系統管理員可以通過組策略的強大功能,來充分管理網絡用戶與計算機的工作環境,從而減輕網絡管理的負擔。
組策略概述
組策略是一個能夠讓系統管理員充分管理用戶工作環境的功能,通過它來確保用戶擁有應有的工作環境,也通過他來限制用戶。因此,不但可以讓用戶擁有適當的環境,也可以減輕系統管理員的管理負擔。
組策略包含計算機配置與用戶配置兩部分。計算機配置僅對計算機環境產生影響,而用戶設置只對用戶環境有影響。可以通過以下兩個方法來設置組策略。
- 本地計算機策略:可以用來設置單一計算機的策略,這個策略內的計算機配置只會背應用到這台計算機,而用戶設置會被應用到在此計算機登陸的所有用戶。
- 域的組策略:在域內可以針對站點,域或組織單位來設置組策略,其中,域組策略內的設置會被應用到域內的所有計算機與用戶,而組織單位的組策略會被應用到該組織單位內的所有計算機與用戶。
對添加域的計算機來說,如果其本地計算機策略的設置與域或組織單位的組策略設置發生沖突,則以域或組織單位組策略的設置優先,也就是此時本地計算機策略的設置值無效。
本地計算機策略實例演示
以下利用未加入域的計算機來練習本地計算機策略,以免受到域策略的干擾,造成本地計算機策略的設置無效,因而影響到驗證實驗結果。
計算機配置實例演示
當我們要將Windows Server2012 計算機關機時,系統會要求我們提供關機的理由,以下實例完成后,系統就不會在要求你說明關機理由了。
開始運行中輸入gpedit.msc-計算機配置-管理模板-系統-顯示"關閉事件跟蹤程序"-單擊 已禁用
以后關機或重啟計算機時,系統都不會再詢問了。
注:請不要隨意更改計算機配置,以免更改可能影響系統正常運行的設置值。
用戶配置實例演示
以下通過本地計算機策略來限制用戶工作環境:刪除客戶端瀏覽器IE內Internet選項的安全和連接標簽。也就是經過以下設置后,瀏覽器內的安全和連接標簽消失了。
用戶配置-管理模板-windows組件-IE-ie控制面板-禁用連接頁和禁用安全頁 設置為啟用,此設置會立即應用到所有用戶。
域組策略實例演示
雖然在域內可以針對站點,域或組織單位來設置組策略,但是以下內容將僅針對常用的域與組織單位進行說明。
組策略基本概念
如圖,可以針對contoso.com來設置組策略,此策略設置會被應用到域內所有計算機與用戶,包含圖中組織單位業務部內所有計算機與用戶。
還可以針對組織單位業務部設置組策略,此策略會應用到該組織單位內所有計算機與用戶。由於業務部會繼承域contoso的策略設置,因此業務部最后的有效設置是域contoso的策略設置加上業務部的策略設置。
如果業務部的策略設置與域的策略設置發送沖突,默認以業務部的策略設置優先。
組策略是通過GPO進行設置的,當講GPO鏈接到域或組織單位業務部后,此GPO設置值就會被應用到域或組織單位業務部內所有用戶與計算機。系統已經內置了兩個GPO,他們分別如下所示。
- Default Domain Policy:此GPO已經被連接到域,因此這個GPO內的設置值會被應用到域內的所有用戶與計算機。
- Default Domain Controllers Policy:此GPO已經被連接到組織單位Domain Controllers,因此這個GPO的設置值會被應用到Domain Controlers內的所有用戶與計算機。Domain Controllers 內默認只有扮演域控制器角色的計算機。
也可以針對業務部創建多個GPO,此時這些GPO中的設置會合並起來應用到業務部內的所有用戶與計算機。如果這些GPO內的設置發送沖突,則以排列在前面的優先。
域主策略實例演示1-隱藏Windows防火牆
