降龍十八掌第九式——或躍在淵:使Windows XP同步處理組策略
1、Windows XP默認(rèn)是異步處理組策略
無需等網(wǎng)絡(luò)響應(yīng)(XP應(yīng)用過GPO就會在本地有個緩存的),這種異步處理方式大大縮短了XP客戶端所需要的引導(dǎo)與登錄時間,可是處理文件夾重定項等都會有延遲,這將會影響到排錯。
2、Windows 2000默認(rèn)是同步處理組策略
3、我們應(yīng)該:
(1)不想讓操作系統(tǒng)來決定組策略的處理方式
(2)也不想其它因素影響排錯
4、這個策略的位置在:計算機(jī)配置>管理模板>系統(tǒng)>登錄>計算機(jī)啟動和登錄時總是等待網(wǎng)絡(luò)(這個啟用后,XP就使用同步處理的方式,這樣應(yīng)用GPO就不會有延遲了)
降龍十八掌第十式——神龍擺尾:使用GPO命名慣例
1、保證GPO的一致性,并保證容易理解(創(chuàng)建GPO的管理員越多,一致性越差)
2、使用簡潔的名字描述GPO的意圖
3、微軟使用的命名慣例:
三個關(guān)鍵字符:
范圍(end user最終用戶,worldwide全部,IT)
目的
誰管理
示例:IT-office2003-ITG
降龍十八掌第十一式——魚越于淵:為新的帳戶指定策略
1、默認(rèn)情況下,所有新的帳戶在cn=Users或cn=Computers(GPO不能鏈接到這些容器)
2、如果有Windows 2003域:
(1)在域中使用“redirusr.exe”和“redircmp.exe”指定所有新計算機(jī)/用戶帳戶創(chuàng)建時的默認(rèn)OU
(2)允許使用組策略管理新創(chuàng)建的帳戶
3、要求Windows 2003域的功能級別為Windows 2003
4、參考KB#324929
降龍十八掌第十二式——見龍在田:怎么才能阻止用戶訪問特定的驅(qū)動器(E:、F:、G:、H:、.etc)?
1、組策略中包含的設(shè)置
用戶配置>管理模板>windows組件>windows資源管理器>防止從“我的電腦”訪問這些驅(qū)動器(要不就是所有,要不就是ABCD四個)
2、不能禁用其他的驅(qū)動器
3、自定義管理模板或使用GPDriveOptions
降龍十八掌第十三式——雙龍取水:密碼存儲安全
1、windows 使用兩種不同的密碼表示方法(通常稱為“哈希”)生成并存儲用戶帳戶密碼
(1)當(dāng)您將用戶帳戶的密碼設(shè)置或更改為包含少于15位字符的密碼時,windows會為此密碼同時生成LAN Manager哈希(LM哈希)和windows NT哈希(NT哈希)
(2)這些哈希存儲在本地安全帳戶管理器(SAM)數(shù)據(jù)庫或Active Directory中。
(3)與NT哈希相比,LM哈希相對較弱,因此容易遭到暴力攻擊。
(4)考慮阻止windows 存儲密碼的LM哈唏
2、不允許存儲LM哈希值(windows XP或windows server2003)
(1)計算機(jī)配置>windows設(shè)置>安全設(shè)置>本地策略>安全選項>網(wǎng)絡(luò)安全:不要在下次更改密碼時存儲LAN Manager哈希值。
(2)有些產(chǎn)品或者應(yīng)用程序依賴于LM哈唏(Win9x沒有安裝活動目錄客戶端和第三方SMB客戶端例:samba).
