組策略與安全設(shè)置

1、精選優(yōu)質(zhì)文檔-傾情為你奉上組策略與安全設(shè)置系統(tǒng)管理員可以通過(guò)組策略的強(qiáng)大功能，來(lái)充分管理網(wǎng)絡(luò)用戶與計(jì)算機(jī)的工作環(huán)境，從而減輕網(wǎng)絡(luò)管理的負(fù)擔(dān)。組策略概述組策略是一個(gè)能夠讓系統(tǒng)管理員充分管理用戶工作環(huán)境的功能，通過(guò)它來(lái)確保用戶擁有應(yīng)有的工作環(huán)境，也通過(guò)他來(lái)限制用戶。因此，不但可以讓用戶擁有適當(dāng)?shù)沫h(huán)境，也可以減輕系統(tǒng)管理員的管理負(fù)擔(dān)。組策略包含計(jì)算機(jī)配置與用戶配置兩部分。計(jì)算機(jī)配置僅對(duì)計(jì)算機(jī)環(huán)境產(chǎn)生影響，而用戶設(shè)置只對(duì)用戶環(huán)境有影響。可以通過(guò)以下兩個(gè)方法來(lái)設(shè)置組策略。l 本地計(jì)算機(jī)策略:可以用來(lái)設(shè)置單一計(jì)算機(jī)的策略，這個(gè)策略內(nèi)的計(jì)算機(jī)配置只會(huì)背應(yīng)用到這臺(tái)計(jì)算機(jī)，而用戶設(shè)置會(huì)被應(yīng)用到在此計(jì)算機(jī)登陸的所

2、有用戶。l 域的組策略:在域內(nèi)可以針對(duì)站點(diǎn)，域或組織單位來(lái)設(shè)置組策略，其中，域組策略內(nèi)的設(shè)置會(huì)被應(yīng)用到域內(nèi)的所有計(jì)算機(jī)與用戶，而組織單位的組策略會(huì)被應(yīng)用到該組織單位內(nèi)的所有計(jì)算機(jī)與用戶。對(duì)添加域的計(jì)算機(jī)來(lái)說(shuō)，如果其本地計(jì)算機(jī)策略的設(shè)置與域或組織單位的組策略設(shè)置發(fā)生沖突，則以域或組織單位組策略的設(shè)置優(yōu)先，也就是此時(shí)本地計(jì)算機(jī)策略的設(shè)置值無(wú)效。本地計(jì)算機(jī)策略實(shí)例演示以下利用未加入域的計(jì)算機(jī)來(lái)練習(xí)本地計(jì)算機(jī)策略，以免受到域策略的干擾，造成本地計(jì)算機(jī)策略的設(shè)置無(wú)效，因而影響到驗(yàn)證實(shí)驗(yàn)結(jié)果。計(jì)算機(jī)配置實(shí)例演示當(dāng)我們要將Windows Server2012 計(jì)算機(jī)關(guān)機(jī)時(shí)，系統(tǒng)會(huì)要求我們提供關(guān)機(jī)的理由，以下

3、實(shí)例完成后，系統(tǒng)就不會(huì)在要求你說(shuō)明關(guān)機(jī)理由了。開(kāi)始運(yùn)行中輸入gpedit.msc-計(jì)算機(jī)配置-管理模板-系統(tǒng)-顯示“關(guān)閉事件跟蹤程序“-單擊 已禁用以后關(guān)機(jī)或重啟計(jì)算機(jī)時(shí)，系統(tǒng)都不會(huì)再詢問(wèn)了。注：請(qǐng)不要隨意更改計(jì)算機(jī)配置，以免更改可能影響系統(tǒng)正常運(yùn)行的設(shè)置值。用戶配置實(shí)例演示以下通過(guò)本地計(jì)算機(jī)策略來(lái)限制用戶工作環(huán)境：刪除客戶端瀏覽器IE內(nèi)Internet選項(xiàng)的安全和連接標(biāo)簽。也就是經(jīng)過(guò)以下設(shè)置后，瀏覽器內(nèi)的安全和連接標(biāo)簽消失了。用戶配置-管理模板-windows組件-IE-ie控制面板-禁用連接頁(yè)和禁用安全頁(yè) 設(shè)置為啟用，此設(shè)置會(huì)立即應(yīng)用到所有用戶。域組策略實(shí)例演示雖然在域內(nèi)可以針對(duì)站點(diǎn)，域或

