组策略最佳实践

PreparedbyMarkZhou徐鹏MSN：fogyisland_x@hotmail.comE-Mail:Raymond_xu@acer.com.cnRaymondxuAcerConfidential2020/1/21-Slide2议程•组策略的概念•组策略对象相关概念•组策略的种类•组策略相关工具介绍•策略项目功能详解•利用组策略进行程序安装•自定义策略的实施•组策略最佳实践•基于第三方工具的组策略实施•综合案例AcerConfidential2020/1/21-Slide3•组策略的概念•组策略对象相关概念•组策略的种类•组策略相关工具介绍•策略项目功能详解•利用组策略进行程序安装•自定义策略的实施•组策略最佳实践•基于第三方工具的组策略实施•综合案例AcerConfidential组策略的概念•组策略是一种在用户或计算机集合上强制使用一些配置的方法，组策略定义了用户的桌面环境等多种设置。使用组策略可以给同组的计算机或者用户强加一套统一的标准。2020/1/21-Slide4AcerConfidential组策略的功能•支持用户和计算机使用ONE-MANY的管理方式•可以强制实施基于企业的Baseline相关的标准•简化管理任务•统一企业桌面标准•基于自动化脚本减轻IT工作任务2020/1/21-Slide5AcerConfidential用户、OU、策略的关系•用户隶属于OU，OU可套用组策略•基于通俗的方式来说，OU就是中国的一个省，用户是这个省的公民，而策略就是这个省的当地法律2020/1/21-Slide6AcerConfidential系统默认策略•DefaultDomainPolicy默认域全局策略，针对整个活动目录执行的策略标准•DefaultDomainPolicy针对活动目录所有的域控制器的策略，2020/1/21-Slide7AcerConfidential组策略存储位置•组策略对象（由GUID标志，在域级别存储）2020/1/21-Slide8AcerConfidential2020/1/21-Slide9•组策略的概念•组策略对象相关概念•组策略的种类•组策略编辑工具介绍•策略项目功能详解•实例：利用组策略统一客户端环境•实例：利用组策略增强安全设置•利用组策略进行程序安装•组策略最佳实践•基于第三方工具的组策略模版设置•综合案例AcerConfidential组策略的种类-本地策略•基于客户端本地的安全策略模版的设置，可设置的项目少，如果加入域。大部分功能会被域组策略取代2020/1/21-Slide10AcerConfidential组策略的种类-域策略•基于活动目录策略模版的策略设置集合，所有的文件保存在SYSVOL中。2020/1/21-Slide11AcerConfidential可以链接组策略的对象站点域OU2020/1/21-Slide12AcerConfidential计算机应用策略的前提条件•1.计算机和用户必须位于GPO所连接的OU上面•2.对GPO有读取和应用的权限2020/1/21-Slide13AcerConfidential组策略的配置项目•计算机策略应用到计算机上面的策略，这个策略如果需要运行，则必须计算机隶属于这个策略所在的OU或者下层OU•用户策略策略只应用到这个OU上的用户，其他对象不收到影响组策略设置项目未配置已启用未启用2020/1/21-Slide14AcerConfidential组策略刷新周期2020/1/21-Slide15默认是90分钟，可以修改。使用GPUPDATE/Force立即生效AcerConfidential组策略的执行顺序2020/1/21-Slide16AcerConfidential如果出现了策略冲突-后执行的优先级别高•1.计算机和用户策略冲突则覆盖用户策略如果用户在阻止文件中有冲突，可以看看结果•2.不同层次的策略产生冲突时，子容器的GPO优先级别高•3.同一个容器上多个GPO冲突时，最高位置最后执行，所以优先级别高2020/1/21-Slide17AcerConfidential改变优先级别的方法•阻止继承•强制（禁止替代）•修改安全筛选2020/1/21-Slide18AcerConfidential组策略安全过滤•防止不该运用策略的用户运行，利用安全的选项设置DEMO2020/1/21-Slide19AcerConfidential基于慢速网络的组策略应用•慢速网络的定义：速度低于500K的网络,用户可自定义慢速网络以下策略不会被应用：1.软件部署2.脚本3.文件夹重定向2020/1/21-Slide20AcerConfidential组策略的执行模式•同步模式-基于Windows2000、2003组策略应用模式•异步模式-基于WindowsXP的登陆模式如果需要用户完全应用到策略，则必须使用将异步模式修改为同步模式2020/1/21-Slide21AcerConfidential组策略环回处理•什么是组策略环回处理呢？组策略对象有用户和计算机策略，通常对于普通用户来说，计算机策略和用户策略都会执行。但是对于非需要定制的用户，比如公共计算机或者大量用户公用计算机，我们则不需要对用户实现策略控管，这个时候我们就不用执行用户策略一般使用地点：公共教室、公共使用电脑两种模式：替换模式，只执行计算机策略，不执行用户策略合并模式，执行用户和计算机策略，当用户策略和计算机策略相冲突的时候，以计算机策略为准2020/1/21-Slide22AcerConfidential2020/1/21-Slide23•组策略的概念•组策略对象相关概念•组策略的种类•组策略编辑工具介绍•策略项目功能详解•利用组策略进行程序安装•组策略最佳实践•组策略修复•基于第三方工具的组策略模版设置•综合案例•组策略排错AcerConfidential组策略管理工具•GPMCGPMC工具介绍组策略创建、编辑与链接组策略的复制粘贴组策略的备份与还原组策略结果集组策略建模迁移组策略2020/1/21-Slide24AcerConfidentialGPMC管理工具•属于MMC管理控制管理单元一组可编写脚本的组策略管理接口•GPMC的设计意图在于提供一个统一的场所来实现组简化组策略简化管理实现组策略所有相关的管理任务一站式2020/1/21-Slide25AcerConfidential影响GPO作用范围的因素•设置强制还是拒绝继承？