组策略最佳实践之“降龙十八掌”.doc

组策略最佳实践之“降龙十八掌” 组策略最佳实践之“降龙十八掌” , g7 G: m* G4 g: U ' o6 h3 }) [+ [4 k" q/ G! q 降龙十八掌第一式——亢龙有悔：单独保留默认的GPOs（推荐）. Q' m; G" ?! g# _8 K6 Q$ K 1、Default Domain Policy & Default Domain Controllers Policy $ p! z* r* _) @* x  b密码、帐户锁定和Kerberos策略设置必须在域级别实现（如果在OU级别上去做，只是对计算机的本地用户生效而不是域用户） ' E  G& K) {  M( }$ X& i还有以下设置：登录时间用完自动注销用户，重命名（Domain）管理员帐户和重命名（Domain）来宾帐户。这些策略也必须在域级别实现，也是只有这些策略需要在域级别上设置。 2 E- Y6 e5 R% X& \2、使用以下两种方法： 2 h: J* s& b" [' e   （1）在Default Domain Policy仅修改以上策略设置，然后在其下链接其他GPO   K" F, z9 O, v5 w  a& e& k   （2）单独保留Default Domain Policy永不修改，创建并链接高优先级的GPO， ) `( o6 W) ?: w然后修改策略设置（推荐） $ m6 }2 v  p7 L+ `1、为什么因为恢复损坏的默认的GPOs是个噩梦？（KB 226243、KB 324800 — , r& R$ M" f4 H4 F* rKB267553）+ ^1 B* @$ M; A& g' m2 n8 f 4、不要依赖DCgpofix（这将是最后的还原工具），Dcgpofix还原默认的GPOs到干净的安装状态。最好的方法使用您的备份替代！ , L3 M' ]0 O, E- E/ R : n( N9 C# H% ?3 Q 降龙十八掌第二式——飞龙在天：设计OU结构7 A1 y( u* i6 x/ Q& A2 ]/ G 1、将DC放在DC所在的OU里并单独管理, a8 `- A. @( E! j- e; r2 w 2、为用户和计算机创建单独的OU, l2 j/ j# q. m" |7 G 3、使用OU把用户/计算机按照角色分组，* v  E8 A0 H. v! j4 D 例如： + X" g3 S4 R' w8 x) P（1）    计算机：邮件服务器、终端服务器、WEB服务器、文件和打印服务器、便携计算机等 & e: T! I& m$ l& d5 @( F% y% r6 O/ D（2）    域控制器：保留在默认的Domain controllers OU下（链接Default Domain Controller Policy GPO）0 t- W+ u0 R4 |/ Y （3）    用户：IT职员、工程师、车间、移动用户等 % \* J+ P6 B; K* v* r7 n7 n7 p4、默认情况下，所有新帐户创建在cn=users或者cn=computers（不能链接GPO），所以如果是Windows 2003域： 7 i( e/ P/ V$ V/ `( d) Y. J（1）    在域中使用“redirusr.exe”和“redircmp.exe”指定所有新计算机/用户帐户创建时的默认OU' }% j8 l1 N  e  ^ （2）    允许使用组策略管理新创建的帐户  l$ ^  A% ~0 W2 z, w9 G& t （使用“redirusr.exe”和“redircmp.exe”两个命令，为使重定向成功，在目录域中的域功能级别必须至少是windows server 2003，这两个工具是内置的，示例：所用域的名字是zxy.xy，让新计算机加入到域，默认注册到TEST的OU中去，进入命令提示符：c:\>redircmp “ou=test,dc=zxy,dc=xy”用户的相同） , }' |+ B6 |) |1 \0 `, k# e（命令创建计算机帐户：c:>net computer [url=file://computername/]\\computername[/url] /add） ( r8 {$ i; T2 A$ {* W 0 i- L) O8 N2 \8 {5 J降龙十八掌第三式——龙战于野：反对跨域GPO链接 $ N- T% t; g% W! L如果你公司是多域环境，绝对不要把父域的GPO链接到子域来使用，相反亦然。 