以下假設要針對業務部內的所有用戶進行設置,並設置讓這些用戶登錄后,其控制面板內的windows防火牆自動被刪除。我們要創建一個鏈接到組織單位業務部的GPO,並且通過此GPO內的用戶設置進行設置。
- 打開組策略管理
- 展開組織單位業務部-選中物業部並單擊鼠標-在這個域中創建GPO並在此處鏈接。
注:在圖中可以看到內置GPO請不要隨意更改這兩個GPO的內容,以免影響系統的正常運行。
可以對着組織單位單擊鼠標右鍵后選擇阻止繼承,表示不要繼承域策略設置。也可以對着域GPO(例如Default Domain Policy)單擊鼠標右鍵選擇強制,表示域下的組織單位必須繼承此GPO設置,無論組織單位是否選擇阻止繼承。
- 為此GPO命名(假設是測試用的GPO)
- 選擇GPO右鍵編輯
- 展開用戶配置-策略-管理模板-控制面板-隱藏指定的控制面板項-勾選已啟用-單擊顯示-輸入Windows防火牆(windows與防火牆之間有個空格)
- 到客戶端計算機上利用業務組內任意賬戶登錄打開控制面板-系統和安全,可以看到windows防火牆沒有出現。
域組策略實例演示2-限制可執行文件的運行
假設要針對業務部內的所有計算機(圖中只有一台計算機)進行設置,並且禁止所有用戶在這些計算機上運行瀏覽器IE。我們將利用前一個實例創建的測試用GPO來練習。
我們要通過圖中組織單位業務部內的計算機PC1進行練習,如果要練習的計算機在Computer容器,將其移動到組織單位業務部(請不要移動位於Domain Controlles內的域控)。
APPLocker基本概念
我們將利用APPLocker功能來阻止IE。AppLocker可以讓你針對不同類別的程序來設置不同的規則,它共分為以下5大類別。
- 可執行文件規則:適用於.exe與.com程序。
- Windows安裝程序規則:適用於.msi.msp.mst程序。
- 腳本規則:適用於.ps1 .bat .cmd .vbs .js程序。
- 已封裝的應用程序規則:適用於.appx程序(windows應用商店的程序)。
- DLL規則:適用於.dll .ocx程序。
注:支持AppLocker的域成員:Win8Sta/Ent/Pro, Win7ult/Ent,Win2012 Data/Sta,Win 2008R2 Data/Ent/Sta。
如果要針對Win XP等舊客戶端來封鎖,請利用軟件限制策略。
域組策略與AppLocker 實例演示
Win8 可以通過菜單中IE來打開瀏覽器,默認位置pro file\ie\ie.exe中。以下范例將禁用ie.exe,但是不阻止其他動態磁貼程序。
- 編輯測試用GPO。
- 計算機配置-策略-Windows設置-安全設置-應用程序控制策略-AppLocker-選中可執行規則並單擊鼠標右鍵-創建默認規則。
注:一旦創建規則后,凡是未在規則內的執行文件都會被阻止,因此我們需要先通過此步驟來創建默認規則,這些默認規則允許普通用戶執行Program Files與Windows文件夾內的所有程序,允許系統管理員執行所有程序。
- 右側的3個允許規則是前一個步驟所創建的默認規則,接着選中可執行規則並右鍵-創建新規則
注:因為DLL規則會影響系統性能,並且如果沒正確設置,還可能造成意外事件,因此默認並沒有顯示DLL規則,除非通過選擇AppLocker並右鍵-屬性-高級的方法進行選擇。
- 默認一路下一步,到選擇路徑。
注:如果程序已經簽署,還可以根據發布者進行設置,也就是拒絕,允許指定發布者簽署,也可以通過文件哈希進行設置,此時系統會計算程序的哈希值,客戶端用戶執行程序時,客戶端計算機也會計算其哈希值,只要哈希值與規則內的程序相同,就會被拒絕執行。
