组策略最佳实践之“降龙十八掌
降龙十八掌第一式——亢龙有悔:单独保留默认的GPOs(推荐)
一、Default Domain Policy & Default Domain Controllers Policy
密码、账户锁定和Kerberos策略设置必须在域级别实现(若是在OU级别上去作,只是对计算机的本地用户生效而不是域用户)
还有如下设置:登陆时间用完自动注销用户,重命名(Domain)管理员账户和重命名(Domain)来宾账户。这些策略也必须在域级别实现,也是只有这些策略须要在域级别上设置。
二、使用如下两种方法:
(1)在Default Domain Policy仅修改以上策略设置,而后在其下连接其余GPO
(2)单独保留Default Domain Policy永不修改,建立并连接高优先级的GPO,
而后修改策略设置(推荐)
一、为何由于恢复损坏的默认的GPOs是个噩梦?(KB 22624三、KB 324800 —
KB267553)
四、不要依赖DCgpofix(这将是最后的还原工具),Dcgpofix还原默认的GPOs到干净的安装状态。最好的方法使用您的备份替代!
降龙十八掌第二式——飞龙在天:设计OU结构
一、将DC放在DC所在的OU里并单独管理
二、为用户和计算机建立单独的OU
三、使用OU把用户/计算机按照角色分组,
例如:
(1) 计算机:邮件服务器、终端服务器、WEB服务器、文件和打印服务器、便携计算机等
(2) 域控制器:保留在默认的Domain controllers OU下(连接Default Domain Controller Policy GPO)
(3) 用户:IT职员、工程师、车间、移动用户等
四、默认状况下,全部新账户建立在cn=users或者cn=computers(不能连接GPO),因此若是是Windows 2003域:
(1) 在域中使用“redirusr.exe”和“redircmp.exe”指定全部新计算机/用户账户建立时的默认OU
(2) 容许使用组策略管理新建立的账户
(使用“redirusr.exe”和“redircmp.exe”两个命令,为使重定向成功,在目录域中的域功能级别必须至少是windows server 2003,这两个工具是内置的,示例:所用域的名字是zxy.xy,让新计算机加入到域,默认注册到TEST的OU中去,进入命令提示符:c:\>redircmp “ou=test,dc=zxy,dc=xy”用户的相同)
(命令建立计算机账户:c:>net computer [url=file://computername/] \\computername[/url] /add)
降龙十八掌第三式——龙战于野:反对跨域GPO连接
若是你公司是多域环境,绝对不要把父域的GPO连接到子域来使用,相反亦然。
一、将明显的影响处理时间
(1) 经过线缆取GPO的时间
(2) 使排错和客户端处理GPO的速度很是慢
二、违反KISS规则(使问题变的简单规则)
在一个域更改GPO设置将影响另一个域(若是想使用相同的GPO,能够先在源域上备份或导出,而后在目标域作导入,或利用GPMC进行复制粘贴)
三、使用GPMC脚原本帮助部署和维护跨域的组策略的一致性
(1) CreateEnvironmentFromXML.wsf
(2) CreateXMLFromEnvironment.wsf
(例:我不是一个父域子域,我是一个测试域,我测试完了就连接到生产环境中来用,测试域跟生产域不要紧,测试完了GPO没问题,而后就拿到生产环境来使用,能够经过复制粘贴,另外还可使用脚本CreateEnvironmentFromXML.wsf去把测试环境中全部的OU、全部的GPO、GPO到OU的连接、GPO的设置,所有保存成一个XML文件,而后把XML的文件复制到生产的域,在生产的域安装GPMC,运行CreateXMLFromEnvironment.wsf这个脚本,他能够帮你从XML文件中把全部在测试环境中的OU,全部GPO、GPO到OU的连接、GPO的设置,甚至能够把和GPO相关的用户账号和组账号所有给他建立出来,因此这两个脚本能够很平滑的把测试环境到生产环境的组策略迁移的一个过程,并且很利害,他不只能够迁组策略对象,还能够把OU给建出来,把组策略对象给建出来,他会自动的把组策略对象给连接到OU,还能够自动建立跟组策略相关的账号,例用户账号)