4、組織單位來(lái)設(shè)置組策略，但是以下內(nèi)容將僅針對(duì)常用的域與組織單位進(jìn)行說(shuō)明。組策略基本概念如圖，可以針對(duì)來(lái)設(shè)置組策略，此策略設(shè)置會(huì)被應(yīng)用到域內(nèi)所有計(jì)算機(jī)與用戶，包含圖中組織單位業(yè)務(wù)部?jī)?nèi)所有計(jì)算機(jī)與用戶。還可以針對(duì)組織單位業(yè)務(wù)部設(shè)置組策略，此策略會(huì)應(yīng)用到該組織單位內(nèi)所有計(jì)算機(jī)與用戶。由于業(yè)務(wù)部會(huì)繼承域contoso的策略設(shè)置，因此業(yè)務(wù)部最后的有效設(shè)置是域contoso的策略設(shè)置加上業(yè)務(wù)部的策略設(shè)置。如果業(yè)務(wù)部的策略設(shè)置與域的策略設(shè)置發(fā)送沖突，默認(rèn)以業(yè)務(wù)部的策略設(shè)置優(yōu)先。組策略是通過(guò)GPO進(jìn)行設(shè)置的，當(dāng)講GPO鏈接到域或組織單位業(yè)務(wù)部后，此GPO設(shè)置值就會(huì)被應(yīng)用到域或組織單位業(yè)務(wù)部?jī)?nèi)所有用戶與計(jì)算機(jī)。系

5、統(tǒng)已經(jīng)內(nèi)置了兩個(gè)GPO，他們分別如下所示。l Default Domain Policy：此GPO已經(jīng)被連接到域，因此這個(gè)GPO內(nèi)的設(shè)置值會(huì)被應(yīng)用到域內(nèi)的所有用戶與計(jì)算機(jī)。l Default Domain Controllers Policy：此GPO已經(jīng)被連接到組織單位Domain Controllers，因此這個(gè)GPO的設(shè)置值會(huì)被應(yīng)用到Domain Controlers內(nèi)的所有用戶與計(jì)算機(jī)。Domain Controllers 內(nèi)默認(rèn)只有扮演域控制器角色的計(jì)算機(jī)。也可以針對(duì)業(yè)務(wù)部創(chuàng)建多個(gè)GPO，此時(shí)這些GPO中的設(shè)置會(huì)合并起來(lái)應(yīng)用到業(yè)務(wù)部?jī)?nèi)的所有用戶與計(jì)算機(jī)。如果這些GPO內(nèi)的設(shè)置發(fā)送沖突

6、，則以排列在前面的優(yōu)先。域主策略實(shí)例演示1-隱藏Windows防火墻以下假設(shè)要針對(duì)業(yè)務(wù)部?jī)?nèi)的所有用戶進(jìn)行設(shè)置，并設(shè)置讓這些用戶登錄后，其控制面板內(nèi)的windows防火墻自動(dòng)被刪除。我們要?jiǎng)?chuàng)建一個(gè)鏈接到組織單位業(yè)務(wù)部的GPO，并且通過(guò)此GPO內(nèi)的用戶設(shè)置進(jìn)行設(shè)置。1. 打開(kāi)組策略管理2. 展開(kāi)組織單位業(yè)務(wù)部-選中物業(yè)部并單擊鼠標(biāo)-在這個(gè)域中創(chuàng)建GPO并在此處鏈接。注：在圖中可以看到內(nèi)置GPO請(qǐng)不要隨意更改這兩個(gè)GPO的內(nèi)容，以免影響系統(tǒng)的正常運(yùn)行?？梢詫?duì)著組織單位單擊鼠標(biāo)右鍵后選擇阻止繼承，表示不要繼承域策略設(shè)置。也可以對(duì)著域GPO（例如Default Domain Policy）單擊鼠標(biāo)右鍵選