4 ?) U& r; V# ~: S& l* o/ K1、将明显的影响处理时间 & ]9 Z0 `( H5 x+ x2 W0 {. k7 ]# k（1）    通过线缆取GPO的时间4 e! d4 N2 m" w1 y; M3 c （2）    使排错和客户端处理GPO的速度非常慢 ) W& y+ c9 ^1 Z: x' V2 w2、违反KISS规则（使问题变的简单规则） / s3 r& J+ X& A$ V) w0 W在一个域更改GPO设置将影响另外一个域（如果想使用相同的GPO，可以先在源域上备份或导出，然后在目标域做导入，或利用GPMC进行复制粘贴）- t/ a" I  U( o9 F1 B$ ]  ^3 ^ 3、使用GPMC脚本来帮助部署和维护跨域的组策略的一致性, |3 m; _/ Z9 y+ w' s( E （1）    CreateEnvironmentFromXML.wsf " |' N) g* x$ ~! R) M（2）    CreateXMLFromEnvironment.wsf! U4 b% D( `7 w% ?+ i: n. j- W （例：我不是一个父域子域，我是一个测试域，我测试完了就链接到生产环境中来用，测试域跟生产域没关系，测试完了GPO没问题，然后就拿到生产环境来使用，可以通过复制粘贴，另外还可以使用脚本CreateEnvironmentFromXML.wsf去把测试环境中所有的OU、所有的GPO、GPO到OU的链接、GPO的设置，全部保存成一个XML文件，然后把XML的文件复制到生产的域，在生产的域安装GPMC，运行CreateXMLFromEnvironment.wsf这个脚本，他可以帮你从XML文件中把所有在测试环境中的OU，所有GPO、GPO到OU的链接、GPO的设置，甚至可以把和GPO相关的用户帐号和组帐号全部给他创建出来，所以这两个脚本可以很平滑的把测试环境到生产环境的组策略迁移的一个过程，而且很利害，他不仅可以迁组策略对象，还可以把OU给建出来，把组策略对象给建出来，他会自动的把组策略对象给链接到OU，还可以自动创建跟组策略相关的帐号，例用户帐号） ( o2 E5 z. u" I1 |4 j- W: ^ 8 y- N, ]: b/ g' y$ G 降龙十八掌第四式——潜龙勿用：谨慎使用强制/禁止替代/阻止继承、回环处理模式 6 J8 {1 c+ [  e' p0 i* L) x! i1、增加了处理时间，增加了排错的难度' z0 C( ]* {- U 可以在域级别强制一个标准策略，但是不要使用阻止继承/ T5 C3 [0 H2 x% l$ w# `8 W' c, b 2、回环处理模式会给排错带来负担，但是有特定的场景使用 , I, H0 U6 L& l9 O0 y: P4 H$ n! j0 y（1）    通常用于保证等于的每一个用户都能获得相同的配置 ; [6 q- ~# \/ a（2）    用于特定的计算机（例如：公共场所的电脑，图书馆，还有教室），需要基于使用的计算机来修改用户策略/ b8 Y# O; ~9 s0 S) x0 p （3）    经常用户终端服务实现 2 u$ _- T+ S$ K& a% f（4）    KB 231287 $ `: u$ D4 B1 {8 N# d0 i ) W2 C3 n+ e/ M, u( n 降龙十八掌第五——利涉大川：使一切简单化) c1 ^; i  h6 R$ n* s# B8 @5 G& F 1、考虑以下几点： * V" K, _; S; g/ w7 F, m（1）    每增加一个GPO都会增加复杂性（默认情况Client最多可处理999个GPO）7 m( J/ G4 n7 v4 |, J  w  J, M （2）    限制谁能创建/修改/链接GPOs（委派） $ F4 }# i0 |: r& @; W+ U- U（3）    回环处理/强制/阻止继承使事情变得复杂' U. b  S# f' x( V5 F) n' Z 2、KISS：如果可能的话，使用以下三个层次的GPO： 3 I9 P  s( B' h（1）    默认的域策略（用户帐户设置）$ _. B* ?3 `6 O. v" F1 L （2）    