降龙十八掌第四式——潜龙勿用:谨慎使用强制/禁止替代/阻止继承、回环处理模式
一、增长了处理时间,增长了排错的难度
能够在域级别强制一个标准策略,可是不要使用阻止继承
二、回环处理模式会给排错带来负担,可是有特定的场景使用
(1) 一般用于保证等于的每个用户都能得到相同的配置
(2) 用于特定的计算机(例如:公共场所的电脑,图书馆,还有教室),须要基于使用的计算机来修改用户策略
(3) 常常用户终端服务实现
(4) KB 231287
降龙十八掌第五——利涉大川:使一切简单化
一、考虑如下几点:
(1) 每增长一个GPO都会增长复杂性(默认状况Client最多可处理999个GPO)
(2) 限制谁能建立/修改/连接GPOs(委派)
(3) 回环处理/强制/阻止继承使事情变得复杂
二、KISS:若是可能的话,使用如下三个层次的GPO:
(1) 默认的域策略(用户账户设置)
(2) 一个基线的安全策略(强制应用到域中的每一个用户,每台计算机)
(3) 一个指定OU的策略(专门针对某个OU包含一些惟一设置的GPO)
三、反对为每个GPO设置安全过滤器(安全过滤器的好处是GPO只对指定的用户或组生效,不是很是必要的话,不要用安全过滤器,一样会增长处理GPO的负担的)
四、仅仅对每一个GPO中须要的设置作修改,其余保留默认状态(未配置)
降龙十八掌第六式——鸿渐于陆:在GPMC中进行全部的操做
一、使用GPMC的RSOP工具
二、文档化GPO的设置
三、进行委派
四、全部的启用、禁用、连接、强制等(使用它禁用全部GPO中不使用的部分用户或计算机—略微的改进处理时的性能)
五、在测试环境和生产环境进行迁移
六、和GPMC一块儿安装不少的脚本(c:\programfiles\gpmc\scripts)
降龙十八掌第七——突如其来:使用GPO规划工具
一、全部的GPO设置参考
[url=http://www.microsoft.com/downloads/details.aspx?familyid=]http://www.microsoft.com/downloads/details.aspx?familyid=[/url]7821c32f-da15-438d-8e48-45915cd2bc14&displaylang=en
二、XP SP2-specific(详细):
详细指南:
[url=http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/mangxpsp2/mngxpsp2.mspx]http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/mangxpsp2/mngxpsp2.mspx[/url]
降龙十八掌第八式——震惊百里:即便没有改变设置也强制从新应用策略
一、使用于当用户是客户计算机的本地管理员组的成员的场景(要了解组策略的应用模式,首先用户登陆后,要应用GPO的策略设置,之后就会有这样的一个问题,若是你不对这个GPO里的策略进行任何修改,那么客户端就不会再应用,由于客户端会检测GPO的版本号,只有对GPO更改过,版本号才不一样,客户端才会去下载应用,若是没有改过,版本还同样,客户端就不会再去下载,从新刷新这个策略,用强制策略处理,能够把修改的一些策略刷新)
(1)在组策略应用之后覆盖指定的设置
(2)默认状况下,组策略只会检查有没有新的策略设置可用,而后在后台刷新
二、强制策略再次处理:
(1)计算机或用户配置-> 管理模板-> 系统-> 组策略-> [每一种策略的类型]策略处理(须要启用如下节点:注册表、IE、软件安装、文件夹重定向、脚本、安全性、IPSec、无线、EFS、磁盘配额)
(2)每一个节点:(选择:启用“即便还没有更改组策略对象也要进行处理”)
三、处理每一个节点:考虑禁用“容许经过慢速网络链接进行处理”,例如:“软件安装”禁用掉客户端就不会装这个软件,
降龙十八掌第九式——或跃在渊:使Windows XP同步处理组策略
一、Windows XP默认是异步处理组策略
