Day11(20220714)#WINSEC DAY02
1、账户安全加固
-
定期检查可疑账户,尤其是 administrators 管理员组的成员
-
administrator 管理员改名,设置复制密码
-
administrator 管理员禁用,新建普通用户加入 administrators 管理员组
-
启用不显示最后的用户名(本地安全策略)
-
DOS 命令查看用户(此方法看不到隐藏用户)
net user
-
注册表编辑器查看用户(能看到隐藏用户)
打开注册表编辑器: Win + R 运行 输入 regedit
然后展开 \HKEY_LOCAL_MACHINE\SAM\SAM 鼠标右击SAM 给 administrator 赋予完全控制权限
赋予权限后 F5 刷新一下注册表
赋予权限后展开的完整路径 \HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names
- sd
2、共享的安全加固
- 用 DOS 命令查看所有共享
net share
- 通过Dos 删除默认共享(临时生效)
net share "共享名" /del
net share "C$" /del
注:本方法停止默认共享会立即生效,但是重启系统后,默认共享自动恢复
-
通过修改注册表删除默认磁盘共享和 admin$ 共享(永久生效)
-
sd
3、Windows 服务加固
打开服务管理器 Win + R 运行 输入:services.msc
找到 server 服务>>>启动类型选择禁用
4、域
工作组是一种计算机的工作环境,计算机默认所属工作组 WORKGROUP
WORKGROUP 工作组环境的特点:
地位平等、管理分散、没有实现集中管理
用户本地创建、本地存储、本地登录且只能登录本地一台计算机
-
域:将来自于网络中的多台计算机以逻辑的方式组织到一起实现了集中管理的环境我们将这种环境称为域
-
域控制器(DC)
每个域至少有一台域控制器
-
活动目录(AD)
集中管理
便捷的网络资源访问
扩展性
-
域树:具有连续的域名的多个域
-
林:一个或多个域结构
-
林根域:第一个域树状目录的根域
-
sd
5、实现域环境
-
升级域控的条件
具有本地 administrator管理员权限
具有足够的磁盘空间
TCP/IP配置(IP地址、子网掩码)
需要有DNS服务器支持
操作系统版本必须为windows server 版
本地磁盘至少有一个NTFS文件系统的分区
-
安装 Active Directory 域服务(AD 活动目录)
服务器管理器 >>> 添加角色和功能 >>> 下一步 x 3 >>> 选择 Active Directory 域服务
然后一直下一步 直到安装
-
将此服务器升级为域控制器
服务器管理器的左侧点击 AD DS >>> 右上角点击更多 >>> 将此服务器提升为域控制器
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-8tvSiizR-1657851055437)(pictures/image-20220714194331150.png)]
-
Active Directory 域服务配置向导
添加新林 >>> 根域名输入 “ntd2206.com” (下一步)>>> 输入目录服务器还原模式的密码 >>> 一路下一步 >>> 安装
- sd
6、域用户管理
-
打开 Active Directory 用户和计算机 (活动目录 AD)
服务器管理器 >>>工具 >>>Active Directory 用户和计算机
Win +R 运行 输入 dsa.msc
-
创建域用户
ntd2206.com >> users >>> 右击 Users 或右击空白处 >>> 新建 >>> 用户
验证新建的用户在 win10 客户端主机使用
注:域用户账户有显示名和登录名
显示名当前容器唯一,登录名域中唯一
-
配置域用户属性
配置登录时间:右击域用户名>>> 属性 >>> 账户 >>> 登录时间
配置登录到指定计算机:右击域用户名>>>属性>>>账户>>>登录到
7、组织单位(ou)
-
创建 OU
ntd2206.com >> 右击 ntd2206.com 或右击空白处 >>> 新建 >>> 组织单位
-
容器:有效组织活动目录中的对象
-
OU 的设计方式
- 基于部门的 OU
- 基于地理位置的 OU
- 基于对象的 ou
- 基于混合的 OU
验证:创建 OU 时默认有个防止容器被意外删除的选项
在删除 OU 时,因为创建ou的时候勾选了防止容器被意外删除的选项,所以要修改权限才能删除
如何修改删除ou的权限呢?
查看 >>> 高级功能
右击将要删除的 OU >>> 属性 >>> 对象 >>> 取消防止意外删除的勾选
右击将要删除的 OU >>> 删除
- sd
8、域环境下组策略的配置
-
组策略(一组策略的集合)
可以统一修改系统、设置程序、调整桌面环境、安全设置、自动执行脚本、软件分发
-
打开域环境下的组策略管理
服务器管理器 >>> 工具 >>> 组策略管理
-
组策略的设置对象(GPO)
默认域策略(Default Domain Policy) //这主要针对的是对域成员的默认策略
默认域控制器策略(Default Domain Controllers Policy) //这主要是针对域控制器的默认策略
验证:禁止域用户更改桌面背景
右击 Default Domain Policy >>> 编辑
用户配置 >>> 策略 >>> 管理模板 >>> 控制面板 >>> 个性化设置 >>> 双击阻止更改桌面背景 >>> 启用
- sd
9、域环境组策略的应用规则
-
策略的继承
继承:默认下级容器会继承上级容器的组策略
-
阻止策略继承
下级容器可以阻止继承上级容器的组策略
服务器管理器 >>> 工具 >>> 组策略管理
右击 “cw” >>> 阻止继承
-
强制策略继承
注:上级配置强制继承后,下级再阻止继承则也是无效
上级容器可以强制下级容器应用上级容器的组策略
服务器管理器 >>> 工具 >>> 组策略管理
右击 “Default Domain Policy” >>> 强制