3、參考KB 299656
降龍十八掌第十四——時乘六龍:清空上次登錄的用戶名
1、如果便攜電腦被盜,盜竊者需要猜測兩個部分(用戶名、密碼)
2、計算機(jī)配置>windows設(shè)置>本地策略>安全選項>交互式登錄:不顯示上次登錄名
具體應(yīng)用場景:臺式機(jī)設(shè)置不顯示上次登錄名的必要性小點,主要是針對便攜式計算機(jī),可以給便攜式計算機(jī)建個OU,設(shè)置不顯示上次登錄用戶名的策略。
降龍十八掌第十五式——密云不雨:面對密碼猜測
1、使用清空上次登錄的用戶名技巧
2、最好能布置監(jiān)視的工具(最佳技巧)
(1)不要實現(xiàn)帳戶鎖定策略(別人就可以利用腳本進(jìn)行不停的猜測密碼,這就會形成一種拒絕服務(wù)攻擊,讓所有域用戶帳戶鎖定),集中在面對密碼猜測的響應(yīng)。
(2)如果可能,在特定的周期內(nèi)對大量的密碼猜測讓系統(tǒng)自動響應(yīng)(找出猜密碼的人,而進(jìn)一步做處理)。
2、如果沒有監(jiān)視工具
(1)考慮使用帳戶鎖定策略
(2)增加了管理上的負(fù)擔(dān)
(3)接受DOS攻擊(通過隱藏上次的登錄名減少攻擊)
降龍十八掌第十六式——損則有孚:創(chuàng)建登錄警報
1、通常用于實現(xiàn)通知用戶他們使用的系統(tǒng)屬于公司并且他們系統(tǒng)被監(jiān)視。
2、計算機(jī)配置>windows設(shè)置>本地策略>安全選項>交互登錄:用戶試圖登錄時的消息文字
3、消息文字中提示的內(nèi)容可以做也可以不去做一但是使用消息文字,最起碼可以讓你的老板知道您正在做您的份內(nèi)工作。
降龍十八掌第十七式——履霜冰至:嚴(yán)格控制Default Domain controllers Policy用戶權(quán)利
位置:Default Domain Controllers Policy>計算機(jī)配置>Windows設(shè)置>安全設(shè)置>本地策略>用戶權(quán)限指派
降龍十八掌第十八式——抵羊觸藩:限制匿名枚舉
匿名枚舉:黑客不用提交用戶名和密碼,他只要能通過命名管道(IPC$)能連闖上來,他就可以通過匿名的方式列出來我這電腦有那些用戶,有那些共享,這就對域控制器非常危險的。
1、匿名枚舉允許非授權(quán)的客戶端請求信息
(1)域成員列表
(2)列出可用的共享
2、Default Domain Controllers Policy>計算機(jī)配置>Windows設(shè)置>安全設(shè)置>本地策略>安全選項>網(wǎng)絡(luò)訪問
(1)允許匿名SID/名稱轉(zhuǎn)換(防止用戶使用已知的SID猜測管理員的用戶名)
(2)不允許SAM帳戶的匿名枚舉(防止匿名用戶從SAM數(shù)據(jù)庫收集信息)
(3)不允許SAM帳戶和共享的匿名枚舉(防止匿名用戶從SAM數(shù)據(jù)庫收集信息并枚舉共享)
(4)讓每個人的權(quán)限應(yīng)用于匿名用戶(用戶控制是否讓匿名用戶具有和everyone一樣的權(quán)利)
(5)限制匿名訪問的命名管道/共享(控制匿名用戶是否能訪問共享資源)
(以上為使用組策略的一些技巧其中的“降龍十八掌”希望對大家有所幫助,下面我在奉獻(xiàn)三招“獨孤九劍”)
獨孤九劍第一招“總訣式”:關(guān)機(jī)清理頁面文件
1、頁面文件中存放著很多有用的信息,像臨時倉庫
2、創(chuàng)建/清理硬盤上的虛擬內(nèi)存頁面文件將增加開機(jī)和關(guān)機(jī)時間
3、這是一個安全考慮(建議無論是DC還是客戶端都應(yīng)啟用這個策略)
位置:計算機(jī)配置>Windows設(shè)置>安全設(shè)置>本地策略>安全選項>關(guān)機(jī):清除虛擬內(nèi)存頁面文件
獨孤九劍第二招是“破劍式”:打開審核和更改日志文件大小
1、改變所有日志文件大小為10MB+
(1)計算機(jī)配置>Windows設(shè)置>安全設(shè)置>事件日志>[日志名字]日志最大值
(2)為每個節(jié)點設(shè)置保持方法。建議方法:不要覆蓋事件(手動清除日志)
2、禁用如果無法記錄安全審核則立即關(guān)閉系統(tǒng)(例:Windows設(shè)置的日志大小是200M,經(jīng)過一段時間,日志寫滿了,那服務(wù)器就會自動關(guān)機(jī)的)
計算機(jī)配置>Windows設(shè)置>安全設(shè)置>本地策略>安全選項>審核:如果無法記錄安全審核則立即關(guān)閉系統(tǒng)
最佳實踐
(只有啟用“帳戶登錄”事件才記錄用戶從客戶端登錄的事件)
獨孤九劍第三招“破刀式”:強(qiáng)制使用LM離開您的網(wǎng)絡(luò)
1、網(wǎng)絡(luò)中使用哈唏做身份驗證的若干種方法
(1)LM:非常脆弱,很容易被sniffer捕獲到口令
(2)NTLM v1:比LM安全,但仍然容易被攻擊
(3)NTLM v2:較安全,但是不被以前的客戶端支持
(4)Kerberos:非常安全,不被以前的客戶端支持
2、有些產(chǎn)品依賴于LM哈唏
(1)Win9x(沒有安裝活動目錄客戶端)
(2)第三方的SMB客戶端(samba)
3、設(shè)置合適的LM兼容級別
Default Domain Controllers Policy>計算機(jī)配置>Windows設(shè)置>安全設(shè)置>本地策略>安全選項>網(wǎng)絡(luò)安全:LAN Manager身份驗證級別(建議設(shè)定不在支持LM)
4、參考KB 239869