无需等网络响应(XP应用过GPO就会在本地有个缓存的),这种异步处理方式大大缩短了XP客户端所须要的引导与登陆时间,但是处理文件夹重定项等都会有延迟,这将会影响到排错。
二、Windows 2000默认是同步处理组策略
三、咱们应该:
(1)不想让操做系统来决定组策略的处理方式
(2)也不想其它因素影响排错
四、这个策略的位置在:计算机配置>管理模板>系统>登陆>计算机启动和登陆时老是等待网络(这个启用后,XP就使用同步处理的方式,这样应用GPO就不会有延迟了)
降龙十八掌第十式——神龙摆尾:使用GPO命名惯例
一、保证GPO的一致性,并保证容易理解(建立GPO的管理员越多,一致性越差)
二、使用简洁的名字描述GPO的意图
三、微软使用的命名惯例:
三个关键字符:
范围(end user最终用户,worldwide所有,IT)
目的
谁管理
示例:IT-office2003-ITG
降龙十八掌第十一式——鱼越于渊:为新的账户指定策略
一、默认状况下,全部新的账户在cn=Users或cn=Computers(GPO不能连接到这些容器)
二、若是有Windows 2003域:
(1)在域中使用“redirusr.exe”和“redircmp.exe”指定全部新计算机/用户账户建立时的默认OU
(2)容许使用组策略管理新建立的账户
三、要求Windows 2003域的功能级别为Windows 2003
四、参考KB#324929
降龙十八掌第十二式——见龙在田:怎么才能阻止用户访问特定的驱动器(E:、F:、G:、H:、.etc)?
一、组策略中包含的设置
用户配置>管理模板>windows组件>windows资源管理器>防止从“个人电脑”访问这些驱动器(要不就是全部,要不就是ABCD四个)
二、不能禁用其余的驱动器
三、自定义管理模板或使用GPDriveOptions
降龙十八掌第十三式——双龙取水:密码存储安全
一、windows 使用两种不一样的密码表示方法(一般称为“哈希”)生成并存储用户账户密码
(1)当您将用户账户的密码设置或更改成包含少于15位字符的密码时,windows会为此密码同时生成LAN Manager哈希(LM哈希)和windows NT哈希(NT哈希)
(2)这些哈希存储在本地安全账户管理器(SAM)数据库或Active Directory中。
(3)与NT哈希相比,LM哈希相对较弱,所以容易遭到暴力***。
(4)考虑阻止windows 存储密码的LM哈唏
二、不容许存储LM哈希值(windows XP或windows server2003)
(1)计算机配置>windows设置>安全设置>本地策略>安全选项>网络安全:不要在下次更改密码时存储LAN Manager哈希值。
(2)有些产品或者应用程序依赖于LM哈唏(Win9x没有安装活动目录客户端和第三方SMB客户端例:samba).
三、参考KB 299656
降龙十八掌第十四——时乘六龙:清空上次登陆的用户名
一、若是便携电脑被盗,盗窃者须要猜想两个部分(用户名、密码)
二、计算机配置>windows设置>本地策略>安全选项>交互式登陆:不显示上次登陆名
具体应用场景:台式机设置不显示上次登陆名的必要性小点,主要是针对便携式计算机,能够给便携式计算机建个OU,设置不显示上次登陆用户名的策略。
降龙十八掌第十五式——密云不雨:面对密码猜想
一、使用清空上次登陆的用户名技巧
二、最好能布置监视的工具(最佳技巧)
(1)不要实现账户锁定策略(别人就能够利用脚本进行不停的猜想密码,这就会造成一种拒绝服务***,让全部域用户账户锁定),集中在面对密码猜想的响应。
(2)若是可能,在特定的周期内对大量的密码猜想让系统自动响应(找出猜密码的人,而进一步作处理)。
二、若是没有监视工具
(1)考虑使用账户锁定策略
(2)增长了管理上的负担
(3)接受DOS***(经过隐藏上次的登陆名减小***)
降龙十八掌第十六式——损则有孚:建立登陆警报
一、一般用于实现通知用户他们使用的系统属于公司而且他们系统被监视。
二、计算机配置>windows设置>本地策略>安全选项>交互登陆:用户试图登陆时的消息文字
三、消息文字中提示的内容能够作也能够不去作一可是使用消息文字,最起码可让你的老板知道您正在作您的分内工做。
