系统管理员可以通过组策略的强大功能,来充分管理网络用户与计算机的工作环境,从而减轻网络管理的负担。
组策略概述
组策略是一个能够让系统管理员充分管理用户工作环境的功能,通过它来确保用户拥有应有的工作环境,也通过他来限制用户。因此,不但可以让用户拥有适当的环境,也可以减轻系统管理员的管理负担。
组策略包含计算机配置与用户配置两部分。计算机配置仅对计算机环境产生影响,而用户设置只对用户环境有影响。可以通过以下两个方法来设置组策略。
- 本地计算机策略:可以用来设置单一计算机的策略,这个策略内的计算机配置只会背应用到这台计算机,而用户设置会被应用到在此计算机登陆的所有用户。
- 域的组策略:在域内可以针对站点,域或组织单位来设置组策略,其中,域组策略内的设置会被应用到域内的所有计算机与用户,而组织单位的组策略会被应用到该组织单位内的所有计算机与用户。
对添加域的计算机来说,如果其本地计算机策略的设置与域或组织单位的组策略设置发生冲突,则以域或组织单位组策略的设置优先,也就是此时本地计算机策略的设置值无效。
本地计算机策略实例演示
以下利用未加入域的计算机来练习本地计算机策略,以免受到域策略的干扰,造成本地计算机策略的设置无效,因而影响到验证实验结果。
计算机配置实例演示
当我们要将Windows Server2012 计算机关机时,系统会要求我们提供关机的理由,以下实例完成后,系统就不会在要求你说明关机理由了。
开始运行中输入gpedit.msc-计算机配置-管理模板-系统-显示”关闭事件跟踪程序”-单击 已禁用
以后关机或重启计算机时,系统都不会再询问了。
注:请不要随意更改计算机配置,以免更改可能影响系统正常运行的设置值。
用户配置实例演示
以下通过本地计算机策略来限制用户工作环境:删除客户端浏览器IE内Internet选项的安全和连接标签。也就是经过以下设置后,浏览器内的安全和连接标签消失了。
用户配置-管理模板-windows组件-IE-ie控制面板-禁用连接页和禁用安全页 设置为启用,此设置会立即应用到所有用户。
域组策略实例演示
虽然在域内可以针对站点,域或组织单位来设置组策略,但是以下内容将仅针对常用的域与组织单位进行说明。
组策略基本概念
如图,可以针对contoso.com来设置组策略,此策略设置会被应用到域内所有计算机与用户,包含图中组织单位业务部内所有计算机与用户。
还可以针对组织单位业务部设置组策略,此策略会应用到该组织单位内所有计算机与用户。由于业务部会继承域contoso的策略设置,因此业务部最后的有效设置是域contoso的策略设置加上业务部的策略设置。
如果业务部的策略设置与域的策略设置发送冲突,默认以业务部的策略设置优先。
组策略是通过GPO进行设置的,当讲GPO链接到域或组织单位业务部后,此GPO设置值就会被应用到域或组织单位业务部内所有用户与计算机。系统已经内置了两个GPO,他们分别如下所示。
- Default Domain Policy:此GPO已经被连接到域,因此这个GPO内的设置值会被应用到域内的所有用户与计算机。
- Default Domain Controllers Policy:此GPO已经被连接到组织单位Domain Controllers,因此这个GPO的设置值会被应用到Domain Controlers内的所有用户与计算机。Domain Controllers 内默认只有扮演域控制器角色的计算机。
也可以针对业务部创建多个GPO,此时这些GPO中的设置会合并起来应用到业务部内的所有用户与计算机。如果这些GPO内的设置发送冲突,则以排列在前面的优先。
域主策略实例演示1-隐藏Windows防火墙
以下假设要针对业务部内的所有用户进行设置,并设置让这些用户登录后,其控制面板内的windows防火墙自动被删除。我们要创建一个链接到组织单位业务部的GPO,并且通过此GPO内的用户设置进行设置。
- 打开组策略管理
- 展开组织单位业务部-选中物业部并单击鼠标-在这个域中创建GPO并在此处链接。
注:在图中可以看到内置GPO请不要随意更改这两个GPO的内容,以免影响系统的正常运行。
可以对着组织单位单击鼠标右键后选择阻止继承,表示不要继承域策略设置。也可以对着域GPO(例如Default Domain Policy)单击鼠标右键选择强制,表示域下的组织单位必须继承此GPO设置,无论组织单位是否选择阻止继承。
- 为此GPO命名(假设是测试用的GPO)
- 选择GPO右键编辑
- 展开用户配置-策略-管理模板-控制面板-隐藏指定的控制面板项-勾选已启用-单击显示-输入Windows防火墙(windows与防火墙之间有个空格)
- 到客户端计算机上利用业务组内任意账户登录打开控制面板-系统和安全,可以看到windows防火墙没有出现。
域组策略实例演示2-限制可执行文件的运行