7、擇強(qiáng)制，表示域下的組織單位必須繼承此GPO設(shè)置，無(wú)論組織單位是否選擇阻止繼承。1. 為此GPO命名（假設(shè)是測(cè)試用的GPO）2. 選擇GPO右鍵編輯3. 展開(kāi)用戶配置-策略-管理模板-控制面板-隱藏指定的控制面板項(xiàng)-勾選已啟用-單擊顯示-輸入Windows防火墻（windows與防火墻之間有個(gè)空格）4. 到客戶端計(jì)算機(jī)上利用業(yè)務(wù)組內(nèi)任意賬戶登錄打開(kāi)控制面板-系統(tǒng)和安全，可以看到windows防火墻沒(méi)有出現(xiàn)。域組策略實(shí)例演示2-限制可執(zhí)行文件的運(yùn)行假設(shè)要針對(duì)業(yè)務(wù)部?jī)?nèi)的所有計(jì)算機(jī)（圖中只有一臺(tái)計(jì)算機(jī)）進(jìn)行設(shè)置，并且禁止所有用戶在這些計(jì)算機(jī)上運(yùn)行瀏覽器IE。我們將利用前一個(gè)實(shí)例創(chuàng)建的測(cè)試用GPO來(lái)練習(xí)

8、。我們要通過(guò)圖中組織單位業(yè)務(wù)部?jī)?nèi)的計(jì)算機(jī)PC1進(jìn)行練習(xí)，如果要練習(xí)的計(jì)算機(jī)在Computer容器，將其移動(dòng)到組織單位業(yè)務(wù)部（請(qǐng)不要移動(dòng)位于Domain Controlles內(nèi)的域控）。APPLocker基本概念我們將利用APPLocker功能來(lái)阻止IE。AppLocker可以讓你針對(duì)不同類別的程序來(lái)設(shè)置不同的規(guī)則，它共分為以下5大類別。l 可執(zhí)行文件規(guī)則：適用于.exe與.com程序。l Windows安裝程序規(guī)則：適用于.msi.msp.mst程序。l 腳本規(guī)則：適用于.ps1 .bat .cmd .vbs .js程序。l 已封裝的應(yīng)用程序規(guī)則：適用于.appx程序（windows應(yīng)用商店的

9、程序）。l DLL規(guī)則：適用于.dll .ocx程序。注：支持AppLocker的域成員：Win8Sta/Ent/Pro， Win7ult/Ent，Win2012 Data/Sta，Win 2008R2 Data/Ent/Sta。如果要針對(duì)Win XP等舊客戶端來(lái)封鎖，請(qǐng)利用軟件限制策略。域組策略與AppLocker 實(shí)例演示W(wǎng)in8 可以通過(guò)菜單中IE來(lái)打開(kāi)瀏覽器，默認(rèn)位置pro fileieie.exe中。以下范例將禁用ie.exe,但是不阻止其他動(dòng)態(tài)磁貼程序。1. 編輯測(cè)試用GPO。2. 計(jì)算機(jī)配置-策略-Windows設(shè)置-安全設(shè)置-應(yīng)用程序控制策略-AppLocker-選中可執(zhí)行規(guī)則

10、并單擊鼠標(biāo)右鍵-創(chuàng)建默認(rèn)規(guī)則。注：一旦創(chuàng)建規(guī)則后，凡是未在規(guī)則內(nèi)的執(zhí)行文件都會(huì)被阻止，因此我們需要先通過(guò)此步驟來(lái)創(chuàng)建默認(rèn)規(guī)則，這些默認(rèn)規(guī)則允許普通用戶執(zhí)行Program Files與Windows文件夾內(nèi)的所有程序，允許系統(tǒng)管理員執(zhí)行所有程序。3. 右側(cè)的3個(gè)允許規(guī)則是前一個(gè)步驟所創(chuàng)建的默認(rèn)規(guī)則，接著選中可執(zhí)行規(guī)則并右鍵-創(chuàng)建新規(guī)則注：因?yàn)镈LL規(guī)則會(huì)影響系統(tǒng)性能，并且如果沒(méi)正確設(shè)置，還可能造成意外事件，因此默認(rèn)并沒(méi)有顯示DLL規(guī)則，除非通過(guò)選擇AppLocker并右鍵-屬性-高級(jí)的方法進(jìn)行選擇。4. 默認(rèn)一路下一步，到選擇路徑。注：如果程序已經(jīng)簽署，還可以根據(jù)發(fā)布者進(jìn)行設(shè)置，也就是拒絕，允許

