组策略最佳实践精选课件.pptVIP

组策略的复制与粘贴 域内复制 跨域、跨森林复制 组策略的备份与还原 组策略备份的内容 GPO的名称、GUID GPO的设置 GPO的DACL（自定义访问列表） WMI筛选器链接（不是筛选器对象） 执行备份的时间戳 组策略的还原 组策略的导入 可以由备份的策略导入现有的GPO对象 可以跨域、跨森林操作 组策略的迁移 迁移需求（跨域） 实验环境-生产环境 生产环境1-生产环境2 迁移解决方案 复制+粘贴 备份+导入 挑战 安全主体（用户、组和计算机） UNC 路径 迁移表 影射源GPO中的安全主体、UNC到目标GPO的新值文件 组策略的迁移 DEMO 组策略的概念 组策略对象相关概念 组策略的种类 组策略编辑工具介绍 组策略的安全设定 利用组策略进行程序安装 组策略最佳实践 组策略修复 基于第三方工具的组策略模版设置 综合案例 组策略安全设定-帐户策略 密码策略 定义密码长度、复杂性、历史密码及留存周期等 密码策略只能设置在域级别，而且只能有一个 OU中的密码策略只应用到OU内部计算机 组策略安全设定-用户锁定策略 防止攻击者恶意猜测用户名和密码的保护措施 默认的管理员不会被锁定 本地安全权利指派 用户权利指派 基于服务行为的用户指派 安全选项 基于计算机安全选项方面的设置 受限制的安全组设置 保护受限制的组成员不被更改 保护安全组成员的隶属关系不被更改 千万注意的是，不要设置空成员的安全组。设置的结果将是该组所有成员将被删除，尤其不要对默认管理员组设置空成员，那样的结果是你的管理权限丢失。 文件系统权限 通过组策略设置，我们可以： 改变文件系统的安全权限 保护系统文件的安全 禁用掉某些特定文件的运行 可自定义的系统服务 可根据现有服务模版，进行系统服务定制： 如果不需要禁止，则不要禁止 自定义注册表权限 防止恶意软件修改注册表某个键值，我们需要对注册表权限设置。 实例-禁止对MOUNTPOINTS2进行访问及修改 审核策略 审核日志定义： 人过留名，雁过留声。你所做的操作会带来什么后果我不晓得？但是我知道  你做了！ 审核日志的规划： 确定计算机需要开启审核 确定那些机器开启审核 确定审核的对象需要审核的部分 定期检查安全日志 软件限制策略 软件限制策略可处理对未知或者非信任的软件的调节需求 默认软件设置的安全级别： Unrestricted 不受限制的 Disallowed 不允许的 软件限制策略原则 基于Hash 规则 利用文件的MD5或者SHA1的HASH来做比较，如果文件版本过多的时候，可采用这种方式做校验。 证书规则 利用程序上面的数字签名来做比较，这部分比较少 路径规则 根据路径来做程序比较，此种方式适合不变更文件名称的结果 Internet 区域规则 根据IE 所在的区域来决定是否限制程序的下载和安装（只可用于MSI文件） 规则的优先级-冲突机制 规则的优先级别 哈希规则-证书规则-路径规则-区域规则 实例： 利用HASH 和路径规则限制NOTEPAD 组策略的概念 组策略对象相关概念 组策略的种类 组策略编辑工具介绍 组策略的安全设定 利用组策略进行程序安装 组策略最佳实践 组策略修复 基于第三方工具的组策略模版设置 综合案例 利用组策略进行程序安装 软件的指派 将软件指派给计算机 计算机启动后安装后将自动安装在计算机里面 安装的位置 document and setting\all user 将软件指派给用户 在安装后不会安装软件本身 只安装软件相关的部分信息 什么时候自动安装呢？ 开始运行此软件 文件启动（关联后缀名开启则开始自动安装软件） 不要管理员权限安装软件 发布软件 无法将软件发布到计算机 只能将软件发布到用户 不会自动安装软件本身 在添加删除程序的添加程序中添加程序 利用文件启动功能（通过查询AD数据库） 软件自修复 一个发布或者指派的软件，在安装完成后，如果程序内有关键性的文件损坏、遗失或者被用户不小心删除，系统会自动探测到此现象，并进行自动修复 组策略删除软件 组策略有两个选项 1.立即从电脑里面卸载软件 客户下次重新登陆或者重启会自动删除 2.允许用户继续使用软件，但禁止新的安装 这个意味着，现有的用户可以继续使用软件 但是如果有新的用户登陆了，那么将无法继续使用软件 Acer Confidential Prepared by Mark