什么是组策略编辑器？您如何访问和使用它？

什么是组策略编辑器

组策略编辑器是一种 Windows 工具，它提供了集中管理和配置同一域内各种网络和计算机设置的集中方式。

组策略对于网络管理员最有用，以便他们可以配置密码要求、启动程序并定义用户可以更改哪些应用程序或设置。

这些组策略设置的集合称为组策略对象 (GPO)。 Microsoft 提供了一个程序管理单元，该管理单元提供组策略管理控制台 (GPMC) 以及在组策略对象中在此结果中选择的选项。 GPO 与选定的 Active Directory 容器相关，包括站点、域或组织单位 (OU)。

您可以使用组策略编辑器做什么

组策略控制可用的网络协议版本并实施密码规则。通过设置和维护严格的组策略，可以显着提高企业 IT 安全性。以下是一些良好 IT 安全组策略的示例：

• 限制用户可以在其托管公司设备上安装或访问哪些应用程序
• 禁用 USB 驱动器等可移动设备
• 禁用不安全的网络协议（例如 TLS 1.0）以强制使用更安全的协议
• 限制用户可以使用控制面板更改哪些设置。例如，允许他们更改屏幕分辨率，但不允许编辑 VPN 设置。
• 阻止用户访问 gpedit，以便他们无法更改上述任何设置。

如何访问组策略编辑器

有多种方法可以打开组策略编辑器，但可能是在运行中打开本地组策略编辑器的最简单方法：

• 单击工具栏中的搜索并输入运行
• 在运行命令中输入“gpedit.msc”，然后单击确定

组策略编辑器的组件

组策略编辑器窗口左侧为列表视图，右侧为上下文视图。当您单击左侧的项目时，它会更改右侧的显示，以向您显示有关左侧所选内容的详细信息。

左侧的顶级节点是计算机配置和用户配置。如果打开计算机配置树，您可以浏览可用于管理不同系统行为功能的选项。

例如，在“计算机配置”、“管理模板”、“控制面板”、“个性化”下，您将在右侧看到类似不显示锁定屏幕的内容：

您可以通过双击来编辑这些设置：

组策略编辑器中提供了数百种不同的设置。请参阅 Microsoft 文档以获取所有可用设置的完整列表。

本地组策略编辑器组件>

组策略编辑器由两个主要组件组成，即计算机配置和用户配置：

计算机配置：这些策略适用于本地计算机，并且不会针对每个用户进行更改。

用户配置：这些策略适用于本地计算机上的用户，并将适用于将来在此本地计算机上的任何新用户。

这些组件包括管理员可以自定义以满足其特定需求的子类别。例如，在计算机配置中，管理员可以控制网络设置、Windows 组件和系统服务。用户配置组件允许管理员管理特定于用户的选项，例如桌面配置和应用程序限制。

使用本地组策略编辑器控制台配置安全策略

一旦您了解要设置哪些 GPO，使用组策略编辑器进行更改就是一个简单的过程。

例如，要更改密码设置：

• 在gpedit中，点击Windows设置、帐户设置、密码策略



• 选择密码必须满足复杂性要求选项
• 单击启用，然后单击应用，您的更改将发生在此本地计算机上。在企业级别对 GPO 应用更改超出了本文的范围。

如何使用 PowerShell 管理组策略

许多系统管理员正在转向使用 PowerShell 而不是用户界面来管理组策略。以下是 PowerShell GroupPolicy cmdlet 的一些示例：

New-GPO：此 cmdlet 创建一个新的未分配的 GPO。您可以在新 GPO 中包含名称、所有者、域和更多参数

Get-GPOReport：此 cmdlet 以 XML 或 HTML 文件形式返回域中存在的所有或指定的 GPO

Get-GPResultantSetOfPolicy：此 cmdlet 返回用户或计算机或两者的整个策略结果集 (RsoP)，并使用结果创建 XML 文件。

这是研究 GPO 问题的有用方法。设置为特定值的策略可能会被另一个 GPO 覆盖，找到这一点的唯一方法是了解应用于用户或计算机的实际值。

Invoke-GPUpdate：此 cmdlet 允许您刷新计算机上的 GPO

组策略编辑器的局限性

gpedit 应用程序对于一个旨在帮助保护整个企业安全的工具来说是非常基本的。 GPO 更新会在整个网络中的计算机上或在重新启动时以不同的时间间隔进行。因此，您的更改与网络上的所有计算机收到此更改之间的时间是未知的。

监视 Active Directory 中对组策略所做的任何更改至关重要，因为这些更改通常是网络攻击的第一个迹象，黑客希望在您的网络中停留一段时间并保持隐藏状态。

攻击者可以使用相同的 gpedit 工具或 PowerShell 更改本地组策略，这可以撤消您在该系统上启用的任何保护。值得注意的是，gpedit 没有内置任何本机审核，因此您需要独立审核所有 GPO 更改，以确保您的企业保持安全。解决这个问题的方法之一是使用 Lepide 数据安全平台。

Lepide 如何提供帮助

鉴于与组策略更改相关的风险，组织必须采用结构化且主动的组策略审核方法。 Lepide 组策略审核器可以轻松地立即查看谁、什么、在何处以及何时进行了更改，甚至允许您将整个组策略对象回滚到之前的状态。 Lepide 解决方案附带 40 多个预定义的组策略审核报告和实时警报，使原本非常手动的过程变得轻松。

以下是来自 Lepide Auditor for Group Policy 的报告示例，显示了所有组策略对象修改：

要运行此报告：

• 从“状态和行为”窗口中，选择组策略报告、已修改的组策略对象
• 选择一个时间段
• 点击生成报告
• 该报告将运行并显示所有修改的组策略对象。可以分组、过滤、保存和导出

还可以创建警报，以便在组策略对象被修改时立即通知您，并在需要时立即采取补救措施。