组策略最佳实践 – GPO 安全设置

教學

組策略最佳實踐 – GPO 安全設定。進行有效的網絡管理需要對組策略物件 (GPOs) 有深刻的理解。本篇文章著重於GPO安全設定,解鎖 strengthening 活動目錄環境 的基本原則和策略。文章將进一步討論多個組策略最佳實踐。

也閱讀 如何在活動目錄中創建和鏈接GPO(步驟BY步驟)

組策略最佳實踐 – GPO 安全設定

某些簡單的組策略設定,當正確配置時,有潛在的意义來减轻數據泄露的風險。 通過組策略在計算機 registry 中調整設定,可以提高我們組織內計算機的安全性和操作行為。這個強大的工具讓我們能夠 限制用戶訪問 特定資源,執行腳本,並執行例行的任務,例如強制每個用戶在網絡上指定首頁。

也閱讀 活動目錄備份策略及工具(最佳實踐)

控制面板的訪問控制

對電腦的控制面板設定限制能夠創造出更安全的商業環境。透過控制面板,我們能夠控制電腦的所有方面。因此,通過控制访问电脑的人,我們能夠保護數據和其它資源。請執行以下步驟:

  1. 在「群組策略管理编辑器」(為用戶創建的GPO打開)中,導航至 用戶配置>管理模版>控制面板
  2. 在右側双擊禁止訪問控制面板和PC設定策略以查看其屬性。
  3. 從三個選項中選擇啟用
  4. 點擊應用確定

同時閱讀嘗試 InfraSOS Active Directory 報告工具

防止 Windows 儲存 LAN Manager 雜湊

Windows 會生成並儲存使用者帳戶密碼的雜湊值。Windows 同時生成 LAN Manager 雜湊(LM 雜湊)和 Windows NT 雜湊(NT 雜湊)並將其儲存於本地安全帳號管理員(SAM)資料庫或 Active Directory 中。

LM哈希是脆弱的,容易受到黑客攻击。因此,我们应该阻止Windows存储我们密码的LM哈希。按照以下步骤进行操作:

  1. 在出现的自定义GPO的Group Policy Management Editor窗口中,找到计算机配置>Windows设置>安全设置>本地策略下的安全选项。
  2. 在右窗格中,双击不在下次密码更改时存储LAN Manager哈希值策略。
  3. 选择定义此策略设置复选框,并点击已启用
  4. 点击应用确定

控制对命令提示符的访问

我們使用命令提示符來運行授予高层次访问並避開系統上其他限制的命令。因此,為了確保系統資源的安全,禁用命令提示符是明智的。

禁用命令提示符後,若有人嘗試開啟命令窗口,系統會顯示一個消息,指出某些設定阻止此動作。執行以下步驟:

  1. 在「群組策略管理編輯器」的窗口(為自訂GPO打開)中,前往用戶配置>Windows設定>策略>管理水平>系統
  2. 在右側面板中,双擊阻止访问命令提示符策略。
  3. 點擊啟用以套用策略。
  4. 按一下應用確定

也閱讀如何監控和審計您的Windows伺服器的安全事件

停用強制系統重啟

強制系統重新啟動經常發生。例如,我們發現自己處於一個必須使用電腦的情況下。在Windows上出現一個通知,告訴我們一個安全更新需要我們重新啟動系統。

如果我們忽略警報或花一段時間反應,電腦往往會自行重新啟動,如果這樣會丟失重要的未保存工作。要停用強制重啟,請通過GPO執行以下步驟:

  1. 要訪問Windows更新,請在為自定GPO打開的群組策略管理編輯器窗口中導航至電腦組態>管理範本>Windows元件
  2. 在右窗格中,雙擊為預定的自動更新安裝而登錄的使用者禁用自動重新啟動 策略。
  3. 點擊已啟用 以啟用該策略。
  4. 點擊應用 和確定

同時閱讀Active Directory 安全最佳實踐:保護您的環境

禁用可移動媒體驅動器

可移動媒體驅動器非常容易受到感染,它們可能還包含病毒或惡意軟件。如果用戶將受感染的驅動器插入網絡計算機,將影響整個網絡。同樣,DVD、CD,甚至是軟盤驅動器,儘管它們的年代已經很久了,但仍然容易受到感染。

因此,最好完全關閉所有這些驅動器。執行以下步驟來完成:

