组策略最佳实践之“降龙十八掌

降龙十八掌第九式——或跃在渊：使Windows XP同步处理组策略

1、Windows XP默认是异步处理组策略
   无需等网络响应（XP应用过GPO就会在本地有个缓存的），这种异步处理方式大大缩短了XP客户端所需要的引导与登录时间，可是处理文件夹重定项等都会有延迟，这将会影响到排错。
2、Windows 2000默认是同步处理组策略
3、我们应该：
   （1）不想让操作系统来决定组策略的处理方式
   （2）也不想其它因素影响排错
4、这个策略的位置在：计算机配置>管理模板>系统>登录>计算机启动和登录时总是等待网络（这个启用后，XP就使用同步处理的方式，这样应用GPO就不会有延迟了）

降龙十八掌第十式——神龙摆尾：使用GPO命名惯例

1、保证GPO的一致性，并保证容易理解（创建GPO的管理员越多，一致性越差）
2、使用简洁的名字描述GPO的意图
3、微软使用的命名惯例：
三个关键字符：
    范围（end user最终用户,worldwide全部,IT）
    目的
    谁管理
示例：IT-office2003-ITG

降龙十八掌第十一式——鱼越于渊：为新的帐户指定策略

1、默认情况下，所有新的帐户在cn=Users或cn=Computers（GPO不能链接到这些容器）
2、如果有Windows 2003域：
   （1）在域中使用“redirusr.exe”和“redircmp.exe”指定所有新计算机/用户帐户创建时的默认OU
      （2）允许使用组策略管理新创建的帐户
3、要求Windows 2003域的功能级别为Windows 2003
4、参考KB#324929

降龙十八掌第十二式——见龙在田：怎么才能阻止用户访问特定的驱动器（E：、F：、G：、H：、.etc）?

1、组策略中包含的设置
   用户配置>管理模板>windows组件>windows资源管理器>防止从“我的电脑”访问这些驱动器（要不就是所有，要不就是ABCD四个）
2、不能禁用其他的驱动器
3、自定义管理模板或使用GPDriveOptions

降龙十八掌第十三式——双龙取水：密码存储安全

1、windows 使用两种不同的密码表示方法（通常称为“哈希”）生成并存储用户帐户密码
（1）当您将用户帐户的密码设置或更改为包含少于15位字符的密码时，windows会为此密码同时生成LAN Manager哈希（LM哈希）和windows NT哈希（NT哈希）
（2）这些哈希存储在本地安全帐户管理器（SAM）数据库或Active Directory中。
（3）与NT哈希相比，LM哈希相对较弱，因此容易遭到暴力攻击。
（4）考虑阻止windows 存储密码的LM哈唏
2、不允许存储LM哈希值（windows XP或windows server2003）
（1）计算机配置>windows设置>安全设置>本地策略>安全选项>网络安全：不要在下次更改密码时存储LAN Manager哈希值。
（2）有些产品或者应用程序依赖于LM哈唏（Win9x没有安装活动目录客户端和第三方SMB客户端例：samba）.
3、参考KB 299656

降龙十八掌第十四——时乘六龙：清空上次登录的用户名

1、如果便携电脑被盗，盗窃者需要猜测两个部分（用户名、密码）
2、计算机配置>windows设置>本地策略>安全选项>交互式登录：不显示上次登录名
具体应用场景：台式机设置不显示上次登录名的必要性小点，主要是针对便携式计算机，可以给便携式计算机建个OU，设置不显示上次登录用户名的策略。

降龙十八掌第十五式——密云不雨：面对密码猜测

1、使用清空上次登录的用户名技巧
2、最好能布置监视的工具（最佳技巧）
（1）不要实现帐户锁定策略（别人就可以利用脚本进行不停的猜测密码，这就会形成一种拒绝服务攻击，让所有域用户帐户锁定），集中在面对密码猜测的响应。
（2）如果可能，在特定的周期内对大量的密码猜测让系统自动响应（找出猜密码的人，而进一步做处理）。
2、如果没有监视工具
（1）考虑使用帐户锁定策略
（2）增加了管理上的负担
（3）接受DOS攻击（通过隐藏上次的登录名减少攻击）