降龙十八掌第十七式——履霜冰至:严格控制Default Domain controllers Policy用户权利
位置:Default Domain Controllers Policy>计算机配置>Windows设置>安全设置>本地策略>用户权限指派
降龙十八掌第十八式——抵羊触藩:限制匿名枚举
匿名枚举:***不用提交用户名和密码,他只要能经过命名管道(IPC$)能连闯上来,他就能够经过匿名的方式列出来我这电脑有那些用户,有那些共享,这就对域控制器很是危险的。
一、匿名枚举容许非受权的客户端请求信息
(1)域成员列表
(2)列出可用的共享
二、Default Domain Controllers Policy>计算机配置>Windows设置>安全设置>本地策略>安全选项>网络访问
(1)容许匿名SID/名称转换(防止用户使用已知的SID猜想管理员的用户名)
(2)不容许SAM账户的匿名枚举(防止匿名用户从SAM数据库收集信息)
(3)不容许SAM账户和共享的匿名枚举(防止匿名用户从SAM数据库收集信息并枚举共享)
(4)让每一个人的权限应用于匿名用户(用户控制是否让匿名用户具备和everyone同样的权利)
(5)限制匿名访问的命名管道/共享(控制匿名用户是否能访问共享资源)
(以上为使用组策略的一些技巧其中的“降龙十八掌”但愿对你们有所帮助,下面我在奉献三招“独孤九剑”)
独孤九剑第一招“总诀式”:关机清理页面文件
一、页面文件中存放着不少有用的信息,像临时仓库
二、建立/清理硬盘上的虚拟内存页面文件将增长开机和关机时间
三、这是一个安全考虑(建议不管是DC仍是客户端都应启用这个策略)
位置:计算机配置>Windows设置>安全设置>本地策略>安全选项>关机:清除虚拟内存页面文件
独孤九剑第二招是“破剑式”:打开审核和更改日志文件大小
一、改变全部日志文件大小为10MB+
(1)计算机配置>Windows设置>安全设置>事件日志>[日志名字]日志最大值
(2)为每一个节点设置保持方法。建议方法:不要覆盖事件(手动清除日志)
二、禁用若是没法记录安全审核则当即关闭系统(例:Windows设置的日志大小是200M,通过一段时间,日志写满了,那服务器就会自动关机的)
计算机配置>Windows设置>安全设置>本地策略>安全选项>审核:若是没法记录安全审核则当即关闭系统
最佳实践
(只有启用“账户登陆”事件才记录用户从客户端登陆的事件)
独孤九剑第三招“破刀式”:强制使用LM离开您的网络 一、网络中使用哈唏作身份验证的若干种方法 (1)LM:很是脆弱,很容易被sniffer捕获到口令 (2)NTLM v1:比LM安全,但仍然容易被*** (3)NTLM v2:较安全,可是不被之前的客户端支持 (4)Kerberos:很是安全,不被之前的客户端支持 二、有些产品依赖于LM哈唏 (1)Win9x(没有安装活动目录客户端) (2)第三方的SMB客户端(samba) 三、设置合适的LM兼容级别 Default Domain Controllers Policy>计算机配置>Windows设置>安全设置>本地策略>安全选项>网络安全:LAN Manager身份验证级别(建议设定不在支持LM)
一、Default Domain Policy & Default Domain Controllers Policy
密码、账户锁定和Kerberos策略设置必须在域级别实现(若是在OU级别上去作,只是对计算机的本地用户生效而不是域用户)
还有如下设置:登陆时间用完自动注销用户,重命名(Domain)管理员账户和重命名(Domain)来宾账户。这些策略也必须在域级别实现,也是只有这些策略须要在域级别上设置。
二、使用如下两种方法:
(1)在Default Domain Policy仅修改以上策略设置,而后在其下连接其余GPO
(2)单独保留Default Domain Policy永不修改,建立并连接高优先级的GPO,
而后修改策略设置(推荐)
一、为何由于恢复损坏的默认的GPOs是个噩梦?(KB 22624三、KB 324800 —
KB267553)
四、不要依赖DCgpofix(这将是最后的还原工具),Dcgpofix还原默认的GPOs到干净的安装状态。最好的方法使用您的备份替代!
