（ 2 ）为每个节点设置保持方法。建议方法：不要覆盖事件（手动清除日志）

2 、禁用如果无法记录安全审核则立即关闭系统（例： Windows 设置的日志大小是 200M ，经过一段时间，日志写满了，那服务器就会自动关机的）

计算机配置 >Windows 设置 > 安全设置 > 本地策略 > 安全选项 > 审核：如果无法记录安全审核则立即关闭系统

最佳实践

事件	成功	失败
帐户登录	√	√
帐户管理	√
策略更改	√
系统事件	√	√

（只有启用“帐户登录”事件才记录用户从客户端登录的事件）

 

独孤九剑第三招“破刀式”：强制使用 LM 离开您的网络

1 、网络中使用哈唏做身份验证的若干种方法

（ 1 ） LM ：非常脆弱，很容易被 sniffer 捕获到口令

（ 2 ） NTLM v1 ：比 LM 安全，但仍然容易被攻击

（ 3 ） NTLM v2 ：较安全，但是不被以前的客户端支持

（ 4 ） Kerberos ：非常安全，不被以前的客户端支持

2 、有些产品依赖于 LM 哈唏

（ 1 ） Win9x （没有安装活动目录客户端）

（ 2 ）第三方的 SMB 客户端（ samba ）

3 、设置合适的 LM 兼容级别

Default Domain Controllers Policy> 计算机配置 >Windows 设置 > 安全设置 > 本地策略 > 安全选项 > 网络安全： LAN Manager 身份验证级别（建议设定不在支持 LM ）

4 、参考 KB 239869

 

[url]http://technet.blog.51cto.com/21712/33368[/url]