關於安全策略的幾點解析

科技小先鋒發表於2017-11-15
在windows系統管理中管理員要實現對客戶機的管理,策略恐怕是最主要的利器,下面我們就對我們平時常見的策略做下分析理清各個策略之間的關係及其在實際中的應用.
1.組策略:什麼是組策略呢?組策略是一個允許執行鍼對使用者或計算機進行配置的基礎架構,這是我們最常用的,在組策略中我們可以制定各種規章制度,其中計算機配置是針對所用登陸到計算機的使用者都生效和使用者配置則是針對系統的當前使用者,管理員在運用過程中主要是運用gpmc來實現對域模式下計算機的管理,在2003中gpmc這個工具要去微軟官網下載,2008則是系統整合的,組策略和Active Directory結合使用,可以部署在OU,站點和域的級別上,當然也可以部署在本地計算機上,但部署在本地計算機並不能使用組策略中的全部功能,只有和Active Directory配合,組策略才可以發揮出全部潛力。組策略部署在不同級別的優先順序是不同的,本地計算機<站點<<OU。我們可以根據管理任務,為組策略選擇合適的部署級別。 組策略物件儲存在兩個位置,連結GPOActive Directory容器和域控制器上的Sysvol資料夾。GPO是組策略物件的縮寫,GPO是組策略設定的集合,是 儲存在Active Directory中的一個虛擬物件。GPO由組策略容器(GPC) 和組策略模板(GPT)組成,GPC包含GPO的屬性資訊,儲存在域中每臺域控制器活動目錄中;GPT 包含GPO 的資料,儲存在Sysvol  /Policies 子目錄下。
         組策略管理可以通過組策略編輯器和組策略管理控制檯(GPMC),組策略編輯器是Windows作業系統中自帶的組策略管理工具,可以修改GPO中的設定。GPMC則是功能更強大的組策略編輯工具,GPMC可以建立,管理,部署GPO,最新的GPMC可以從微軟網站下載。我推薦大家運用gpmc進行管理,我們開啟結構化的管理皮膚,即體現出整個域的結構,又直觀的表現出組策略的層次感。在GPMC中 具體的策略寫好了,並不影響具體物件 (OU 站點 域)要連線到具體的OU上當前的GPO才會生效。連結起來很容易,只需要拖拽住一條GPO到某一個物件(OU、站點、域)上就可以了  。我們可以運用組策略來實現軟體的分發,桌面的統一,補丁的管理,及其登錄檔限定USB禁用等功能。
2.本地策略,域控制器策略,域策略:大家可能有時候分不清其中的關係,我給大家解釋下,本地策略是針對當前計算機的,在我們剛安裝還系統時,就自動生成,我們可以用administrator進入進行相應的設定。下面2個策略則是針對ad環境下的,其中域控制器策略是針對dc設定的,只對dc生效,而域策略則是針對當下域環境下所有的機器。成員計算機和域的設定項衝突時,域安全策略生效,域控制器和域的設定項衝突時,域控制器安全策略生效。
下面我就舉個例子說下本地安全策略的各個選項的意思
我們開啟計算機-程式-管理-本地安全策略
1.賬戶策略: 密碼策略;主要設定使用者登入密碼的複雜程度
              賬戶鎖定策略:帳戶鎖定閾值:就是設定使用者在輸入錯誤密碼的情況下,可以登入幾次
 帳戶鎖定時間:顧名思義就是我們賬戶鎖定的時間,要過多長時間這個賬戶才可以從新登入
復位帳戶鎖定計數器:記錄使用者登入輸入密碼錯誤的次數
如我們設定帳戶鎖定閾值為3帳戶鎖定時間30分鐘復位帳戶鎖定計數器2,意思是我們在輸入3次密碼錯誤的情況下,再輸入錯誤了賬戶鎖定30分鐘,我們只有兩次這樣連續輸入3次密碼錯誤的機會。
2.本地策略:稽核策略:主要是一些事件記錄
使用者權利指派:把使用者加入不同的組,使之有不同許可權,如我們把使用者張三加入administratior組,張三就有了管理員的許可權
c安全選項:是系統的一些關於安全的自定設定,如互動登入
3、公鑰策略 管理金鑰的分派運用
 
4、軟體限制策略   管理軟體的執行,我們在進行軟體分發時,就是運用軟體新建程式包來進行分發的
 
5、IP安全策略 限制ip
其實3者策略分關係是相關的,我們可以通過在具體運用中自己總結些相關的知識,總之 知識出於運用,大家明白其中的道理再在這基礎上做實驗,我相信大家會有不一樣的收穫,我不推薦大家跟著一些教程的東西一步步跟著去做,可能做完這個你會了,轉下問題你又不會做了,理解原理,綜合運用,這是我推薦大家學習網路的方法

本文轉自q狼的誘惑 51CTO部落格,原文連結:http://blog.51cto.com/liangrui/370759,如需轉載請自行聯絡原作者


相關文章