•安全筛选器•WMI筛选器2020/1/21-Slide26AcerConfidential组策略的编辑与链接2020/1/21-Slide27AcerConfidential组策略建模•基于组策略现有设置进行预执行了解整个结果集来判断是否符合预期要求2020/1/21-Slide28AcerConfidential组策略结果集•基于组策略实际计算机执行组策略结果后的运行集合2020/1/21-Slide29AcerConfidential组策略的复制与粘贴•域内复制•跨域、跨森林复制2020/1/21-Slide30AcerConfidential组策略的备份与还原2020/1/21-Slide31AcerConfidential组策略备份的内容•GPO的名称、GUID•GPO的设置•GPO的DACL（自定义访问列表）•WMI筛选器链接（不是筛选器对象）•执行备份的时间戳2020/1/21-Slide32AcerConfidential组策略的还原2020/1/21-Slide33AcerConfidential组策略的导入•可以由备份的策略导入现有的GPO对象•可以跨域、跨森林操作2020/1/21-Slide34AcerConfidential组策略的迁移•迁移需求（跨域）实验环境-生产环境生产环境1-生产环境2•迁移解决方案复制+粘贴备份+导入•挑战安全主体（用户、组和计算机）UNC路径•迁移表影射源GPO中的安全主体、UNC到目标GPO的新值文件2020/1/21-Slide35AcerConfidential组策略的迁移2020/1/21-Slide36DEMOAcerConfidential2020/1/21-Slide37•组策略的概念•组策略对象相关概念•组策略的种类•组策略编辑工具介绍•组策略的安全设定•利用组策略进行程序安装•组策略最佳实践•组策略修复•基于第三方工具的组策略模版设置•综合案例AcerConfidential组策略安全设定-帐户策略•密码策略定义密码长度、复杂性、历史密码及留存周期等密码策略只能设置在域级别，而且只能有一个OU中的密码策略只应用到OU内部计算机2020/1/21-Slide38AcerConfidential组策略安全设定-用户锁定策略•防止攻击者恶意猜测用户名和密码的保护措施•默认的管理员不会被锁定2020/1/21-Slide39AcerConfidential本地安全权利指派•用户权利指派基于服务行为的用户指派•安全选项基于计算机安全选项方面的设置2020/1/21-Slide40AcerConfidential受限制的安全组设置•保护受限制的组成员不被更改•保护安全组成员的隶属关系不被更改千万注意的是，不要设置空成员的安全组。设置的结果将是该组所有成员将被删除，尤其不要对默认管理员组设置空成员，那样的结果是你的管理权限丢失。2020/1/21-Slide41AcerConfidential文件系统权限•通过组策略设置，我们可以：•改变文件系统的安全权限•保护系统文件的安全•禁用掉某些特定文件的运行2020/1/21-Slide42AcerConfidential可自定义的系统服务•可根据现有服务模版，进行系统服务定制：•如果不需要禁止，则不要禁止2020/1/21-Slide43AcerConfidential自定义注册表权限•防止恶意软件修改注册表某个键值，我们需要对注册表权限设置。实例-禁止对MOUNTPOINTS2进行访问及修改2020/1/21-Slide44AcerConfidential审核策略•审核日志定义：人过留名，雁过留声。你所做的操作会带来什么后果我不晓得？但是我知道你做了！审核日志的规划：确定计算机需要开启审核确定那些机器开启审核确定审核的对象需要审核的部分定期检查安全日志AcerConfidential软件限制策略•软件限制策略可处理对未知或者非信任的软件的调节需求•默认软件设置的安全级别：Unrestricted不受限制的Disallowed不允许的2020/1/21-Slide46AcerConfidential软件限制策略原则•基于Hash规则利用文件的MD5或者SHA1的HASH来做比较，如果文件版本过多的时候，可采用这种方式做校验。•证书规则•利用程序上面的数字签名来做比较，这部分比较少•路径规则•根据路径来做程序比较，此种方式适合不变更文件名称的结果•Internet区域规则•根据IE所在的区域来决定是否限制程序的下载和安装（只可用于MSI文件）2020/1/21-Slide47AcerConfidential规则的优先级-冲突机制•规则的优先级别•哈希规则-证书规则-路径规则-区域规则2020/1/21-Slide48AcerConfidential实例：利用HASH和路径规则限制NOTEPAD2020/1/21-Slide49AcerConfidential2020/1/21-Slide50•组策略的概念•组策略对象相关概念•组策略的种类•组策略编辑工具介绍•组策略的安全设定•利用组策略进行程序安装•组策略最佳实践•组策略修复•基于第三方工具的组策略模版设置•综合案例AcerConfidential利用组策略进行程序安装2020/1/21-Slide51AcerConfidential软件的指派•将软件指派给计算机计算机启动后安装后将自动安装在计算机里面安装的位置documentandsetting\alluser2020