[6]组策略与安全设置

本地安全策略与组策略管理

一、本地安全策略

本地安全策略影响本地计算机的安全设置
两种打开方式：
开始→Windows管理工具→本地安全策略
运行secpol.msc命令

1.帐户策略设置
A.密码策略：
密码必须符合复杂性要求
密码长度最小值
密码最长使用期限
密码最短使用期限
强制密码历史
用可还原的加密来储存密码
B.帐户锁定策略：
账户锁定阈值
账户锁定时间
重置账户锁定计数器
2.本地策略
A.审核策略
通过审核（auditing)可以让系统管理员来跟踪是否有用户访问计算机内的资源、跟踪计算机运行情况等。审核工作通常需要经过以下三个步骤：
启用审核策略：Administrators成员才有权限
设置将要审核的资源：必须有管理审核及安全日志权限的用户才可以审核资源，默认是 Administrators成员才有此权限。
查看安全日志文件：管理工具–事件查看器–windows日志–安全

案例1：审核策略更改行为
案例2：审核账户登录访问行为
案例3：审核系统事件行为
案例4：审核目录访问行为

B.用户权限分配：
允许本地登录、拒绝本地登录、允许用户直接在本台计算机上按ctrl+alt+del键、将工作站添加到域中、闭系统、更改系统时间…
C.安全选项：
交互登录：无须按ctrl+alt+del键、不显示最后的用户名、提示用户密码过期前更改密码、试图登录的用户的消息文本、试图登录的用户的消息标题…

二、本地组策略

组策略概述
一组策略的集合
用来统一修改系统、设置程序
组策略的优点
减小管理成本
减小用户单独配置错误的可能性
可以针对特定对象设置特定的策略
组策略对象
GPO （Group Policy Object）的概念
存储组策略的所有配置信息
AD中的一种特殊对象
默认GPO
默认域策略: 影响域中所有的用户和计算机
默认域控制器策略: 影响组织单位“Domain Controllers”中所有的用户和计算机。
GPO链接
只能链接到站点、域、OU
站点的概念 ：
活动目录中的站点是从物理上抽象的概念
由一个或几个通过高速链路连接在一起的IP子网组成
站点和域的关系：
一个站点中可以有多个域
一个域中可以有多个站点
站点的主要作用：
优化复制
使用户能够使用可靠、高速的连接登录到域控制器上

域内的策略：在域内可以针对站点、域或组织单元来设置组策略，其中的域组策略内的设置会被应用到域内所有计算机与用户，而组织单元的组策略会被应用到该组织单元内的所有计算机与用户。
对于加入到域的计算机来说，如果两者有冲突，以域或组织单元组策略的设置优先，本地策略无效。
打开方式：运行gpedit.msc命令

1、计算机配置/对计算机生效
案例1：当要将windows server 2016计算机关机时，系统会要求提供关机理由。通过本地策略设置关闭提供关机理由。在开机时不显示管理您的服务器页
操作流程：开始—运行—gpedit.msc----计算机配置—管理模板----系统—
显示关闭事件跟踪程序—已禁用

案例2：开机不显示三键
操作流程：计算机配置–>Windows设置–>安全设置–>本地策略，这时在本地策略下面可见到有“安全选项”，点击“安全选项”在右侧的框内找到“交互式登录:无须按CTRL+ALT+DEL”

2、用户配置/对用户生效
案例1：删除开始菜单中的关机、重启、睡眠、休眠
操作流程：用户配置–管理模板–开始菜单和工具栏–双击右边的删除并阻止访问关机、重启、睡眠、休眠—选择已启用
案例2：删除IE因特网选项的安全与连接选项卡
操作流程：用户配置–管理模板–windows组件–IE–internet控制面板–
分别双击禁用连接页与禁用安全页—已启用
案例3：隐藏windows 防火墙
操作流程：用户配置–管理模板–控制面板–隐藏指定的控制面板–已启用–显示–添加–输入：windows 防火墙–单击三次确定

默认的两条GPO：
1、默认域策略
（1）本地安全策略与默认域策略有冲突，以默认域策略优先，本地设置无效。
（2）本地计算机何时才会应用在域策略内有变动的设置呢？
本地安全策略有变动时；
本地计算机重启时；
DC每5分钟自动应用；
不是DC每隔90-120分钟会自动应用；
所有计算机每隔16小时强制应用，即使无更改。
手动应用域策略：gpupdate或gpupdate /force
2、默认域控制器策略
只影响到位于Domain Controllers内的域控制器，不影响其他组织单元或容器内的计算机和用户
所有位于Domain Controllers内的DC都会受域控制器安全策略的影响。
默认域策略与域控制器安全策略冲突时，对于DC来说默认域控制器策略优先，域安全策略无效。

三、组策略规则

组策略应用顺序：本地组策略站点域OU
如果在一个对象上存在多个GPO策略，那么按照GPO策略编号从高往低执行，最后执行的策略生效。
所有的策略应用都需要遵循以下几种规则：
1.继承与阻止
2.累加与冲突
3.强制生效
4.筛选
让特定的对象应用组策略
筛选的配置方法：
1.选中OU下的GPO
2.点击GPO中的"委派"
3.点击右下角"高级"
4.点击"添加"
5.添加要排除的用户并在权限栏中，选择"应用组策略"—>“拒绝”