降龙十八掌第二式——飞龙在天:设计OU结构
一、将DC放在DC所在的OU里并单独管理
二、为用户和计算机建立单独的OU
三、使用OU把用户/计算机按照角色分组,
例如:
(1) 计算机:邮件服务器、终端服务器、WEB服务器、文件和打印服务器、便携计算机等
(2) 域控制器:保留在默认的Domain controllers OU下(连接Default Domain Controller Policy GPO)
(3) 用户:IT职员、工程师、车间、移动用户等
四、默认状况下,全部新账户建立在cn=users或者cn=computers(不能连接GPO),因此若是是Windows 2003域:
(1) 在域中使用“redirusr.exe”和“redircmp.exe”指定全部新计算机/用户账户建立时的默认OU
(2) 容许使用组策略管理新建立的账户
(使用“redirusr.exe”和“redircmp.exe”两个命令,为使重定向成功,在目录域中的域功能级别必须至少是windows server 2003,这两个工具是内置的,示例:所用域的名字是zxy.xy,让新计算机加入到域,默认注册到TEST的OU中去,进入命令提示符:c:\>redircmp “ou=test,dc=zxy,dc=xy”用户的相同)
(命令建立计算机账户:c:>net computer [url=file://computername/] \\computername[/url] /add)
降龙十八掌第三式——龙战于野:反对跨域GPO连接
若是你公司是多域环境,绝对不要把父域的GPO连接到子域来使用,相反亦然。
一、将明显的影响处理时间
(1) 经过线缆取GPO的时间
(2) 使排错和客户端处理GPO的速度很是慢
二、违反KISS规则(使问题变的简单规则)
在一个域更改GPO设置将影响另一个域(若是想使用相同的GPO,能够先在源域上备份或导出,而后在目标域作导入,或利用GPMC进行复制粘贴)
三、使用GPMC脚原本帮助部署和维护跨域的组策略的一致性
(1) CreateEnvironmentFromXML.wsf
(2) CreateXMLFromEnvironment.wsf
(例:我不是一个父域子域,我是一个测试域,我测试完了就连接到生产环境中来用,测试域跟生产域不要紧,测试完了GPO没问题,而后就拿到生产环境来使用,能够经过复制粘贴,另外还可使用脚本CreateEnvironmentFromXML.wsf去把测试环境中全部的OU、全部的GPO、GPO到OU的连接、GPO的设置,所有保存成一个XML文件,而后把XML的文件复制到生产的域,在生产的域安装GPMC,运行CreateXMLFromEnvironment.wsf这个脚本,他能够帮你从XML文件中把全部在测试环境中的OU,全部GPO、GPO到OU的连接、GPO的设置,甚至能够把和GPO相关的用户账号和组账号所有给他建立出来,因此这两个脚本能够很平滑的把测试环境到生产环境的组策略迁移的一个过程,并且很利害,他不只能够迁组策略对象,还能够把OU给建出来,把组策略对象给建出来,他会自动的把组策略对象给连接到OU,还能够自动建立跟组策略相关的账号,例用户账号)
降龙十八掌第四式——潜龙勿用:谨慎使用强制/禁止替代/阻止继承、回环处理模式
一、增长了处理时间,增长了排错的难度
能够在域级别强制一个标准策略,可是不要使用阻止继承
二、回环处理模式会给排错带来负担,可是有特定的场景使用
(1) 一般用于保证等于的每个用户都能得到相同的配置
(2) 用于特定的计算机(例如:公共场所的电脑,图书馆,还有教室),须要基于使用的计算机来修改用户策略
(3) 常常用户终端服务实现
(4) KB 231287
降龙十八掌第五——利涉大川:使一切简单化
一、考虑如下几点:
(1) 每增长一个GPO都会增长复杂性(默认状况Client最多可处理999个GPO)
(2) 限制谁能建立/修改/连接GPOs(委派)
(3) 回环处理/强制/阻止继承使事情变得复杂
二、KISS:若是可能的话,使用如下三个层次的GPO:
(1) 默认的域策略(用户账户设置)
(2) 一个基线的安全策略(强制应用到域中的每一个用户,每台计算机)
(3) 一个指定OU的策略(专门针对某个OU包含一些惟一设置的GPO)
三、反对为每个GPO设置安全过滤器(安全过滤器的好处是GPO只对指定的用户或组生效,不是很是必要的话,不要用安全过滤器,一样会增长处理GPO的负担的)