  1. 在組策略管理編輯器窗口中(打開自定義GPO),轉到用戶配置>策略>管理範本>系統>可移動存儲訪問
  2. 在右窗格中,雙擊所有可移動存儲類別:拒絕所有訪問策略。
  3. 點擊已啟用以啟用該策略。
  4. 點擊應用確定

限制軟件安裝

當我們給用戶安裝軟件的自由時,他們可能安裝會危害系統的不需要的應用程序。系統管理員通常需要定期對這些系統進行維護和清理。建議通過組策略阻止軟件安裝:

  1. 在組策略管理編輯器中(打開自定義GPO),轉到計算機配置>管理範本>Windows組件>Windows安裝程序
  2. 在右側窗格中,双擊禁止用戶安裝策略。
  3. 啟用以啟用該策略。
  4. 套用確定

禁用访客账户

通过访客账户,用户可以接触到敏感资料。这类账户允许访问Windows电脑,且无需密码。启用此账户意味着任何人可能滥用我们对系统的访问权限。

幸运的是,我们可以通过默认方式停用这些账户。最好检查一下在我们的IT环境中是否是这样,因为如果这个账户在我们的域中启用,停用它就可以防止人们滥用访问权限:

  1. 在组策略管理编辑器(为自定义GPO打开)中,前往電腦配置> Windows 設定> 安全性設定> 本地策略> 安全性選項
  2. 在右窗格中,双击帐户:来宾帐户状态策略。
  3. 选择定义此策略设置复选框,然后单击禁用
  4. 单击应用 和确定

还阅读尝试InfraSOS Active Directory GPO报告工具

将最小密码长度设置为更高的限制

将最小密码长度设置为更高的限制。例如,对于管理员帐户,我们应该将密码设置为至少15个字符,对于普通帐户,至少12个字符。设置较低的最小密码长度值会增加不必要的风险。默认设置为“零”字符,因此我们必须指定一个数字:

  1. 在群組策略管理編輯器視窗(為自訂GPO打開)中,前往電腦配置\ Windows設定\ 安全性設定\ 帳號策略\ 密碼策略
  2. 在右側面板中雙擊「最小密碼長度」策略,然後勾選「定義此設定」方塊。
  3. 為密碼長度指定一個值。
  4. 套用 和 確定

將最大密碼有效期設定為較低限制

如果將密碼過期期限設定為較長期限,用戶只需偶尔更改,這意味著密碼被竊取的風險更高。較短的密碼過期期限總是較為優先。

Windows將預設的最大密碼有效期設定為42天。以下截圖展示了配置最大密碼有效期的策略設定。請執行以下步驟:

  1. 前往電腦組態>Windows 設定>安全性設定>帳戶原則>密碼原則,在出現的群組原則管理編輯器對話框中(為自定義群組原則而開啟)。
  2. 在右側窗格中,雙擊最長密碼使用期限原則。
  3. 選取定義此原則設定複選框,並指定一個值。
  4. 按一下應用確定

停用匿名 SID 列舉

Active Directory 為 Active Directory 中的所有安全物件(包括使用者、群組等)分配一個稱為安全識別碼(SID)的唯一數字。在較舊的 Windows 版本中,使用者可以查詢這些 SID 來識別重要的使用者和群組。黑客利用這項功能來非法存取資料。

默認情況下,此設定已停用。請確保保持這種狀態。執行以下步驟:

  1. 導航到電腦組態>策略>Windows 設定>安全設定>本機策略>安全選項在群組原則管理編輯器視窗中。
  2. 在右窗格中雙擊網路存取不允許列舉 SAM 帳戶和匿名通訊策略設定。
  3. 選擇已啟用,然後點擊應用確定保存設定。

如果我們正確配置這些群組原則設定,組織的安全性就會自動提升。這個列表可能不完整,但它是在我們的域環境中增強安全性的良好起點。

還可以閱讀Active Directory 安全性群組最佳實踐

群組原則最佳實踐 – GPO 安全設定結論

總的來說,導航集團政策最佳實踐的微妙之處是加強任何網絡環境的安全性和效率的基石。通過遵守這些準則,管理員不僅可以增強系統的韌性,還可以確保組織內的統一和規範配置。隨著數字風景的演變,採用這些最佳實踐對於保障數據、增強運行完整性以及維護有效網絡管理的強大基礎變得至關重要。

Source:
https://infrasos.com/group-policy-best-practices-gpo-security-settings/