您需要正确设置的 6 个组策略设置

组策略是一种配置管理技术，是 Windows Server Active Directory 的一部分。它可用于配置 Windows 客户端和服务器操作系统中的设置，以确保跨设备拥有一致且安全的设置。在配置组策略对象 (GPO) 时，实际上有数百种设置可供使用，但在这篇博文中，我将向您展示六种关键的组策略安全设置，您需要正确使用这些设置来确保环境中的基本安全。

如果要将组策略配置为 Microsoft 推荐的设置，请下载安全合规性工具包。它包含所有受支持的 Windows 版本的安全基线（您可以将其用作您自己的组策略对象的基础）以及列出并解释所有建议设置的电子表格。如果您的设备不是域成员，请使用本地策略来配置设置。该工具包包含一个特定的应用程序，可以更轻松地管理独立设备上的本地策略设置。

应用程序控制（AppLocker）

未能阻止未经授权的软件进入您的计算机是恶意软件控制系统的关键方式之一。虽然删除最终用户的本地管理员权限以防止系统范围的更改很重要，但仅此限制不足以防止用户（或在登录用户帐户上下文中运行的进程）运行可能造成严重损害的代码。

为了解决这个问题，Microsoft Windows 7 引入了 AppLocker，它使系统管理员能够快速将应用程序控制策略应用到系统。 AppLocker 的工作原理是建立可以运行的进程、脚本和安装程序的白名单。您可以在“计算机配置”>“Windows 设置”>“安全设置”>“应用程序控制策略”>“AppLocker”下的组策略中找到 AppLocker 设置。

图 1. 在组策略中哪里可以找到 AppLocker 设置

要为 AppLocker 下列出的每个类别创建规则，请右键单击该类别（例如，可执行规则），然后选择菜单上半部分的三个选项之一。选择自动生成规则...扫描参考系统并根据安装在受信任位置的可执行文件创建规则。如果您决定手动创建规则，请确保创建默认规则；否则，您可能会禁用 Windows 中的关键功能，从而导致系统无法使用。

设置一些规则后，右键单击 AppLocker ，然后从菜单中选择属性。在强制选项卡上，单击要启用的规则类别，然后从菜单中选择仅审核。让您的规则在审核模式下运行一段时间，并检查 Windows 事件日志是否存在任何问题。如果您确定规则不会阻止任何重要的应用或 Windows 功能，请将设置更改为强制执行规则。

AppLocker 执行策略之前，应用程序身份服务必须在设备上运行。在 Windows 10 中，还可以通过本地组策略编辑器配置 AppLocker。然而，在 Windows 10 中，微软引入了 Windows Defender 应用程序控制（以前称为 Device Guard），这是一种更强大的应用程序控制技术，本地管理员很难规避。

Windows更新

Windows 更新是 Windows 的重要组件，可确保操作系统和其他软件保持最新状态。如果您的组织使用 Windows 10，请考虑使用 Windows Update for Business (WUfB) 来保持设备修补。与 Windows Server Update Services (WSUS) 不同，WUfB 不需要任何本地基础设施，但可以让您对 Windows 10 功能和质量更新的应用方式进行一定程度的控制。您可以找到 Windows 更新和 Windows 更新

计算机配置 > 管理模板 > Windows 组件 > Windows 更新下的业务组策略设置。

如果您使用的是早期版本的 Windows，请使用组策略将设备指向内部 WSUS 或 System Center Configuration Manager 软件更新点 (SUP)，并使用配置自动更新和指定 Intranet Microsoft更新服务位置设置。还有许多其他设置，例如不将驱动程序包含在 Windows 更新中和指定自动重启的活动时间范围，可能会有用。

禁用 SMBv1 客户端和服务器

SMBv1 的某些组件缺乏适当的安全性。如果您还记得 2017 年，SMBv1 中的缺陷是 NotPetya 病毒能够如此快速传播的方式之一。尽管微软已经发布了SMBv1的补丁，但许多组织还没有应用它们。

Windows 10 的更高版本已默认删除不安全的 SMBv1 组件。但如果您使用的是 Windows 7、Windows 8 或 Windows 10 的早期版本，则需要确保从系统中删除 SMBv1 组件，或使用组策略在所有不需要的服务器和客户端上禁用它。它。

要禁用 SMBv1 服务器，请在以下密钥路径下创建一个名为 SMB1 的 REG_DWORD 值，并将其值设置为 0：

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters

要禁用 SMBv1 客户端，请创建两个注册表值。第一个是名为 Start 的 REG_DWORD 值，应在以下键路径下将其设置为 4：

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesmrxsmb10

第二个是名为 DependOnService 的 REG_MULTI_SZ 值，应在以下路径下将其设置为“Bowser”、“MRxSmb20？”、“NSI”：

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanWorkstation

要在组策略中配置新的注册表项，请转至计算机配置 > 首选项 > Windows 设置，然后右键单击注册表。从菜单中选择新建> 注册表项，然后添加所需的密钥路径和值。确保“操作”字段设置为更新。

禁用访客帐户和本地管理员帐户

默认情况下，Windows 10 中内置的来宾和本地管理员帐户处于禁用状态。但如果您想确保保持这种状态，请将组策略中的帐户设置为始终禁用。这对于确保关键服务器（例如域控制器）的强大访问控制尤其重要。您可以在计算机配置 > Windows 设置 > 安全设置 > 本地策略 > 安全选项下找到这些设置。将帐户：来宾帐户状态和帐户：管理员帐户状态设置为禁用。

拒绝对可移动磁盘执行访问

您可以允许用户对可移动媒体进行读写，但阻止他们运行任何可执行文件。如果您设置了 AppLocker，则此设置可能没有实际意义，但许多组织不使用应用程序控制。无论如何，阻止可移动介质上的可执行文件可以帮助保护系统免受恶意代码的侵害。

您将在计算机配置 > 管理模板 > 系统 > 可移动存储访问下找到可移动磁盘：拒绝执行访问设置。

防止更改代理设置

无论您的组织是否使用代理服务器，防止用户更改代理设置都是明智之举。在最坏的情况下，恶意代理设置可能会通过未经授权的中间人转移您网络中的所有互联网流量；充其量，它们可以阻止用户访问互联网资源。要阻止用户更改 Internet Explorer 和 Microsoft Edge 的代理设置，请将“用户配置”>“管理模板”>“Windows 组件”>“Internet Explorer”下的阻止更改代理设置设置为启用。

结论

这些是您需要确保正确配置的六个组策略设置。请记住，在生产环境中应用组策略设置之前，请对其进行测试以确保它们不会产生任何不利影响。有关 Microsoft 建议设置的完整列表，请下载安全合规性工具包中的基准模板。