AD域组策略安全管理

信息安全-终端安全（AD域组策略安全管理）

终端安全体系五要素：

身份认证：AD认证、身份标识、角色定义、外部纷争系统等。
准入控制：软件防火墙、802.1X交换机、网关准入控制、ARP、DHCP等。
安全认证：防病毒软件、补丁管理、非法外联管理、存储介质管理、上网行为管理等。
业务授权：业务系统权限控制、业务文档权限控制。
业务审计：业务系统类审计、业务文档类审计。

终端安全概念：

是指每个单独设备必须维护本地安全，即所谓的“末端设备应对自己的安全负责”。 公司网络内的所有终端，包括服务器、客户端、WiFi设备，VPN用户电脑，都对组织构成风险。
通过准入控制来识别终端用户身份，以决定是否允许其接入；桌面管理是通过制定相应安全策略来保障终端桌面的安全；安全管理是通过制定适合企业业务运营要求的安全管理，来确保所制定的安全策略有法可依。

常见措施：

AD域组策略

组策略是一个允许执行针对用户或计算机进行配置的基础架构；
其实通俗地说，组策略和注册表类似，是一项可以修改用户或计算机设置的技术；那组策略和注册表的区别在哪儿呢？
注册表只能针对一个用户或一台计算机进行设置；
组策略却可以针对多个用户和多台计算机进行设置；

组策略长什么样子？

在哪里？域控制器上；

组策略的使用

1、组策略作用在哪里？

组策略和Active Directory结合使用，可以部署在OU，站点和域的级别上，当然也可以部署在本地计算机上，但部署在本地计算机并不能使用组策略中的全部功能，只有和Active Directory配合，组策略才可以发挥出全部潜力。组策略部署在不同级别的优先级是不同的，本地计算机<站点<域<OU。我们可以根据管理任务，为组策略选择合适的部署级别。

2、什么是组策略对象？

组策略是通过“组策略对象（GPO）”来设定的，只要将GPO连接到指定的站点、域或OU，该GPO内的设定值就会影响到该站点，域或OU内的所有用户与计算机。

Sysvol（DC之间的复制）
SYSVOL文件夹是一个共享文件夹（DC上的C:\Windows\SYSVOL\sysvol），主要用来存储和域相关的数据，包括组策略设置、脚本等。如果域内部署多台域控制器，所有域控制器之间通过FRS或DFS-R服务相互复制，最终所有域控制器之间完成同步。如下图所示：

3、组策略管理：

组策略管理可以通过组策略编辑器和组策略管理控制台（GPMC），组策略编辑器是Windows操作系统中自带的组策略管理工具，可以修改GPO中的设置。GPMC则是功能更强大的组策略编辑工具，GPMC可以创建、管理、部署GPO，最新的GPMC可以从微软网站下载。

4、组策略的应用

（1）账户策略的设定 例如设定用户密码的长度、复杂度、使用的期限、账号锁定策略等。

（2）用户脚本 强制执行登录、注销脚本
以下是SSO单点登录脚本

（3）部署软件 思路是把部署的软件存储在文件服务器的共享文件夹中 然后通过组策略告知用户或计算机，某某服务器的某文件夹有要安装的软件，赶紧去下载安装。 设置好组策略，就可以等待客户机自动进行软件安装了，完全不用在客户机上一一进行部署了

操作演练：

1、如何查看策略配置？

2、如何查看本地终端电脑的组策略？

开始–运行–mmc–“添加或删除管理单元”–选择”组策略对象编辑器“

完成

3、查看策略的应用结果

C:>gpresult /r

实际到SHDC1上去看看，计算机设置和用户设置，已应用的组策略对象

4、域控推下来的组策略，配置是灰色的，本地组策略无法更改

5、域控上配置完组策略希望马上生效，如何操作？

gpupdate /force
同样，在客户端电脑上使用此命令的效果，是重新从域控上获取最新的组策略。

6、拒绝用户访问开始–运行

在要设定的OU上点击右键→属性→组策略→编辑策略→用户配置→管理摸板→任务栏和开始菜单→”从开始菜单中删除运行菜单“。用gpupdate /force 命令刷新。
可以在本地组策略上做实验，测试一下效果。

最后，大家研究一下，组策略可以做哪些安全管理