- 選擇瀏覽文件,IE路徑然后一路下一步。
注:由於每台客戶端計算機的IE安裝文件夾可能不同,因此系統自動將C:\Programme Files改為變量表示法%PROGRAMFILES%。
- 完成后的界面
- 一旦創建規則后,凡是未列在規則內的執行文件都會被阻止,雖然我們是在可執行規則處創建規則,但是已封裝的應用程序也會被阻止(例如氣象,等應用商店磁貼),因此我們還需要在封裝應用規則處來開發已封裝的應用程序,只要通過創建默認規則來開放即可:選擇封裝應用規則-創建默認規則,此默認規則會開放所有已簽署的已封裝的應用程序。
注:不需要在Windows安裝程序規則與腳本規則類別中創建默認規則,因為他們沒有受到影響。
-
客戶端需要啟動Application Identity服務才享有Applocker功能。可以到客戶端計算機來啟動此服務,或者通過GPO為客戶端進行設置。
- 重啟PC1,然后利用普通賬戶登錄。(生效貌似比較慢,我在做這個實驗的時候還檢查了半天怎么不生效,等了會才好。)
AppLocker的補充說明
如果在規則類別內創建了多個規則,其中有的是允許規則,有的是拒絕規則,則AppLocker在處理這些規則時以拒絕規則優先,至於沒有列在規則內的應用程序一律拒絕其執行。
另外當我們在組織單位業務部內的GPO通過AppLocker規則來限制計算機執行程序后,一般而言,等這個規則應用到客戶端計算機后就生效,但也有一些特殊情況,因為它還與規則強制設置有關。
規則強制設置分為未配置,強制規則與僅審核3種,默認是未配置,下圖狀態都顯示為 未配置強制:強制規則。冒號前面的未配置強制表示他們的規則強度設置都是未設置,而未配置的規則類別默認會被設置為強制規則。
如果要更改規則強制設置,請單擊上圖右側上方的配置規則強制,然后再下圖的對話框中針對不同的規則類別進行勾選,並且可以選擇僅審核,僅審核會審核用戶執行程序的行為,但是不會強制,也就是用戶不會受到規則的限制,但是系統會在AppLocker事件日志中記錄。只可以對整個類別設置規則強制,無法單獨對單一規則進行設置。
如果組織單位業務部有多個GPO,這些GPO的AppLocker規則會合並應用到業務部內的計算機。如果組織單位業務部上層的域Contoso.com處也設置規則,則這些規則也會合並到業務部計算機。
如果業務部的規則強制設置為未配置,當上層域已設置,則會繼承設置。
不過,如果業務部規則強制已設置,無論上層域處的規則設置為何,業務規則設置就是其本身。
組策略例外排除
前面測試過用組策略來禁用Windows防火牆,但是也可以讓此GPO不要應用到特定用戶,例如業務部經理Paul,這樣他就仍然可以使用Windows防火牆。這個操作被稱為組策略篩選。
組織單位業務部內的用戶,默認都會應用該組織單位的所有GPO設置,因為他們對這些GPO都具備有讀取與應用組策略權限,已測試用的GPO為例,可以通過,單擊測試用GPO的委派-高級按鈕的方法得知Authenticated Users具有這兩個權限。
如果不想將此GPO設置應用到用戶Paul,只要單擊添加,選擇用戶Paul,然后將Paul的這兩個權限設置為拒絕即可。
本地安全策略
我們可以利用本地計算機策略中的安全設置或管理工具-本地安全策略的方法來確保計算機的安全,這些設置包含密碼策略,賬戶鎖定策略與本地策略等。
利用本地安全策略進行練習,請到未加域的計算機上練習,以免受到域組策略的干擾,因為域組策略的優先級較高,可能會造成本地安全策略的設置無效,因而影響驗證實驗結果。
賬戶策略的設置
此處簡單介紹個別的使用策略與鎖定方式
密碼策略
