扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
支持安全管理的 GPO 设计
使用 GPO 确保特定设置、用户权限和行为应用于 OU 中的所有工作站或用户。通过使用组策略(而不是使用手动步骤),可以很方便地更新大量将来需要额外更改的工作站或用户。使用 GPO 应用这些设置的替代方法是派出一名技术人员在每个客户端上手动配置这些设置。
图 2.2 GPO 应用顺序
上图显示了对作为子 OU 成员的计算机应用 GPO 的顺序。首先从每个 Windows XP 工作站的本地策略应用组策略。应用本地策略后,依次在站点级别和域级别应用任何 GPO。
对于几个 OU 层中嵌套的 Windows XP 客户端,在层次结构中按从最高 OU 级别到最低级别的顺序应用 GPO。从包含客户端计算机的 OU 应用最后的 GPO。此 GPO 处理顺序(本地策略、站点、域、父 OU 和子 OU)非常重要,因为此过程中稍后应用的 GPO 将会替代先前应用的 GPO。用户 GPO 的应用方式相同,唯一区别是用户帐户没有本地安全策略。
当设计组策略时请记住下列注意事项。
管理员必须设置将多个 GPO 链接到一个 OU 的顺序,否则,默认情况下,将按以前链接到此 OU 的顺序应用策略。如果在多个策略中指定了相同的顺序,容器的策略列表中的最高策略享有最高优先级。
可以使用“禁止替代”选项来配置 GPO。选择此选项后,其他 GPO 不能替代为此策略配置的设置。
可以使用“阻止策略继承”选项来配置 Active Directory、站点、域或 OU。此选项阻止来自 Active Directory 层次结构中更高的 GPO 的 GPO 设置,除非它们选择了“禁止替代”选项。
组策略设置根据 Active Directory 中用户或计算机对象所在的位置应用于用户和计算机。在某些情况下,可能需要根据计算机对象的位置(而不是用户对象的位置)对用户对象应用策略。组策略环回功能使管理员能够根据用户登录的计算机应用用户组策略设置。有关环回支持的详细信息,请参阅本模块的“其他信息”部分中列出的组策略白皮书。
下图展开了基本 OU 结构,以显示如何对运行 Windows XP 且属于便携式计算机 OU 和台式计算机 OU 的客户端应用 GPO。
图 2.3 展开的 OU 结构,包含运行 Windows XP 的台式计算机和便携式计算机的安全GPO
在上例中,便携式计算机是便携式计算机 OU 的成员。应用的第一个策略是运行 Windows XP 的便携式计算机上的本地安全策略。由于此例中只有一个站点,所以站点级别上未应用 GPO,将域 GPO 作为下一个要应用的策略。最后,应用便携式计算机 GPO。
注意:台式计算机策略未应用于任何便携式计算机,因为它未链接到包含便携式计算机 OU 的层次结构中的任何 OU。另外,安全的 XP 用户 OU 没有对应的安全模块(.inf 文件),因为它只包括来自管理模块的设置。
作为 GPO 之间优先级如何起作用的示例,假设“通过终端服务允许登录”的 Windows XP OU 策略设置被设置为“Administrators”组。“通过终端服务允许登录”的便携式计算机 GPO 设置被设置为“Power Users”和“Administrators”组。在此情况下,帐户位于“Power Users”组中的用户可以使用终端服务登录到便携式计算机。这是因为便携式计算机 OU 是 Windows XP OU 的子级。如果在 Windows XP GPO 中启用了“禁止替代”策略选项,只允许那些帐户位于“Administrators”组中的用户使用终端服务登录到客户端。
安全模板
组策略模板是基于文本的文件。可以使用 MMC 的安全模板管理单元,或使用文本编辑器(如记事本),来更改这些文件。模板文件的某些章节包含由安全描述符定义语言 (SDDL) 定义的特定访问控制列表 (ACL)。有关编辑安全模板和 SDDL 的详细信息,请参阅本模块中的“其他信息”部分。
安全模板的管理
将生产环境中使用的安全模板存储在基础结构中的安全位置是非常重要的。安全模板的访问权只应该授予负责实现组策略的管理员。默认情况下,安全模板存储在所有运行 Windows XP 和 Windows Server 2003 的计算机的 %SystemRoot%\security\templates 文件夹中。
此文件夹不是跨多个域控制器复制的。因此,您需要选择一个域控制器来保存安全模板的主副本,以避免遇到与模板有关的版本控制问题。此最佳操作确保您始终修改模板的同一副本。
导入安全模板
使用下列过程导入安全模板。
将安全模板导入 GPO:
1.导航到组策略对象编辑器中的“Windows 设置”文件夹。