四、仅仅对每一个GPO中须要的设置作修改,其余保留默认状态(未配置)
降龙十八掌第六式——鸿渐于陆:在GPMC中进行全部的操做
一、使用GPMC的RSOP工具
二、文档化GPO的设置
三、进行委派
四、全部的启用、禁用、连接、强制等(使用它禁用全部GPO中不使用的部分用户或计算机—略微的改进处理时的性能)
五、在测试环境和生产环境进行迁移
六、和GPMC一块儿安装不少的脚本(c:\programfiles\gpmc\scripts)
降龙十八掌第七——突如其来:使用GPO规划工具
一、全部的GPO设置参考
[url=http://www.microsoft.com/downloads/details.aspx?familyid=]http://www.microsoft.com/downloads/details.aspx?familyid=[/url]7821c32f-da15-438d-8e48-45915cd2bc14&displaylang=en
二、XP SP2-specific(详细):
详细指南:
[url=http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/mangxpsp2/mngxpsp2.mspx]http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/mangxpsp2/mngxpsp2.mspx[/url]
降龙十八掌第八式——震惊百里:即便没有改变设置也强制从新应用策略
一、使用于当用户是客户计算机的本地管理员组的成员的场景(要了解组策略的应用模式,首先用户登陆后,要应用GPO的策略设置,之后就会有这样的一个问题,若是你不对这个GPO里的策略进行任何修改,那么客户端就不会再应用,由于客户端会检测GPO的版本号,只有对GPO更改过,版本号才不一样,客户端才会去下载应用,若是没有改过,版本还同样,客户端就不会再去下载,从新刷新这个策略,用强制策略处理,能够把修改的一些策略刷新)
(1)在组策略应用之后覆盖指定的设置
(2)默认状况下,组策略只会检查有没有新的策略设置可用,而后在后台刷新
二、强制策略再次处理:
(1)计算机或用户配置-> 管理模板-> 系统-> 组策略-> [每一种策略的类型]策略处理(须要启用如下节点:注册表、IE、软件安装、文件夹重定向、脚本、安全性、IPSec、无线、EFS、磁盘配额)
(2)每一个节点:(选择:启用“即便还没有更改组策略对象也要进行处理”)
三、处理每一个节点:考虑禁用“容许经过慢速网络链接进行处理”,例如:“软件安装”禁用掉客户端就不会装这个软件,
降龙十八掌第九式——或跃在渊:使Windows XP同步处理组策略
一、Windows XP默认是异步处理组策略
无需等网络响应(XP应用过GPO就会在本地有个缓存的),这种异步处理方式大大缩短了XP客户端所须要的引导与登陆时间,但是处理文件夹重定项等都会有延迟,这将会影响到排错。
二、Windows 2000默认是同步处理组策略
三、咱们应该:
(1)不想让操做系统来决定组策略的处理方式
(2)也不想其它因素影响排错
四、这个策略的位置在:计算机配置>管理模板>系统>登陆>计算机启动和登陆时老是等待网络(这个启用后,XP就使用同步处理的方式,这样应用GPO就不会有延迟了)
降龙十八掌第十式——神龙摆尾:使用GPO命名惯例
一、保证GPO的一致性,并保证容易理解(建立GPO的管理员越多,一致性越差)
二、使用简洁的名字描述GPO的意图
三、微软使用的命名惯例:
三个关键字符:
范围(end user最终用户,worldwide所有,IT)
目的
谁管理
示例:IT-office2003-ITG
降龙十八掌第十一式——鱼越于渊:为新的账户指定策略
一、默认状况下,全部新的账户在cn=Users或cn=Computers(GPO不能连接到这些容器)
二、若是有Windows 2003域:
(1)在域中使用“redirusr.exe”和“redircmp.exe”指定全部新计算机/用户账户建立时的默认OU
(2)容许使用组策略管理新建立的账户
三、要求Windows 2003域的功能级别为Windows 2003
四、参考KB#324929
降龙十八掌第十二式——见龙在田:怎么才能阻止用户访问特定的驱动器(E:、F:、G:、H:、.etc)?
