admin管理员组文章数量:1566220
2024年7月23日发(作者:)
组策略与安全设置
系统管理员可以通过组策略的强大功能,来充分管理网络用户与计算机的工作环境,
从而减轻网络管理的负担。
组策略概述
组策略是一个能够让系统管理员充分管理用户工作环境的功能,通过它来确保用户拥
有应有的工作环境,也通过他来限制用户。因此,不但可以让用户拥有适当的环境,也可
以减轻系统管理员的管理负担。
组策略包含计算机配置与用户配置两部分。计算机配置仅对计算机环境产生影响,而
用户设置只对用户环境有影响。可以通过以下两个方法来设置组策略。
本地计算机策略:可以用来设置单一计算机的策略,这个策略内的计算机配置只会背
应用到这台计算机,而用户设置会被应用到在此计算机登陆的所有用户。
域的组策略:在域内可以针对站点,域或组织单位来设置组策略,其中,域组策略内
的设置会被应用到域内的所有计算机与用户,而组织单位的组策略会被应用到该组织单位
内的所有计算机与用户。
对添加域的计算机来说,如果其本地计算机策略的设置与域或组织单位的组策略设置
发生冲突,则以域或组织单位组策略的设置优先,也就是此时本地计算机策略的设置值无
效。
本地计算机策略实例演示
以下利用未加入域的计算机来练习本地计算机策略,以免受到域策略的干扰,造成本
地计算机策略的设置无效,因而影响到验证实验结果。
计算机配置实例演示
当我们要将Windows Server2012 计算机关机时,系统会要求我们提供关机的理由,
以下实例完成后,系统就不会在要求你说明关机理由了。
开始运行中输入-计算机配置-管理模板-系统-显示“关闭事件跟踪程序“-
单击 已禁用
以后关机或重启计算机时,系统都不会再询问了。
注:请不要随意更改计算机配置,以免更改可能影响系统正常运行的设置值。
用户配置实例演示
以下通过本地计算机策略来限制用户工作环境:删除客户端浏览器IE内Internet选
项的安全和连接标签。也就是经过以下设置后,浏览器内的安全和连接标签消失了。
用户配置-管理模板-windows组件-IE-ie控制面板-禁用连接页和禁用安全页 设置为
启用,此设置会立即应用到所有用户。
域组策略实例演示
虽然在域内可以针对站点,域或组织单位来设置组策略,但是以下内容将仅针对常用
的域与组织单位进行说明。
组策略基本概念
如图,可以针对来设置组策略,此策略设置会被应用到域内所有计算机
与用户,包含图中组织单位业务部内所有计算机与用户。
还可以针对组织单位业务部设置组策略,此策略会应用到该组织单位内所有计算机与
用户。由于业务部会继承域contoso的策略设置,因此业务部最后的有效设置是域contoso
的策略设置加上业务部的策略设置。
如果业务部的策略设置与域的策略设置发送冲突,默认以业务部的策略设置优先。
组策略是通过GPO进行设置的,当讲GPO链接到域或组织单位业务部后,此GPO
设置值就会被应用到域或组织单位业务部内所有用户与计算机。系统已经内置了两个GPO,
他们分别如下所示。
Default Domain Policy:此GPO已经被连接到域,因此这个GPO内的设置值会
被应用到域内的所有用户与计算机。
Default Domain Controllers Policy:此GPO已经被连接到组织单位Domain
Controllers,因此这个GPO的设置值会被应用到Domain Controlers内的所有用户与计
算机。Domain Controllers 内默认只有扮演域控制器角色的计算机。
也可以针对业务部创建多个GPO,此时这些GPO中的设置会合并起来应用到业务部
内的所有用户与计算机。如果这些GPO内的设置发送冲突,则以排列在前面的优先。
域主策略实例演示1-隐藏Windows防火墙
以下假设要针对业务部内的所有用户进行设置,并设置让这些用户登录后,其控制面
板内的windows防火墙自动被删除。我们要创建一个链接到组织单位业务部的GPO,并
且通过此GPO内的用户设置进行设置。
1. 打开组策略管理
2. 展开组织单位业务部-选中物业部并单击鼠标-在这个域中创建GPO并在此处链接。
注:在图中可以看到内置GPO请不要随意更改这两个GPO的内容,以免影响系统的
正常运行。
可以对着组织单位单击鼠标右键后选择阻止继承,表示不要继承域策略设置。也可以
对着域GPO(例如Default Domain Policy)单击鼠标右键选择强制,表示域下的组织单
位必须继承此GPO设置,无论组织单位是否选择阻止继承。
1. 为此GPO命名(假设是测试用的GPO)
2. 选择GPO右键编辑
3. 展开用户配置-策略-管理模板-控制面板-隐藏指定的控制面板项-勾选已启用-单击
显示-输入Windows防火墙(windows与防火墙之间有个空格)
4. 到客户端计算机上利用业务组内任意账户登录打开控制面板-系统和安全,可以看到
windows防火墙没有出现。
域组策略实例演示2-限制可执行文件的运行
假设要针对业务部内的所有计算机(图中只有一台计算机)进行设置,并且禁止所有