注:在單擊上圖右側的策略后,如果系統不讓你修改設置值,表示這台計算機已經加入域,並且該策略在域內已經設置了,此時會已域設置為其最后有效設置(未加入域之前,已經在本地設置的相對策略自動無效)。
用可還原的加密來存儲密碼:如果應用程序需要讀取用戶的密碼,以便驗證用戶身份,就可以啟用此功能。不過,由於它相當於用戶密碼沒有加密,因此不安全,所以建議如非必要,請不要啟用此功能。
賬戶鎖定策略
賬戶鎖定閾值:用來設置用戶登錄多次失敗后,就將該賬戶鎖定。在未被解除鎖定之前,用戶無法再利用此賬戶登錄。
重置賬戶鎖定計算器:鎖定計數器用來記錄用戶登錄失敗的次數,其初始值為0,如果用戶登錄失敗,則鎖定計數的值就會加1;如果登陸成功,則鎖定計數器的值就會歸零。如果鎖定計數器的值等於等於賬戶鎖定閾值,該賬戶就會被鎖定。
如果用戶連續兩次登陸失敗的間隔時間超過此處設置值,鎖定計數器值就會自動歸零。如下圖,如果用戶連續3此登陸失敗,其賬戶就會被鎖定。不過,在尚未連續3次登陸失敗之前,如果前一次登陸失敗后到此次失敗之間的間隔時間已經超過30分鍾,則鎖定計數器值就會從0開始計算,因此這次登陸失敗,仍算第一次。
域與域控制器安全策略
域安全策略的設置
由於域安全策略的設置方式與本地安全策略相同,因此此處不再復述,僅列出注意事項。
- 隸屬於域的任何一台計算機,都會受到域安全策略的影響。
- 隸屬於域的計算機,如果其本地安全策略與域安全策略發送沖突,則以域安全策略設置優先,也就是本地設置自動無效。
- 當域安全策略的設置發生了變化,這些策略必須應用到本地計算機后,才能對本地計算機有效。應用時,系統會比較域安全策略與本地安全策略,並以域安全策略的設置優先。本地計算機何時才會應用在域策略內有變化的設置呢?
- 本地安全策略有變化時
- 本地計算機重啟時
- 如果此計算機是域控,則默認它每隔5分鍾會自動應用;如果此計算機不是域控制器,則默認它每隔90-120分鍾會自動應用。應用時會自動讀取有關變化的設置。即使策略設置沒有發生變化,所有計算機每隔16小時也會自動強制應用域安全策略內的所有設置。
- 運行gpupdate命令來手動應用;如果強制應用(即使策略設置沒有變化),請執行gpupdate/force。
注:如果域內有多台域控制器,則域成員計算機在應用域安全策略時,是從其所連接的域控讀取與應用策略。不過,因為這些策略設置,默認都固定保存在域內的第一台域控,也就是PDC操作主機內,而系統默認是在15秒鍾后將這些策略設置復制到其他域控。必須等到這些策略設置被復制到其他域控后,才能保證域內的所有計算機都可以成功地應用這些策略。
域控制器安全策略的設置
下面列出一些主要事項。
域控制器安全策略與域安全策略的設置發送沖突時,對位於Domain Controllers容器內的計算機來說,默認以域控制器安全策略的設置優先,也就是域安全策略自動無效。不過,賬戶策略屬於例外:域安全策略中的賬戶策略設置對域內的所有用戶都有效,就算位於Domain Controllers也有效,也就是說域控安全策略的賬戶策略對域控病不起作用。
注:系統提供一個稱為安全配置向導的工具,運行時,它會讀取當前這台服務器所扮演的角色,功能,服務等,並將這些設置保存到文件內,你就可以將這個文件拿到其他服務器上應用。安全配置向導位於開始屏幕的管理工具內。
組策略首選項
組策略可以做到當用戶登錄時自動連接網絡驅動器,打印機等等。
審核資源的使用
審核功能讓管理員跟蹤是否有用戶訪問計算機內的資源,跟蹤計算機運行情況等。
通過審核策略所記錄的數據被記錄到安全日志文件內。
天太熱了,這后面2個東西不高興做實驗記錄了,就這樣吧。我去做故障轉移文件服務器群集的實驗了。