一、组策略中包含的设置
用户配置>管理模板>windows组件>windows资源管理器>防止从“个人电脑”访问这些驱动器(要不就是全部,要不就是ABCD四个)
二、不能禁用其余的驱动器
三、自定义管理模板或使用GPDriveOptions
降龙十八掌第十三式——双龙取水:密码存储安全
一、windows 使用两种不一样的密码表示方法(一般称为“哈希”)生成并存储用户账户密码
(1)当您将用户账户的密码设置或更改成包含少于15位字符的密码时,windows会为此密码同时生成LAN Manager哈希(LM哈希)和windows NT哈希(NT哈希)
(2)这些哈希存储在本地安全账户管理器(SAM)数据库或Active Directory中。
(3)与NT哈希相比,LM哈希相对较弱,所以容易遭到暴力***。
(4)考虑阻止windows 存储密码的LM哈唏
二、不容许存储LM哈希值(windows XP或windows server2003)
(1)计算机配置>windows设置>安全设置>本地策略>安全选项>网络安全:不要在下次更改密码时存储LAN Manager哈希值。
(2)有些产品或者应用程序依赖于LM哈唏(Win9x没有安装活动目录客户端和第三方SMB客户端例:samba).
三、参考KB 299656
降龙十八掌第十四——时乘六龙:清空上次登陆的用户名
一、若是便携电脑被盗,盗窃者须要猜想两个部分(用户名、密码)
二、计算机配置>windows设置>本地策略>安全选项>交互式登陆:不显示上次登陆名
具体应用场景:台式机设置不显示上次登陆名的必要性小点,主要是针对便携式计算机,能够给便携式计算机建个OU,设置不显示上次登陆用户名的策略。
降龙十八掌第十五式——密云不雨:面对密码猜想
一、使用清空上次登陆的用户名技巧
二、最好能布置监视的工具(最佳技巧)
(1)不要实现账户锁定策略(别人就能够利用脚本进行不停的猜想密码,这就会造成一种拒绝服务***,让全部域用户账户锁定),集中在面对密码猜想的响应。
(2)若是可能,在特定的周期内对大量的密码猜想让系统自动响应(找出猜密码的人,而进一步作处理)。
二、若是没有监视工具
(1)考虑使用账户锁定策略
(2)增长了管理上的负担
(3)接受DOS***(经过隐藏上次的登陆名减小***)
降龙十八掌第十六式——损则有孚:建立登陆警报
一、一般用于实现通知用户他们使用的系统属于公司而且他们系统被监视。
二、计算机配置>windows设置>本地策略>安全选项>交互登陆:用户试图登陆时的消息文字
三、消息文字中提示的内容能够作也能够不去作一可是使用消息文字,最起码可让你的老板知道您正在作您的分内工做。
降龙十八掌第十七式——履霜冰至:严格控制Default Domain controllers Policy用户权利
位置:Default Domain Controllers Policy>计算机配置>Windows设置>安全设置>本地策略>用户权限指派
降龙十八掌第十八式——抵羊触藩:限制匿名枚举
匿名枚举:***不用提交用户名和密码,他只要能经过命名管道(IPC$)能连闯上来,他就能够经过匿名的方式列出来我这电脑有那些用户,有那些共享,这就对域控制器很是危险的。
一、匿名枚举容许非受权的客户端请求信息
(1)域成员列表
(2)列出可用的共享
二、Default Domain Controllers Policy>计算机配置>Windows设置>安全设置>本地策略>安全选项>网络访问
(1)容许匿名SID/名称转换(防止用户使用已知的SID猜想管理员的用户名)
(2)不容许SAM账户的匿名枚举(防止匿名用户从SAM数据库收集信息)
(3)不容许SAM账户和共享的匿名枚举(防止匿名用户从SAM数据库收集信息并枚举共享)
(4)让每一个人的权限应用于匿名用户(用户控制是否让匿名用户具备和everyone同样的权利)
(5)限制匿名访问的命名管道/共享(控制匿名用户是否能访问共享资源)
(以上为使用组策略的一些技巧其中的“降龙十八掌”但愿对你们有所帮助,下面我在奉献三招“独孤九剑”)