一个基线的安全策略（强制应用到域中的每个用户，每台计算机）+ F! L/ k- u1 Y" W4 j5 U9 E （3）    一个指定OU的策略（专门针对某个OU包含一些唯一设置的GPO）2 A* h7 c9 v# V2 t" N; x4 M2 r 3、反对为每一个GPO设置安全过滤器（安全过滤器的好处是GPO只对指定的用户或组生效，不是非常必要的话，不要用安全过滤器，同样会增加处理GPO的负担的） 6 r! H! j- E2 o: m4、仅仅对每个GPO中需要的设置做修改，其他保留默认状态（未配置）, B5 [: y$ g& e  |# R  } $ H1 {$ f$ Z  }) g6 `; s降龙十八掌第六式——鸿渐于陆：在GPMC中进行所有的操作 ) B; W8 a: }% W7 R1 J1 t1、使用GPMC的RSOP工具 . @$ N- S( w  F: a2 y9 H2 r$ N2、文档化GPO的设置 5 F7 U- i& P) Z; i3、进行委派9 H" U8 n3 @& j, |! ^& O" I 4、所有的启用、禁用、链接、强制等（使用它禁用所有GPO中不使用的部分用户或计算机—略微的改进处理时的性能）1 O+ n! q/ r" a- @& N7 O1 C 5、在测试环境和生产环境进行迁移 0 `) @4 Z% L$ Q6、和GPMC一起安装很多的脚本（c:\programfiles\gpmc\scripts）- u+ s9 @* C2 c0 |/ e5 G! @ 9 i! o/ K# |  o, J 降龙十八掌第七——突如其来：使用GPO规划工具 % o. v1 Y; E& F9 c  X: P) o" O- F0 W1、所有的GPO设置参考 ' Y) E! L: D- S. `1 [. r5 r    - X0 H  W6 c+ F0 u( Z1 G' M2、XP SP2-specific(详细)： 6 F. U; F# r! r4 O; P) y详细指南： " ]9 L& c3 P, ?! p @1 n5 O1 S4 e- \   Z' R1 X" s* P" i& Q降龙十八掌第八式——震惊百里：即使没有改变设置也强制重新应用策略   ^- m7 b. l9 U* u! f8 y1、使用于当用户是客户计算机的本地管理员组的成员的场景（要了解组策略的应用模式，首先用户登录后，要应用GPO的策略设置，以后就会有这样的一个问题，如果你不对这个GPO里的策略进行任何修改，那么客户端就不会再应用，因为客户端会检测GPO的版本号，只有对GPO更改过，版本号才不同，客户端才会去下载应用，如果没有改过，版本还一样，客户端就不会再去下载，重新刷新这个策略，用强制策略处理，可以把修改的一些策略刷新）' a$ X6 v" X+ c  `2 w1 u, G （1）在组策略应用以后覆盖指定的设置+ I+ |) m  }. t7 V9 M# x: v4 ]4 \1 U7 C （2）默认情况下，组策略只会检查有没有新的策略设置可用，然后在后台刷新 % l6 L4 T$ l1 o. P! K) j2、强制策略再次处理：# X, r5 P3 r& x4 M, X- m （1）计算机或用户配置-> 管理模板-> 系统-> 组策略-> [每一种策略的类型]策略处理(需要启用以下节点：注册表、IE、软件安装、文件夹重定向、脚本、安全性、IPSec、无线、EFS、磁盘配额) + y: j( B" d- V" A2 @2 P6 m（2）每个节点：（选择：启用“即使尚未更改组策略对象也要进行处理”）% U3 w8 o7 R9 w! g: h5 o, X 3、处理每个节点：考虑禁用“允许通过慢速网络连接进行处理”，例如：“软件安装”禁用掉客户端就不会装这个软件， 2 _: y& l$ H: } ( j' ~, _1 l# m0 B4 l降龙十八掌第九式——或跃在渊：使Windows XP同步处理组策略- B% _+ x( k& j; _ 1、Windows XP默认是异步处理组策略 . X8 J; @- J$ ?  p   无需等网络响应（XP应用过GPO就会在本地有个缓存的），这种异步处理方式大大缩短了XP客户端所需要的引导与登录时间，可是处理文件夹重定项等都会有延迟，这将会影响到排错。 , h, s" E2 X9 y9 T. z& x# _2、Windows 2000默认是同步处理组策略   h3 t. B# B1 I3 L( J3、我们应该： % O: q3 R( ]% u0 e! u+ O( R* D, @   （1）不想让操作系统来决定组策略的处理方式  Q3 ?7 F4 e5 [: T$ c/ \    （2）也不想其它因素影响排错 + p5 {8 O, y" \1 P6 ^) `! l0 J0 V4、这个策略的位置在：计算机配置>管理模板>系统>登录>计算机启动和登录时总是等待网络（这个启用后，XP就使用同步处理的方式，这样应用GPO就不会有延迟了） . o8 |: e- ^" L' o 6 f" K+ t( x8 r( F  V' t 降龙十八掌第十式——神龙摆尾：使用GPO命名惯例" o0 Q* n7 W/ y' {% X 1、保证GPO的一致性，并保证容易理解（创建GPO的管理员越多，一致性越差）: l8 a) b) O" v" A8 q 2、使用简洁的名字描述GPO的意图 4 n6 @0 z* d& F% ~( P' x$ I3、微软使用的命名惯例： - Q% R* V  z' @4 T  `$ w三个关键字符： 1 S2 B7 g$ ~/ [1 h: ]$ W/ i: o% V    范围（end user最终用户,worldwide全部,IT）2 K$ Z% T9 }0 T5 w  b/ P     目的 0 b2 A5 s' w  v4 x- X6 ^. s; m    谁管理, q2 V* ?( o! g! v 示例：IT-office2003-ITG & l( a8 t& G& ` 1 ]' H0 Q0 J: V 降龙十八掌第十一式——鱼越于渊：为新的帐户指定策略6 L0 _6 W8 L8 O3 I. [! n( c. H' E  t 1、默认情况下，所有新的帐户在cn=Users或cn=Computers（GPO不能链接到这些容器） 2 A. j; X6 R; w. G# W- g6 t) q2、如果有Windows 2003域：, `, \! r1 M& X; w, g    （1）在域中使用“redirusr.exe”和“redircmp.exe”指定所有新计算机/用户帐户创建时的默认OU * h( w4 Y" l9 B! {5 `      （2）允许使用组策略管理新创建的帐户 , r' Q( k- i4 ]- e9 c- t3、要求Windows 2003域的功能级别为Windows 2003  M& E+ h7 {0 i: @ 4、参考KB#324929 / A- [: q0 f! v. d) i7 h; J. { . k, ~1 c5 t6 x- y+ I' |# ~ 降龙十八掌第十二式——见龙在田：怎么才能阻止用户访问特定的驱动器（E：、F：、G：、H：、.etc）? ! j6 O' C; q" w( L. ?1、组策略中包含的设置 0 t2 h( `4 B+ d* ~; @+ `   用户配置>管理模板>windows组件>windows资源管理器>防止从“我的电脑”访问这些驱动器（要不就是所有，要不就是ABCD四个）9 o/ q' S8 G- u3 R; w$ M3 H 2、不能禁用其他的驱动器" B3 o4 J& O2 l& s0 f$ \; f 3、自定义管理模板或使用GPDriveOptions) \. C( o6 C$ G# t3 b 5 T& E1 h7 `! x6 s8 e( s* e降龙十八掌第十三式——双龙取水：密码存储安全 , j3 w5 u8 {1 ]1、windows 使用两种不同的密码表示方法（通常称为“哈希”）生成并存储用户帐户密码( Q9 J4 j. n& O, y2 l （1）当您将用户帐户的密码设置或更改为包含少于15位字符的密码时，windows会为此密码同时生成LAN Manager哈希（LM哈希）和windows NT哈希（NT哈希）% S! [" h7 ^1 u, E8 A2 x4 | （2）这些哈希存储在本地安全帐户管理器（SAM）数据库或Active Directory中。. x; b+ p- A9 a1 V5 D8 p （3）与NT哈希相比，LM哈希相对较弱，因此容易遭到暴力攻击。 . K: f- w2 I& |& S（4）考虑阻止windows 存储密码的LM哈唏 ' T$ N) g0 a1 C  z2、不允许存储LM哈希值（windows XP或windows server2003）6 A' y* Y$ G# q, l6 G4 Y  ~$ R& Z （1）计算机配置>windows设置>安全设置>本地策略>安全选项>网络安全：不要在下次更改密码时存储LAN Manager哈希值。2 a1 W7 J3 k' w （2）有些产品或者应用程序依赖于LM哈唏（Win9x没有安装活动目录客户端和第三方SMB客户端例：samba）.% }- e2 C& {3 D 3、参考KB 2996565 r- p- z3 z) W$ M4 D ' D7 q2 R8 z8 x/ G5 I- D降龙十八掌第十四——时乘六龙：清空上次登录的用户名1 r# C- E5 k& G# p( q 1、如果便携电脑被盗，盗窃者需要猜测两个部分（用户名、密码） & P( P  J9 p& B. y( w% M6 O" ]2、计算机配置>windows设置>本地策略>安全选项>交互式登录：不显示上次登录名 $ P" H7 V% g/ E* T具体应用场景：台式机设置不显示上次登录名的必要性小点，主要是针对便携式计算机，可以给便携式计算机建个OU，设置不显示上次登录用户名的策略。. T' W( T& ?, e0 q8 z* x + @% |" p, a2 _. J+ M& ?5 Z7 g4 D: N降龙十八掌第十五式——密云不雨：面对密码猜测 , J, }+ ^- j' X0 L2 r" o1、使用清空上次登录的用户名技巧 : ]& u& n# Y, n6 r" B2 A2、最好能布置监视的工具（最佳技巧） ! \5 H, Q1 m2 j（1）不要实现帐户锁定策略（别人就可以利用脚本进行不停的猜测密码，这就会形成一种拒绝服务攻击，让所有域用户帐户锁定），集中在面对密码猜测的响应。% j. I, Z$ Z$ j3 V （2）如果可能，在特定的周期内对大量的密码猜测让系统自动响应（找出猜密码的人，而进一步做处理）。7 H5 x: G# a% n; w% z 2、如果没有监视工具, Y3 r; H: x" Z7 S （1）考虑使用帐户锁定策略, e3 q. j) s8 b* g （2）增加了管理上的负担1 J: l" d, q% A+ ~# m2 Q5 C* V （3）接受DOS攻击（通过隐藏上次的登录名减少攻击）% k; m& i! e3 J9 x* b7 M. H ( t" i/ w" F  x- N9 T+ ^7 @- @3 ? 降龙十八掌第十六式——损则有孚：创建登录警报 , H- Q1 L" q+ ~6 r1、通常用于实现通知用户他们使用的系统属于公司并且他们系统被监视。 7 p3 }5 F* s  m- z( `0 D, b2、计算机配置>windows设置>本地策略>安全选项>交互登录：用户试图登录时的消息文字 2 l  g$ N5 g! e! n$ v3、消息文字中提示的内容可以做也可以不去做一但是使用消息文字，最起码可以让你的老板知道您正在做您的份内工作。 % b- T, G1 _5 p8 Q  A% f . y# ]3 W( _' X 降龙十八掌第十七式——履霜冰至：严格控制Default Domain controllers Policy用户权利8 I) V( ~. V1 H 位置：Default Domain Controllers Policy>计算机配置>Windows设置>安全设置>本地策略>用户权限指派. e& @; Y/ I  }  [$ } % d9 ~4 n' S+ w3 h! a: Z 降龙十八掌第十八式——抵羊触藩：限制匿名枚举  f6 e1 G- Y  I5 R# e 匿名枚举：黑客不用提交用户名和密码，他只要能通过命名管道（IPC$）能连闯上来，他就可以通过匿名的方式列出来我这电脑有那些用户，有那些共享，这就对域控制器非常危险的。 3 D$ c/ Z( `7 V0 f& Z  u/ W1、匿名枚举允许非授权的客户端请求信息 0 ~) y/ ?