2.展开“Windows 设置”文件夹,然后选择“安全设置”。
3.右键单击“安全设置”文件夹,然后单击“导入策略...”。
4.选择要导入的安全模板,然后单击“打开”。文件中的设置将导入到 GPO 中。
管理模板
在称为管理模板的基于 Unicode 的文件中,可以获得其他安全设置。管理模板是包含影响 Windows XP 及其组件以及其他应用程序(如 Microsoft Office XP)的注册表设置的文件。管理模板可以包括计算机设置和用户设置。计算机设置存储在 HKEY_LOCAL_MACHINE 注册表配置单元中。用户设置存储在 HKEY_CURRENT_USER 注册表配置单元中。
管理模板的管理
像上面的用于存储安全模板的最佳操作一样,将生产环境中使用的管理模板存储在基础结构中的安全位置是非常重要的。只有负责实现组策略的管理员才能有此位置的访问权限。Windows XP 和 Windows 2003 Server 附带的管理模板存储在 %systemroot%\inf 目录中。“Office XP Resource Kit”附带了用于 Office XP 的其他模板。这些模板在发布 Service Pack 时会进行更改,所以不能编辑。
向策略添加管理模板
除了 Windows XP 附带的管理模板外,还要将 Office XP 模板应用于要在其中配置 Office XP 设置的 GPO。使用下列过程向 GPO 添加其他模板。
向 GPO 添加管理模板:
1.导航到组策略对象编辑器中的“管理模板”文件夹。
2.右键单击“管理模板”文件夹,然后单击“添加/删除模板”。
3.在“添加/删除模板”对话框中,单击“添加”。
4.导航到包含管理模板文件的文件夹。
5.选择要添加的模板,单击“打开”,然后单击“关闭”。
域级别组策略
域级别组策略包括对域中所有计算机和用户应用的设置。位于http://go.microsoft.com/fwlink/?LinkId=14845 的“Windows Server 2003 Security Guide”的模块 2“Configuring the Domain Infrastructure”(英文)中详细介绍了域级别安全。
经常更改的复杂密码减少了密码攻击成功的可能性。密码策略设置控制密码的复杂性和使用期限。本节讨论用于企业客户端环境和高安全级环境的每个密码策略设置。
在组策略对象编辑器中的以下位置的域组策略中配置下列值:
计算机配置\Windows 设置\安全设置\帐户策略\密码策略
下表包含对本指南中定义的两种安全环境的密码策略建议。
强制密码历史
表 2.2:设置
“强制密码历史”设置确定在重用旧密码之前必须与用户帐户相关的唯一新密码的数量。此设置的值必须在 0 到 24 个记住的密码之间。Windows XP 的默认值是 0 个密码,但是域中的默认设置是 24 个记住的密码。要维护密码历史的有效性,请使用“密码最短使用期限”设置,以阻止用户不断更改密码来避开“强制密码历史”设置。
对于本指南中定义的两个安全环境,将“强制密码历史”设置配置为“24 个记住的密码”。通过确保用户无法轻易重用密码(无论意外或故意),最大设置值增强了密码的安全性。它还可以帮助确保攻击者窃得的密码在可以用于解开用户帐户之前失效。将此值设置为最大数量不会产生已知问题。
密码最长使用期限
表 2.3:设置
此设置的值的范围为 1 到 999 天。为了指定从不过期的密码,还可以将此值设置为 0。此设置定义了解开密码的攻击者在密码过期之前使用密码访问网络上的计算机的期限。此设置的默认值为 42 天。
对于本指南中定义的两个安全环境,将“密码最长使用期限”设置配置为值“42 天”。大多数密码都可以解开,因此,密码改动越频繁,攻击者使用解开的密码的机会越少。但是,此值设置越低,帮助台支持的呼叫增多的可能性越大。将“密码最长使用期限”设置为值 42 可以确保密码周期性循环,从而增加了密码安全性。
密码最短使用期限
表 2.4:设置
“密码最短使用期限”设置确定了用户可以更改密码之前必须使用密码的天数。此设置的值的范围是 1 到 998 天,也可以将此设置的值设置为 0 以允许立即更改密码。此设置的默认值为 0 天。
“密码最短使用期限”设置的值必须小于为“密码最长使用期限”设置指定的值,除非“密码最长使用期限”设置的值配置为 0(导致密码永不过期)。如果“密码最长使用期限”设置的值配置为 0,“密码最短使用期限”设置的值可以配置为从 0 到 999 之间的任何值。
如果希望“强制密码历史”设置生效,请将此值配置为
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。