11、指定發(fā)布者簽署，也可以通過(guò)文件哈希進(jìn)行設(shè)置，此時(shí)系統(tǒng)會(huì)計(jì)算程序的哈希值，客戶端用戶執(zhí)行程序時(shí)，客戶端計(jì)算機(jī)也會(huì)計(jì)算其哈希值，只要哈希值與規(guī)則內(nèi)的程序相同，就會(huì)被拒絕執(zhí)行。5. 選擇瀏覽文件，IE路徑然后一路下一步。注：由于每臺(tái)客戶端計(jì)算機(jī)的IE安裝文件夾可能不同，因此系統(tǒng)自動(dòng)將C:Programme Files改為變量表示法%PROGRAMFILES%。6. 完成后的界面7. 一旦創(chuàng)建規(guī)則后，凡是未列在規(guī)則內(nèi)的執(zhí)行文件都會(huì)被阻止，雖然我們是在可執(zhí)行規(guī)則處創(chuàng)建規(guī)則，但是已封裝的應(yīng)用程序也會(huì)被阻止（例如氣象，等應(yīng)用商店磁貼），因此我們還需要在封裝應(yīng)用規(guī)則處來(lái)開(kāi)發(fā)已封裝的應(yīng)用程序，只要通過(guò)創(chuàng)建默認(rèn)規(guī)

12、則來(lái)開(kāi)放即可：選擇封裝應(yīng)用規(guī)則-創(chuàng)建默認(rèn)規(guī)則，此默認(rèn)規(guī)則會(huì)開(kāi)放所有已簽署的已封裝的應(yīng)用程序。注：不需要在Windows安裝程序規(guī)則與腳本規(guī)則類別中創(chuàng)建默認(rèn)規(guī)則，因?yàn)樗麄儧](méi)有受到影響。8. 客戶端需要啟動(dòng)Application Identity服務(wù)才享有Applocker功能。可以到客戶端計(jì)算機(jī)來(lái)啟動(dòng)此服務(wù)，或者通過(guò)GPO為客戶端進(jìn)行設(shè)置。9. 重啟PC1，然后利用普通賬戶登錄。（生效貌似比較慢，我在做這個(gè)實(shí)驗(yàn)的時(shí)候還檢查了半天怎么不生效，等了會(huì)才好。）AppLocker的補(bǔ)充說(shuō)明如果在規(guī)則類別內(nèi)創(chuàng)建了多個(gè)規(guī)則，其中有的是允許規(guī)則，有的是拒絕規(guī)則，則AppLocker在處理這些規(guī)則時(shí)以拒絕規(guī)則優(yōu)