降龙十八掌第十六式——损则有孚：创建登录警报

1、通常用于实现通知用户他们使用的系统属于公司并且他们系统被监视。
2、计算机配置>windows设置>本地策略>安全选项>交互登录：用户试图登录时的消息文字
3、消息文字中提示的内容可以做也可以不去做一但是使用消息文字，最起码可以让你的老板知道您正在做您的份内工作。

降龙十八掌第十七式——履霜冰至：严格控制Default Domain controllers Policy用户权利

位置：Default Domain Controllers Policy>计算机配置>Windows设置>安全设置>本地策略>用户权限指派

降龙十八掌第十八式——抵羊触藩：限制匿名枚举

匿名枚举：黑客不用提交用户名和密码，他只要能通过命名管道（IPC$）能连闯上来，他就可以通过匿名的方式列出来我这电脑有那些用户，有那些共享，这就对域控制器非常危险的。
1、匿名枚举允许非授权的客户端请求信息
（1）域成员列表
（2）列出可用的共享
2、Default Domain Controllers Policy>计算机配置>Windows设置>安全设置>本地策略>安全选项>网络访问
（1）允许匿名SID/名称转换（防止用户使用已知的SID猜测管理员的用户名）
（2）不允许SAM帐户的匿名枚举（防止匿名用户从SAM数据库收集信息）
（3）不允许SAM帐户和共享的匿名枚举（防止匿名用户从SAM数据库收集信息并枚举共享）
（4）让每个人的权限应用于匿名用户（用户控制是否让匿名用户具有和everyone一样的权利）
（5）限制匿名访问的命名管道/共享（控制匿名用户是否能访问共享资源）

（以上为使用组策略的一些技巧其中的“降龙十八掌”希望对大家有所帮助，下面我在奉献三招“独孤九剑”）

独孤九剑第一招“总诀式”：关机清理页面文件
1、页面文件中存放着很多有用的信息，像临时仓库
2、创建/清理硬盘上的虚拟内存页面文件将增加开机和关机时间
3、这是一个安全考虑（建议无论是DC还是客户端都应启用这个策略）
位置：计算机配置>Windows设置>安全设置>本地策略>安全选项>关机：清除虚拟内存页面文件

独孤九剑第二招是“破剑式”：打开审核和更改日志文件大小
1、改变所有日志文件大小为10MB+
（1）计算机配置>Windows设置>安全设置>事件日志>[日志名字]日志最大值
（2）为每个节点设置保持方法。建议方法：不要覆盖事件（手动清除日志）
2、禁用如果无法记录安全审核则立即关闭系统（例：Windows设置的日志大小是200M，经过一段时间，日志写满了，那服务器就会自动关机的）
计算机配置>Windows设置>安全设置>本地策略>安全选项>审核：如果无法记录安全审核则立即关闭系统
最佳实践

（只有启用“帐户登录”事件才记录用户从客户端登录的事件）

独孤九剑第三招“破刀式”：强制使用LM离开您的网络
1、网络中使用哈唏做身份验证的若干种方法
（1）LM：非常脆弱，很容易被sniffer捕获到口令
（2）NTLM v1：比LM安全，但仍然容易被攻击
（3）NTLM v2：较安全，但是不被以前的客户端支持
（4）Kerberos：非常安全，不被以前的客户端支持
2、有些产品依赖于LM哈唏
（1）Win9x（没有安装活动目录客户端）
（2）第三方的SMB客户端（samba）
3、设置合适的LM兼容级别
Default Domain Controllers Policy>计算机配置>Windows设置>安全设置>本地策略>安全选项>网络安全：LAN Manager身份验证级别（建议设定不在支持LM）
4、参考KB 239869