用户在这些计算机上运行浏览器IE。我们将利用前一个实例创建的测试用GPO来练习。
我们要通过图中组织单位业务部内的计算机PC1进行练习,如果要练习的计算机在
Computer容器,将其移动到组织单位业务部(请不要移动位于Domain Controlles内的
域控)。
APPLocker基本概念
我们将利用APPLocker功能来阻止IE。AppLocker可以让你针对不同类别的程序来
设置不同的规则,它共分为以下5大类别。
可执行文件规则:适用于.exe与.com程序。
Windows安装程序规则:适用于.程序。
脚本规则:适用于.ps1 .bat .cmd .vbs .js程序。
已封装的应用程序规则:适用于.appx程序(windows应用商店的程序)。
DLL规则:适用于.dll .ocx程序。
注:支持AppLocker的域成员:Win8Sta/Ent/Pro, Win7ult/Ent,Win2012 Data/Sta,
Win 2008R2 Data/Ent/Sta。
如果要针对Win XP等旧客户端来封锁,请利用软件限制策略。
域组策略与AppLocker 实例演示
Win8 可以通过菜单中IE来打开浏览器,默认位置pro 中。以下范例将
禁用,但是不阻止其他动态磁贴程序。
1. 编辑测试用GPO。
2. 计算机配置-策略-Windows设置-安全设置-应用程序控制策略-AppLocker-选中
可执行规则并单击鼠标右键-创建默认规则。
注:一旦创建规则后,凡是未在规则内的执行文件都会被阻止,因此我们需要先通过
此步骤来创建默认规则,这些默认规则允许普通用户执行Program Files与Windows文
件夹内的所有程序,允许系统管理员执行所有程序。
3. 右侧的3个允许规则是前一个步骤所创建的默认规则,接着选中可执行规则并右键
-创建新规则
注:因为DLL规则会影响系统性能,并且如果没正确设置,还可能造成意外事件,因
此默认并没有显示DLL规则,除非通过选择AppLocker并右键-属性-高级的方法进行选
择。
4. 默认一路下一步,到选择路径。
注:如果程序已经签署,还可以根据发布者进行设置,也就是拒绝,允许指定发布者
签署,也可以通过文件哈希进行设置,此时系统会计算程序的哈希值,客户端用户执行程
序时,客户端计算机也会计算其哈希值,只要哈希值与规则内的程序相同,就会被拒绝执
行。
5. 选择浏览文件,IE路径然后一路下一步。
注:由于每台客户端计算机的IE安装文件夹可能不同,因此系统自动将
C:Programme Files改为变量表示法%PROGRAMFILES%。
6. 完成后的界面
7. 一旦创建规则后,凡是未列在规则内的执行文件都会被阻止,虽然我们是在可执行
规则处创建规则,但是已封装的应用程序也会被阻止(例如气象,等应用商店磁贴),因此
我们还需要在封装应用规则处来开发已封装的应用程序,只要通过创建默认规则来开放即
可:选择封装应用规则-创建默认规则,此默认规则会开放所有已签署的已封装的应用程序。
注:不需要在Windows安装程序规则与脚本规则类别中创建默认规则,因为他们没
有受到影响。
8. 客户端需要启动Application Identity服务才享有Applocker功能。可以到客户端
计算机来启动此服务,或者通过GPO为客户端进行设置。
9. 重启PC1,然后利用普通账户登录。(生效貌似比较慢,我在做这个实验的时候还检
查了半天怎么不生效,等了会才好。)
AppLocker的补充说明
如果在规则类别内创建了多个规则,其中有的是允许规则,有的是拒绝规则,则
AppLocker在处理这些规则时以拒绝规则优先,至于没有列在规则内的应用程序一律拒绝
其执行。
另外当我们在组织单位业务部内的GPO通过AppLocker规则来限制计算机执行程序
后,一般而言,等这个规则应用到客户端计算机后就生效,但也有一些特殊情况,因为它
还与规则强制设置有关。
规则强制设置分为未配置,强制规则与仅审核3种,默认是未配置,下图状态都显示
为 未配置强制:强制规则。冒号前面的未配置强制表示他们的规则强度设置都是未设置,
而未配置的规则类别默认会被设置为强制规则。
如果要更改规则强制设置,请单击上图右侧上方的配置规则强制,然后再下图的对话
框中针对不同的规则类别进行勾选,并且可以选择仅审核,仅审核会审核用户执行程序的
行为,但是不会强制,也就是用户不会受到规则的限制,但是系统会在AppLocker事件日
志中记录。只可以对整个类别设置规则强制,无法单独对单一规则进行设置。
如果组织单位业务部有多个GPO,这些GPO的AppLocker规则会合并应用到业务
部内的计算机。如果组织单位业务部上层的域处也设置规则,则这些规则
也会合并到业务部计算机。
如果业务部的规则强制设置为未配置,当上层域已设置,则会继承设置。
不过,如果业务部规则强制已设置,无论上层域处的规则设置为何,业务规则设置就
是其本身。
组策略例外排除
前面测试过用组策略来禁用Windows防火墙,但是也可以让此GPO不要应用到特
定用户,例如业务部经理Paul,这样他就仍然可以使用Windows防火墙。这个操作被称