13、先，至于沒(méi)有列在規(guī)則內(nèi)的應(yīng)用程序一律拒絕其執(zhí)行。另外當(dāng)我們?cè)诮M織單位業(yè)務(wù)部?jī)?nèi)的GPO通過(guò)AppLocker規(guī)則來(lái)限制計(jì)算機(jī)執(zhí)行程序后，一般而言，等這個(gè)規(guī)則應(yīng)用到客戶端計(jì)算機(jī)后就生效，但也有一些特殊情況，因?yàn)樗€與規(guī)則強(qiáng)制設(shè)置有關(guān)。規(guī)則強(qiáng)制設(shè)置分為未配置，強(qiáng)制規(guī)則與僅審核3種，默認(rèn)是未配置，下圖狀態(tài)都顯示為 未配置強(qiáng)制：強(qiáng)制規(guī)則。冒號(hào)前面的未配置強(qiáng)制表示他們的規(guī)則強(qiáng)度設(shè)置都是未設(shè)置，而未配置的規(guī)則類別默認(rèn)會(huì)被設(shè)置為強(qiáng)制規(guī)則。如果要更改規(guī)則強(qiáng)制設(shè)置，請(qǐng)單擊上圖右側(cè)上方的配置規(guī)則強(qiáng)制，然后再下圖的對(duì)話框中針對(duì)不同的規(guī)則類別進(jìn)行勾選，并且可以選擇僅審核，僅審核會(huì)審核用戶執(zhí)行程序的行為，但是不會(huì)強(qiáng)制，也

14、就是用戶不會(huì)受到規(guī)則的限制，但是系統(tǒng)會(huì)在AppLocker事件日志中記錄。只可以對(duì)整個(gè)類別設(shè)置規(guī)則強(qiáng)制，無(wú)法單獨(dú)對(duì)單一規(guī)則進(jìn)行設(shè)置。如果組織單位業(yè)務(wù)部有多個(gè)GPO，這些GPO的AppLocker規(guī)則會(huì)合并應(yīng)用到業(yè)務(wù)部?jī)?nèi)的計(jì)算機(jī)。如果組織單位業(yè)務(wù)部上層的域C處也設(shè)置規(guī)則，則這些規(guī)則也會(huì)合并到業(yè)務(wù)部計(jì)算機(jī)。如果業(yè)務(wù)部的規(guī)則強(qiáng)制設(shè)置為未配置，當(dāng)上層域已設(shè)置，則會(huì)繼承設(shè)置。不過(guò)，如果業(yè)務(wù)部規(guī)則強(qiáng)制已設(shè)置，無(wú)論上層域處的規(guī)則設(shè)置為何，業(yè)務(wù)規(guī)則設(shè)置就是其本身。組策略例外排除前面測(cè)試過(guò)用組策略來(lái)禁用Windows防火墻，但是也可以讓此GPO不要應(yīng)用到特定用戶，例如業(yè)務(wù)部經(jīng)理Paul，這樣他就仍然可以使用Wi

15、ndows防火墻。這個(gè)操作被稱為組策略篩選。組織單位業(yè)務(wù)部?jī)?nèi)的用戶，默認(rèn)都會(huì)應(yīng)用該組織單位的所有GPO設(shè)置，因?yàn)樗麄儗?duì)這些GPO都具備有讀取與應(yīng)用組策略權(quán)限，已測(cè)試用的GPO為例，可以通過(guò)，單擊測(cè)試用GPO的委派-高級(jí)按鈕的方法得知Authenticated Users具有這兩個(gè)權(quán)限。如果不想將此GPO設(shè)置應(yīng)用到用戶Paul，只要單擊添加，選擇用戶Paul，然后將Paul的這兩個(gè)權(quán)限設(shè)置為拒絕即可。本地安全策略我們可以利用本地計(jì)算機(jī)策略中的安全設(shè)置或管理工具-本地安全策略的方法來(lái)確保計(jì)算機(jī)的安全，這些設(shè)置包含密碼策略，賬戶鎖定策略與本地策略等。利用本地安全策略進(jìn)行練習(xí)，請(qǐng)到未加域的計(jì)算機(jī)上練習(xí)