独孤九剑第一招“总诀式”:关机清理页面文件
一、页面文件中存放着不少有用的信息,像临时仓库
二、建立/清理硬盘上的虚拟内存页面文件将增长开机和关机时间
三、这是一个安全考虑(建议不管是DC仍是客户端都应启用这个策略)
位置:计算机配置>Windows设置>安全设置>本地策略>安全选项>关机:清除虚拟内存页面文件
独孤九剑第二招是“破剑式”:打开审核和更改日志文件大小
一、改变全部日志文件大小为10MB+
(1)计算机配置>Windows设置>安全设置>事件日志>[日志名字]日志最大值
(2)为每一个节点设置保持方法。建议方法:不要覆盖事件(手动清除日志)
二、禁用若是没法记录安全审核则当即关闭系统(例:Windows设置的日志大小是200M,通过一段时间,日志写满了,那服务器就会自动关机的)
计算机配置>Windows设置>安全设置>本地策略>安全选项>审核:若是没法记录安全审核则当即关闭系统
最佳实践
(只有启用“账户登陆”事件才记录用户从客户端登陆的事件)
独孤九剑第三招“破刀式”:强制使用LM离开您的网络 一、网络中使用哈唏作身份验证的若干种方法 (1)LM:很是脆弱,很容易被sniffer捕获到口令 (2)NTLM v1:比LM安全,但仍然容易被*** (3)NTLM v2:较安全,可是不被之前的客户端支持 (4)Kerberos:很是安全,不被之前的客户端支持 二、有些产品依赖于LM哈唏 (1)Win9x(没有安装活动目录客户端) (2)第三方的SMB客户端(samba) 三、设置合适的LM兼容级别 Default Domain Controllers Policy>计算机配置>Windows设置>安全设置>本地策略>安全选项>网络安全:LAN Manager身份验证级别(建议设定不在支持LM)
相关文章
- 1. 降龙十八掌
- 2. git与github之降龙十八掌
- 3. 设计模式之-降龙十八掌
- 4. Debug如何引流(降龙十八掌)
- 5. 编程中的降龙十八掌
- 6. PD 调度策略最佳实践
- 7. Kubernetes YAML最佳实践和策略
- 8. 策略模式最佳实践
- 9. Laravel 的十八个最佳实践
- 10. 性能优化:MySQL 性能提升之降龙十八掌
- 更多相关文章...
- • Thymeleaf项目实践 - Thymeleaf 教程
- • Redis内存回收策略 - Redis教程
- • PHP Ajax 跨域问题最佳解决方案
- • 互联网组织的未来:剖析GitHub员工的任性之源
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
- 1. eclipse设置粘贴字符串自动转义
- 2. android客户端学习-启动模拟器异常Emulator: failed to initialize HAX: Invalid argument
- 3. android.view.InflateException: class com.jpardogo.listbuddies.lib.views.ListBuddiesLayout问题
- 4. MYSQL8.0数据库恢复 MYSQL8.0ibd数据恢复 MYSQL8.0恢复数据库
- 5. 你本是一个肉体,是什么驱使你前行【1】
- 6. 2018.04.30
- 7. 2018.04.30
- 8. 你本是一个肉体,是什么驱使你前行【3】
- 9. 你本是一个肉体,是什么驱使你前行【2】
- 10. 【资讯】LocalBitcoins达到每周交易比特币的7年低点
欢迎关注本站公众号,获取更多信息
相关文章
- 1. 降龙十八掌
- 2. git与github之降龙十八掌
- 3. 设计模式之-降龙十八掌
- 4. Debug如何引流(降龙十八掌)
- 5. 编程中的降龙十八掌
- 6. PD 调度策略最佳实践
- 7. Kubernetes YAML最佳实践和策略
- 8. 策略模式最佳实践
- 9. Laravel 的十八个最佳实践
- 10. 性能优化:MySQL 性能提升之降龙十八掌