信息安全-终端安全(AD域组策略安全管理)
终端安全体系五要素:
身份认证:AD认证、身份标识、角色定义、外部纷争系统等。
准入控制:软件防火墙、802.1X交换机、网关准入控制、ARP、DHCP等。
安全认证:防病毒软件、补丁管理、非法外联管理、存储介质管理、上网行为管理等。
业务授权:业务系统权限控制、业务文档权限控制。
业务审计:业务系统类审计、业务文档类审计。
终端安全概念:
是指每个单独设备必须维护本地安全,即所谓的“末端设备应对自己的安全负责”。 公司网络内的所有终端,包括服务器、客户端、WiFi设备,VPN用户电脑,都对组织构成风险。
通过准入控制来识别终端用户身份,以决定是否允许其接入;桌面管理是通过制定相应安全策略来保障终端桌面的安全;安全管理是通过制定适合企业业务运营要求的安全管理,来确保所制定的安全策略有法可依。
常见措施:
AD域组策略
组策略是一个允许执行针对用户或计算机进行配置的基础架构;
其实通俗地说,组策略和注册表类似,是一项可以修改用户或计算机设置的技术;那组策略和注册表的区别在哪儿呢?
注册表只能针对一个用户或一台计算机进行设置;
组策略却可以针对多个用户和多台计算机进行设置;
组策略长什么样子?
在哪里?域控制器上;
组策略的使用
1、组策略作用在哪里?
组策略和Active Directory结合使用,可以部署在OU,站点和域的级别上,当然也可以部署在本地计算机上,但部署在本地计算机并不能使用组策略中的全部功能,只有和Active Directory配合,组策略才可以发挥出全部潜力。组策略部署在不同级别的优先级是不同的,本地计算机<站点<域<OU。我们可以根据管理任务,为组策略选择合适的部署级别。
2、什么是组策略对象?
组策略是通过“组策略对象(GPO)”来设定的,只要将GPO连接到指定的站点、域或OU,该GPO内的设定值就会影响到该站点,域或OU内的所有用户与计算机。
Sysvol(DC之间的复制)
SYSVOL文件夹是一个共享文件夹(DC上的C:\Windows\SYSVOL\sysvol),主要用来存储和域相关的数据,包括组策略设置、脚本等。如果域内部署多台域控制器,所有域控制器之间通过FRS或DFS-R服务相互复制,最终所有域控制器之间完成同步。如下图所示:
3、组策略管理:
组策略管理可以通过组策略编辑器和组策略管理控制台(GPMC),组策略编辑器是Windows操作系统中自带的组策略管理工具,可以修改GPO中的设置。GPMC则是功能更强大的组策略编辑工具,GPMC可以创建、管理、部署GPO,最新的GPMC可以从微软网站下载。
4、组策略的应用
(1)账户策略的设定 例如设定用户密码的长度、复杂度、使用的期限、账号锁定策略等。
(2)用户脚本 强制执行登录、注销脚本
以下是SSO单点登录脚本
(3)部署软件 思路是把部署的软件存储在文件服务器的共享文件夹中 然后通过组策略告知用户或计算机,某某服务器的某文件夹有要安装的软件,赶紧去下载安装。 设置好组策略,就可以等待客户机自动进行软件安装了,完全不用在客户机上一一进行部署了
操作演练:
1、如何查看策略配置?
2、如何查看本地终端电脑的组策略?
开始–运行–mmc–“添加或删除管理单元”–选择”组策略对象编辑器“
完成
3、查看策略的应用结果
C:>gpresult /r
实际到SHDC1上去看看,计算机设置和用户设置,已应用的组策略对象
4、域控推下来的组策略,配置是灰色的,本地组策略无法更改
5、域控上配置完组策略希望马上生效,如何操作?
gpupdate /force
同样,在客户端电脑上使用此命令的效果,是重新从域控上获取最新的组策略。
6、拒绝用户访问开始–运行
在要设定的OU上点击右键→属性→组策略→编辑策略→用户配置→管理摸板→任务栏和开始菜单→”从开始菜单中删除运行菜单“。用gpupdate /force 命令刷新。
可以在本地组策略上做实验,测试一下效果。
最后,大家研究一下,组策略可以做哪些安全管理