16、，以免受到域組策略的干擾，因?yàn)橛蚪M策略的優(yōu)先級(jí)較高，可能會(huì)造成本地安全策略的設(shè)置無(wú)效，因而影響驗(yàn)證實(shí)驗(yàn)結(jié)果。賬戶策略的設(shè)置此處簡(jiǎn)單介紹個(gè)別的使用策略與鎖定方式密碼策略注：在單擊上圖右側(cè)的策略后，如果系統(tǒng)不讓你修改設(shè)置值，表示這臺(tái)計(jì)算機(jī)已經(jīng)加入域，并且該策略在域內(nèi)已經(jīng)設(shè)置了，此時(shí)會(huì)已域設(shè)置為其最后有效設(shè)置（未加入域之前，已經(jīng)在本地設(shè)置的相對(duì)策略自動(dòng)無(wú)效）。用可還原的加密來(lái)存儲(chǔ)密碼：如果應(yīng)用程序需要讀取用戶的密碼，以便驗(yàn)證用戶身份，就可以啟用此功能。不過(guò)，由于它相當(dāng)于用戶密碼沒(méi)有加密，因此不安全，所以建議如非必要，請(qǐng)不要啟用此功能。賬戶鎖定策略賬戶鎖定閾值：用來(lái)設(shè)置用戶登錄多次失敗后，就將該賬戶鎖

17、定。在未被解除鎖定之前，用戶無(wú)法再利用此賬戶登錄。重置賬戶鎖定計(jì)算器：鎖定計(jì)數(shù)器用來(lái)記錄用戶登錄失敗的次數(shù)，其初始值為0，如果用戶登錄失敗，則鎖定計(jì)數(shù)的值就會(huì)加1；如果登陸成功，則鎖定計(jì)數(shù)器的值就會(huì)歸零。如果鎖定計(jì)數(shù)器的值等于等于賬戶鎖定閾值，該賬戶就會(huì)被鎖定。如果用戶連續(xù)兩次登陸失敗的間隔時(shí)間超過(guò)此處設(shè)置值，鎖定計(jì)數(shù)器值就會(huì)自動(dòng)歸零。如下圖，如果用戶連續(xù)3此登陸失敗，其賬戶就會(huì)被鎖定。不過(guò)，在尚未連續(xù)3次登陸失敗之前，如果前一次登陸失敗后到此次失敗之間的間隔時(shí)間已經(jīng)超過(guò)30分鐘，則鎖定計(jì)數(shù)器值就會(huì)從0開(kāi)始計(jì)算，因此這次登陸失敗，仍算第一次。域與域控制器安全策略域安全策略的設(shè)置由于域安全策略的

18、設(shè)置方式與本地安全策略相同，因此此處不再?gòu)?fù)述，僅列出注意事項(xiàng)。1. 隸屬于域的任何一臺(tái)計(jì)算機(jī)，都會(huì)受到域安全策略的影響。2. 隸屬于域的計(jì)算機(jī)，如果其本地安全策略與域安全策略發(fā)送沖突，則以域安全策略設(shè)置優(yōu)先，也就是本地設(shè)置自動(dòng)無(wú)效。3. 當(dāng)域安全策略的設(shè)置發(fā)生了變化，這些策略必須應(yīng)用到本地計(jì)算機(jī)后，才能對(duì)本地計(jì)算機(jī)有效。應(yīng)用時(shí)，系統(tǒng)會(huì)比較域安全策略與本地安全策略，并以域安全策略的設(shè)置優(yōu)先。本地計(jì)算機(jī)何時(shí)才會(huì)應(yīng)用在域策略內(nèi)有變化的設(shè)置呢？l 本地安全策略有變化時(shí)l 本地計(jì)算機(jī)重啟時(shí)l 如果此計(jì)算機(jī)是域控，則默認(rèn)它每隔5分鐘會(huì)自動(dòng)應(yīng)用；如果此計(jì)算機(jī)不是域控制器，則默認(rèn)它每隔90-120分鐘會(huì)自動(dòng)應(yīng)用。應(yīng)用時(shí)會(huì)自動(dòng)讀取有關(guān)變化的設(shè)置。即使策略設(shè)置沒(méi)有發(fā)生變化，所有計(jì)算機(jī)每隔16小時(shí)也會(huì)自動(dòng)強(qiáng)制應(yīng)用域安全策略內(nèi)的所有設(shè)置。l 運(yùn)行g(shù)pupdate命令來(lái)手動(dòng)應(yīng)用；如果強(qiáng)制應(yīng)用（即使策略設(shè)置沒(méi)有變化），請(qǐng)執(zhí)行g(shù)pupdate/forc