假设要针对业务部内的所有计算机(图中只有一台计算机)进行设置,并且禁止所有用户在这些计算机上运行浏览器IE。我们将利用前一个实例创建的测试用GPO来练习。
我们要通过图中组织单位业务部内的计算机PC1进行练习,如果要练习的计算机在Computer容器,将其移动到组织单位业务部(请不要移动位于Domain Controlles内的域控)。
APPLocker基本概念
我们将利用APPLocker功能来阻止IE。AppLocker可以让你针对不同类别的程序来设置不同的规则,它共分为以下5大类别。
- 可执行文件规则:适用于.exe与.com程序。
- Windows安装程序规则:适用于.msi.msp.mst程序。
- 脚本规则:适用于.ps1 .bat .cmd .vbs .js程序。
- 已封装的应用程序规则:适用于.appx程序(windows应用商店的程序)。
- DLL规则:适用于.dll .ocx程序。
注:支持AppLocker的域成员:Win8Sta/Ent/Pro, Win7ult/Ent,Win2012 Data/Sta,Win 2008R2 Data/Ent/Sta。
如果要针对Win XP等旧客户端来封锁,请利用软件限制策略。
域组策略与AppLocker 实例演示
Win8 可以通过菜单中IE来打开浏览器,默认位置pro file\ie\ie.exe中。以下范例将禁用ie.exe,但是不阻止其他动态磁贴程序。
- 编辑测试用GPO。
- 计算机配置-策略-Windows设置-安全设置-应用程序控制策略-AppLocker-选中可执行规则并单击鼠标右键-创建默认规则。
注:一旦创建规则后,凡是未在规则内的执行文件都会被阻止,因此我们需要先通过此步骤来创建默认规则,这些默认规则允许普通用户执行Program Files与Windows文件夹内的所有程序,允许系统管理员执行所有程序。
- 右侧的3个允许规则是前一个步骤所创建的默认规则,接着选中可执行规则并右键-创建新规则
注:因为DLL规则会影响系统性能,并且如果没正确设置,还可能造成意外事件,因此默认并没有显示DLL规则,除非通过选择AppLocker并右键-属性-高级的方法进行选择。
- 默认一路下一步,到选择路径。
注:如果程序已经签署,还可以根据发布者进行设置,也就是拒绝,允许指定发布者签署,也可以通过文件哈希进行设置,此时系统会计算程序的哈希值,客户端用户执行程序时,客户端计算机也会计算其哈希值,只要哈希值与规则内的程序相同,就会被拒绝执行。
- 选择浏览文件,IE路径然后一路下一步。
注:由于每台客户端计算机的IE安装文件夹可能不同,因此系统自动将C:\Programme Files改为变量表示法%PROGRAMFILES%。
- 完成后的界面
- 一旦创建规则后,凡是未列在规则内的执行文件都会被阻止,虽然我们是在可执行规则处创建规则,但是已封装的应用程序也会被阻止(例如气象,等应用商店磁贴),因此我们还需要在封装应用规则处来开发已封装的应用程序,只要通过创建默认规则来开放即可:选择封装应用规则-创建默认规则,此默认规则会开放所有已签署的已封装的应用程序。
注:不需要在Windows安装程序规则与脚本规则类别中创建默认规则,因为他们没有受到影响。
-
客户端需要启动Application Identity服务才享有Applocker功能。可以到客户端计算机来启动此服务,或者通过GPO为客户端进行设置。
- 重启PC1,然后利用普通账户登录。(生效貌似比较慢,我在做这个实验的时候还检查了半天怎么不生效,等了会才好。)
AppLocker的补充说明
如果在规则类别内创建了多个规则,其中有的是允许规则,有的是拒绝规则,则AppLocker在处理这些规则时以拒绝规则优先,至于没有列在规则内的应用程序一律拒绝其执行。
另外当我们在组织单位业务部内的GPO通过AppLocker规则来限制计算机执行程序后,一般而言,等这个规则应用到客户端计算机后就生效,但也有一些特殊情况,因为它还与规则强制设置有关。
规则强制设置分为未配置,强制规则与仅审核3种,默认是未配置,下图状态都显示为 未配置强制:强制规则。冒号前面的未配置强制表示他们的规则强度设置都是未设置,而未配置的规则类别默认会被设置为强制规则。
如果要更改规则强制设置,请单击上图右侧上方的配置规则强制,然后再下图的对话框中针对不同的规则类别进行勾选,并且可以选择仅审核,仅审核会审核用户执行程序的行为,但是不会强制,也就是用户不会受到规则的限制,但是系统会在AppLocker事件日志中记录。只可以对整个类别设置规则强制,无法单独对单一规则进行设置。
如果组织单位业务部有多个GPO,这些GPO的AppLocker规则会合并应用到业务部内的计算机。如果组织单位业务部上层的域Contoso.com处也设置规则,则这些规则也会合并到业务部计算机。
如果业务部的规则强制设置为未配置,当上层域已设置,则会继承设置。