为组策略筛选。
组织单位业务部内的用户,默认都会应用该组织单位的所有GPO设置,因为他们对这
些GPO都具备有读取与应用组策略权限,已测试用的GPO为例,可以通过,单击测试用
GPO的委派-高级按钮的方法得知Authenticated Users具有这两个权限。
如果不想将此GPO设置应用到用户Paul,只要单击添加,选择用户Paul,然后将Paul
的这两个权限设置为拒绝即可。
本地安全策略
我们可以利用本地计算机策略中的安全设置或管理工具-本地安全策略的方法来确保
计算机的安全,这些设置包含密码策略,账户锁定策略与本地策略等。
利用本地安全策略进行练习,请到未加域的计算机上练习,以免受到域组策略的干扰,
因为域组策略的优先级较高,可能会造成本地安全策略的设置无效,因而影响验证实验结
果。
账户策略的设置
此处简单介绍个别的使用策略与锁定方式
密码策略
注:在单击上图右侧的策略后,如果系统不让你修改设置值,表示这台计算机已经加
入域,并且该策略在域内已经设置了,此时会已域设置为其最后有效设置(未加入域之前,
已经在本地设置的相对策略自动无效)。
用可还原的加密来存储密码:如果应用程序需要读取用户的密码,以便验证用户身份,
就可以启用此功能。不过,由于它相当于用户密码没有加密,因此不安全,所以建议如非
必要,请不要启用此功能。
账户锁定策略
账户锁定阈值:用来设置用户登录多次失败后,就将该账户锁定。在未被解除锁定之
前,用户无法再利用此账户登录。
重置账户锁定计算器:锁定计数器用来记录用户登录失败的次数,其初始值为0,如果
用户登录失败,则锁定计数的值就会加1;如果登陆成功,则锁定计数器的值就会归零。如
果锁定计数器的值等于等于账户锁定阈值,该账户就会被锁定。
如果用户连续两次登陆失败的间隔时间超过此处设置值,锁定计数器值就会自动归零。
如下图,如果用户连续3此登陆失败,其账户就会被锁定。不过,在尚未连续3次登陆失
败之前,如果前一次登陆失败后到此次失败之间的间隔时间已经超过30分钟,则锁定计数
器值就会从0开始计算,因此这次登陆失败,仍算第一次。
域与域控制器安全策略
域安全策略的设置
由于域安全策略的设置方式与本地安全策略相同,因此此处不再复述,仅列出注意事
项。
1. 隶属于域的任何一台计算机,都会受到域安全策略的影响。
2. 隶属于域的计算机,如果其本地安全策略与域安全策略发送冲突,则以域安全策略
设置优先,也就是本地设置自动无效。
3. 当域安全策略的设置发生了变化,这些策略必须应用到本地计算机后,才能对本地
计算机有效。应用时,系统会比较域安全策略与本地安全策略,并以域安全策略的设置优
先。本地计算机何时才会应用在域策略内有变化的设置呢?
本地安全策略有变化时
本地计算机重启时
如果此计算机是域控,则默认它每隔5分钟会自动应用;如果此计算机不是域控制
器,则默认它每隔90-120分钟会自动应用。应用时会自动读取有关变化的设置。即使策
略设置没有发生变化,所有计算机每隔16小时也会自动强制应用域安全策略内的所有设
置。
运行gpupdate命令来手动应用;如果强制应用(即使策略设置没有变化),请执行
gpupdate/force。
注:如果域内有多台域控制器,则域成员计算机在应用域安全策略时,是从其所连接
的域控读取与应用策略。不过,因为这些策略设置,默认都固定保存在域内的第一台域控,
也就是PDC操作主机内,而系统默认是在15秒钟后将这些策略设置复制到其他域控。必
须等到这些策略设置被复制到其他域控后,才能保证域内的所有计算机都可以成功地应用
这些策略。
域控制器安全策略的设置
下面列出一些主要事项。
域控制器安全策略与域安全策略的设置发送冲突时,对位于Domain Controllers容
器内的计算机来说,默认以域控制器安全策略的设置优先,也就是域安全策略自动无效。
不过,账户策略属于例外:域安全策略中的账户策略设置对域内的所有用户都有效,就算
位于Domain Controllers也有效,也就是说域控安全策略的账户策略对域控病不起作用。
注:系统提供一个称为安全配置向导的工具,运行时,它会读取当前这台服务器所扮
演的角色,功能,服务等,并将这些设置保存到文件内,你就可以将这个文件拿到其他服
务器上应用。安全配置向导位于开始屏幕的管理工具内。
组策略首选项
组策略可以做到当用户登录时自动连接网络驱动器,打印机等等。
审核资源的使用
审核功能让管理员跟踪是否有用户访问计算机内的资源,跟踪计算机运行情况等。
通过审核策略所记录的数据被记录到安全日志文件内。
天太热了,这后面2个东西不高兴做实验记录了,就这样吧。我去做故障转移文件服
务器群集的实验了。
版权声明:本文标题:组策略与安全设置 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://www.elefans.com/dongtai/1721702584a892189.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论