四、组策略的使用

组策略内的设置分为：策略、首选项
只有域内的组策略才有首选项功能，本地计算机策略无此功能。
首选项非强制性，客户端可更改设置，策略设置是强制性，客户端无法更改。
策略设置若要在客户端发生作用，客户计算机的操作系统或应用程序必须支持组策略，首选项不需要。
若要筛选策略设置，必须针对整个GPO来筛选，而首选项可以针对单一设置项目来设置。
案例1：
已部署Windows Server 2016域，财务部员工计算机位于OU“财务部”中
要求财务部的所有计算机都要自动下载并安装系统补丁
注意：配置组策略时勾上“安装其他更新产品”
案例2：
已部署Windows Server 2016域，销售部员工用户位于OU“销售部”中
要求销售部员工使用统一的桌面背景，禁止更改桌面背景
步骤：
1.选取壁纸：格式最好和真实使用的规格一致且为*.jgp格式
2.新建文件夹存放壁纸，共享该文件夹
3.在策略编辑的“桌面墙纸”中路径为“\IP\共享文件夹名称\壁纸名称.jpg”
4.域控制器命令刷新组策略，客户端验证

案例3：
软件分发，通过在DC中部署多台客户端需要安装的软件，实现客户端批量安装软件。
已发布：选择安装或者不安装，计算机没有此选项
已分配：强制安装

设置软件分发步骤：
以用户为例：
注意：需提前共享包含要安装以.msi后缀的软件，设置允许相关用户能够访问到该共享目录。
1.指定域中所有计算机的网关，网关必须是当前可使用的计算机IP地址，最终在网卡显示界面中，会显示当前域名，而非"未识别网络"
2.双击打开"网络"，确认能够看到域中所有的计算机
注意：发布软件时需要在网络中看到本机
在"服务"中将以下两个服务设置为自动启动，并重启这两个服务可解决该问题：
Function Discovery Provider Host
Function Discovery Resource Publication
3.找到"组策略管理"—>“caiwubu"OU进行鼠标右键创建GPO，并鼠标右键编辑该GPO
4.找到用户配置—>策略—>软件设置—>软件安装，鼠标右键点击属性，在属性中点击浏览找到该服务器计算机名，打开选中要分发的软件所在共享目录
5.在该界面中继续选择安装方式:发布/分配，最后应用
6.继续右键点击软件安装—>新建—>数据包，这时将会从网络位置该计算机中打开带有要分发软件的共享文件夹，只需要选择要分发的软件，点击确认即可
7.等待几秒钟后在操作台中间空白处将会出现任务记录，选中该任务记录鼠标右键属性，打开"部署"选项卡—>部署选项—>勾中"在登录时安装此应用程序”
8.应用当前修改，并通过gpupdate /force 刷新组策略，重启客户机验证是否安装。

可以使用VERITAS Discover和Advanced Installer等第三方软件将.exe格式文件转换为.msi格式文件。

其他案例：
案例1：业务部所有用户登录时，其磁盘Z：会自动连接到\server\tools共享文件夹；另外还要使用筛选功能来设置只有业务部的用户paul登录时，其磁盘Y:会连接到\server\database共享文件夹，而业务部的其他用户登录时不会产生Y：磁盘。
操作流程：组策略–用户配置–首选项–windows设置–右击驱动器映射–新建驱动器映射–操作：更新–位置：共享文件夹的路径–重新连接：打钩–驱动器号：Z—公用—在登录用户的安全上下文件中运行（用户策略选项）

组策略--用户配置--首选项--windows设置--右击驱动器映射--新建驱动器映射--操作：更改--位置：共享文件夹的路径--重新连接：打钩--驱动器号：Y---公用---在登录用户的安全上下文件中运行（用户策略选项）,项目级别目标---目标---新建项目--用户

案例2：让业务部用户登录时会自动连接网络打印机
操作流程：用户配置–首选项–控制面板设置–右击打印机–新建–共享打印机
案例3：禁止生产部用户运行IE浏览器，生产部经理除外。
操作流程：用户配置–管理模板–系统–不要运行指定的windows应用程序–已启用–显示–添加–输入：iexplore.exe–单击3次确定

课后作业
1、域用户登录桌面后自动加入本地administrators管理员组
2、域用户登录桌面后自动禁用本地guest来宾用户
3、域用户登录桌面后控制面板隐藏用户账户
4、域用户登录桌面后自动创建公司共享快捷方式
5、域用户登录桌面后自动创建百度网页快捷方式URL
6、域用户登录桌面后自动创建驱动器映射公司共享
7、域用户登录桌面后禁用计算管理的本地用户和组
8、域用户登录桌面后自动推送批处理安装压缩包软件
9、域用户登录桌面后提示组策略限制安装QQ软件
10、已部署Windows Server 2016域，“销售部”组中包含销售部员工用户账户UserA、UserB，“财务部”组中包含财务部员工用户账户UserC
需求描述
销售部的所有员工设置密码长度为9，并且每个月都要修改一次密码
财务部的员工设置密码的长度为20，允许登陆尝试次数为3次，一旦账户被锁定，必须由管理员手动解锁该账户