不过,如果业务部规则强制已设置,无论上层域处的规则设置为何,业务规则设置就是其本身。
组策略例外排除
前面测试过用组策略来禁用Windows防火墙,但是也可以让此GPO不要应用到特定用户,例如业务部经理Paul,这样他就仍然可以使用Windows防火墙。这个操作被称为组策略筛选。
组织单位业务部内的用户,默认都会应用该组织单位的所有GPO设置,因为他们对这些GPO都具备有读取与应用组策略权限,已测试用的GPO为例,可以通过,单击测试用GPO的委派-高级按钮的方法得知Authenticated Users具有这两个权限。
如果不想将此GPO设置应用到用户Paul,只要单击添加,选择用户Paul,然后将Paul的这两个权限设置为拒绝即可。
本地安全策略
我们可以利用本地计算机策略中的安全设置或管理工具-本地安全策略的方法来确保计算机的安全,这些设置包含密码策略,账户锁定策略与本地策略等。
利用本地安全策略进行练习,请到未加域的计算机上练习,以免受到域组策略的干扰,因为域组策略的优先级较高,可能会造成本地安全策略的设置无效,因而影响验证实验结果。
账户策略的设置
此处简单介绍个别的使用策略与锁定方式
密码策略
注:在单击上图右侧的策略后,如果系统不让你修改设置值,表示这台计算机已经加入域,并且该策略在域内已经设置了,此时会已域设置为其最后有效设置(未加入域之前,已经在本地设置的相对策略自动无效)。
用可还原的加密来存储密码:如果应用程序需要读取用户的密码,以便验证用户身份,就可以启用此功能。不过,由于它相当于用户密码没有加密,因此不安全,所以建议如非必要,请不要启用此功能。
账户锁定策略
账户锁定阈值:用来设置用户登录多次失败后,就将该账户锁定。在未被解除锁定之前,用户无法再利用此账户登录。
重置账户锁定计算器:锁定计数器用来记录用户登录失败的次数,其初始值为0,如果用户登录失败,则锁定计数的值就会加1;如果登陆成功,则锁定计数器的值就会归零。如果锁定计数器的值等于等于账户锁定阈值,该账户就会被锁定。
如果用户连续两次登陆失败的间隔时间超过此处设置值,锁定计数器值就会自动归零。如下图,如果用户连续3此登陆失败,其账户就会被锁定。不过,在尚未连续3次登陆失败之前,如果前一次登陆失败后到此次失败之间的间隔时间已经超过30分钟,则锁定计数器值就会从0开始计算,因此这次登陆失败,仍算第一次。
域与域控制器安全策略
域安全策略的设置
由于域安全策略的设置方式与本地安全策略相同,因此此处不再复述,仅列出注意事项。
- 隶属于域的任何一台计算机,都会受到域安全策略的影响。
- 隶属于域的计算机,如果其本地安全策略与域安全策略发送冲突,则以域安全策略设置优先,也就是本地设置自动无效。
- 当域安全策略的设置发生了变化,这些策略必须应用到本地计算机后,才能对本地计算机有效。应用时,系统会比较域安全策略与本地安全策略,并以域安全策略的设置优先。本地计算机何时才会应用在域策略内有变化的设置呢?
- 本地安全策略有变化时
- 本地计算机重启时
- 如果此计算机是域控,则默认它每隔5分钟会自动应用;如果此计算机不是域控制器,则默认它每隔90-120分钟会自动应用。应用时会自动读取有关变化的设置。即使策略设置没有发生变化,所有计算机每隔16小时也会自动强制应用域安全策略内的所有设置。
- 运行gpupdate命令来手动应用;如果强制应用(即使策略设置没有变化),请执行gpupdate/force。
注:如果域内有多台域控制器,则域成员计算机在应用域安全策略时,是从其所连接的域控读取与应用策略。不过,因为这些策略设置,默认都固定保存在域内的第一台域控,也就是PDC操作主机内,而系统默认是在15秒钟后将这些策略设置复制到其他域控。必须等到这些策略设置被复制到其他域控后,才能保证域内的所有计算机都可以成功地应用这些策略。
域控制器安全策略的设置
下面列出一些主要事项。
域控制器安全策略与域安全策略的设置发送冲突时,对位于Domain Controllers容器内的计算机来说,默认以域控制器安全策略的设置优先,也就是域安全策略自动无效。不过,账户策略属于例外:域安全策略中的账户策略设置对域内的所有用户都有效,就算位于Domain Controllers也有效,也就是说域控安全策略的账户策略对域控病不起作用。
注:系统提供一个称为安全配置向导的工具,运行时,它会读取当前这台服务器所扮演的角色,功能,服务等,并将这些设置保存到文件内,你就可以将这个文件拿到其他服务器上应用。安全配置向导位于开始屏幕的管理工具内。
组策略首选项
组策略可以做到当用户登录时自动连接网络驱动器,打印机等等。
审核资源的使用
审核功能让管理员跟踪是否有用户访问计算机内的资源,跟踪计算机运行情况等。
通过审核策略所记录的数据被记录到安全日志文件内。
天太热了,这后面2个东西不高兴做实验记录了,就这样吧。我去做故障转移文件服务器群集的实验了。