$ t, Y) r7 o7 I9 Z$ r! y% w* {（1）域成员列表 ( I* Q: M* o6 O3 ^" T（2）列出可用的共享 ; J$ }$ G4 Y5 o( ]2、Default Domain Controllers Policy>计算机配置>Windows设置>安全设置>本地策略>安全选项>网络访问 : W- i2 E- W. y（1）允许匿名SID/名称转换（防止用户使用已知的SID猜测管理员的用户名） 5 G0 f) t5 F* V2 k& G& C6 m" f（2）不允许SAM帐户的匿名枚举（防止匿名用户从SAM数据库收集信息） 4 l! D8 d; d9 Z' V3 X( p0 N) @（3）不允许SAM帐户和共享的匿名枚举（防止匿名用户从SAM数据库收集信息并枚举共享） 0 ~$ \; a/ e  [# F) u* n& t（4）让每个人的权限应用于匿名用户（用户控制是否让匿名用户具有和everyone一样的权利）6 p' e& n* ]4 Z9 P. ]0 W! H1 ] （5）限制匿名访问的命名管道/共享（控制匿名用户是否能访问共享资源） 5 \& s# }$ f3 w+ h4 J" x 1 f- q/ b# q+ f% V: ` （以上为使用组策略的一些技巧其中的“降龙十八掌”希望对大家有所帮助，下面我在奉献三招“独孤九剑”）* Y# N4 N5 K: N  Z- v8 j ! l* G1 G. @' `, @* H+ _ 独孤九剑第一招“总诀式”：关机清理页面文件 ' a" S* W$ Q1 U8 F: ~% V1、页面文件中存放着很多有用的信息，像临时仓库2 p" q6 |4 C- I* i  U( E 2、创建/清理硬盘上的虚拟内存页面文件将增加开机和关机时间 6 _' E( ], |) F+ k6 E3、这是一个安全考虑（建议无论是DC还是客户端都应启用这个策略）  m& R* C- q& s* s% J 位置：计算机配置>Windows设置>安全设置>本地策略>安全选项>关机：清除虚拟内存页面文件& |1 _* B% x% f" t1 o  V5 _ 7 D# f6 {$ w, U& r2 @" h 独孤九剑第二招是“破剑式”：打开审核和更改日志文件大小 & k# A% z3 n( M4 z1 N1、改变所有日志文件大小为10MB+  D) \: q  I0 [. T2 D （1）计算机配置>Windows设置>安全设置>事件日志>[日志名字]日志最大值 1 |" e7 `( w$ B+ B（2）为每个节点设置保持方法。建议方法：不要覆盖事件（手动清除日志）+ r9 j/ ?( }" }5 S6 e0 Y  |0 N 2、禁用如果无法记录安全审核则立即关闭系统（例：Windows设置的日志大小是200M，经过一段时间，日志写满了，那服务器就会自动关机的） 1 [! s8 T+ c- y, h计算机配置>Windows设置>安全设置>本地策略>安全选项>审核：如果无法记录安全审核则立即关闭系统 # M, ?8 M& j( t5 ~最佳实践4 F0 N/ |: E1 G8 ~3 o/ @7 R8 f) X+ O ) t+ Q% E2 n$ O# N; f4 l( y （只有启用“帐户登录”事件才记录用户从客户端登录的事件） % e& Q/ B% o4 o; W+ W$ | % u. X1 ~  Y8 y, n! b0 A7 Y) ~独孤九剑第三招“破刀式”：强制使用LM离开您的网络 9 a1 d  d) `  i7 i' o1、网络中使用哈唏做身份验证的若干种方法/ }( |! U6 s- A* @ （1）LM：非常脆弱，很容易被sniffer捕获到口令! [  k3 j; }- t  B （2）NTLM v1：比LM安全，但仍然容易被攻击 6 K3 m7 r9 I5 T! b（3）NTLM v2：较安全，但是不被以前的客户端支持 : `2 r2 Z. }! P3 [) K- p0 f. N) E（4）Kerberos：非常安全，不被以前的客户端支持& `: P  B7 A, e 2、有些产品依赖于LM哈唏 ' C1 S* K4 v2 V  t. ]. K6 P0 a0 n（1）Win9x（没有安装活动目录客户端）* X8 w' Q' \5 ?2 g （2）第三方的SMB客户端（samba） 3 A& J/ W4 w0 k' C* m/ m3 o3、设置合适的LM兼容级别 : L* R) q/ [0 Y$ UDefault Domain Controllers Policy>计算机配置>Windows设置>安全设置>本地策略>安全选项>网络安全：LAN Manager身份验证级别（建议设定不在支持LM） 7 u: ?8 d- e9 P0 K4 p" |4、参考KB 239869'