GPMC组策略管理(四)

 
(以上为使用组策略的一些技巧其中的“降龙十八掌”希望对大家有所帮助,下面我在奉献三招“独孤九剑”)
 
独孤九剑第一招“总诀式”:关机清理页面文件
1 、页面文件中存放着很多有用的信息,像临时仓库
2 、创建 / 清理硬盘上的虚拟内存页面文件将增加开机和关机时间
3 、这是一个安全考虑(建议无论是 DC 还是客户端都应启用这个策略)
位置:计算机配置 >Windows 设置 > 安全设置 > 本地策略 > 安全选项 > 关机:清除虚拟内存页面文件
 
独孤九剑第二招是“破剑式”:打开审核和更改日志文件大小
1 、改变所有日志文件大小为 10MB+
1 )计算机配置 >Windows 设置 > 安全设置 > 事件日志 >[ 日志名字 ] 日志最大值
2 )为每个节点设置保持方法。建议方法:不要覆盖事件(手动清除日志)
2 、禁用如果无法记录安全审核则立即关闭系统(例: Windows 设置的日志大小是 200M ,经过一段时间,日志写满了,那服务器就会自动关机的)
计算机配置 >Windows 设置 > 安全设置 > 本地策略 > 安全选项 > 审核:如果无法记录安全审核则立即关闭系统
最佳实践
事件
成功
失败
帐户登录
帐户管理
 
策略更改
 
系统事件
(只有启用“帐户登录”事件才记录用户从客户端登录的事件)
 
独孤九剑第三招“破刀式”:强制使用 LM 离开您的网络
1 、网络中使用哈唏做身份验证的若干种方法
1 LM :非常脆弱,很容易被 sniffer 捕获到口令
2 NTLM v1 :比 LM 安全,但仍然容易被攻击
3 NTLM v2 :较安全,但是不被以前的客户端支持
4 Kerberos :非常安全,不被以前的客户端支持
2 、有些产品依赖于 LM 哈唏
1 Win9x (没有安装活动目录客户端)
2 )第三方的 SMB 客户端( samba
3 、设置合适的 LM 兼容级别
Default Domain Controllers Policy> 计算机配置 >Windows 设置 > 安全设置 > 本地策略 > 安全选项 > 网络安全: LAN Manager 身份验证级别(建议设定不在支持 LM
4 、参考 KB 239869
 
[url]http://technet.blog.51cto.com/21712/33368[/url]

你可能感兴趣的:(职场,休闲,AD组策略)