组策略：GPO 是什么以及如何工作 - Microsoft 平台管理 - 博客 - Quest Community

组策略是任何 Microsoft Active Directory (AD) 环境的关键元素。但它到底是什么以及它是如何工作的呢？攻击者如何破坏它，你如何保护自己？以下是您需要了解的所有重要事项。

组策略概述

组策略是 Microsoft Active Directory 中内置的一项不可或缺的功能。其核心目的是使IT管理员能够跨AD域集中管理用户和计算机。这包括业务用户和特权用户（例如 IT 管理员）以及工作站、服务器、域控制器 (DC) 和其他计算机。

以下是您可以用它做的许多有用的事情的几个示例：

• 建立并实施密码策略，例如密码长度和复杂性要求，以帮助阻止密码猜测攻击。
• 防止使用可移动媒体驱动器，它们是恶意软件感染和数据盗窃的载体。
• 限制对命令提示符的访问，以便用户无法运行未经授权的代码，这些代码可能会损害其计算机的完整性或稳定性或感染您的网络。
• 将操作系统和其他软件部署到所有 Windows Server 计算机和其他计算机，以确保跨域的标准环境。
• 阻止用户在其系统上安装新软件，以避免安全、生产力和许可问题。
• 将常用或推荐的网站添加到用户的浏览器中，提高工作效率并帮助确保他们使用准确的信息。
• 禁用 NTLM 身份验证，该身份验证比更现代的 Kerberos 身份验证更弱。
• 防止 Windows 存储 LM 密码哈希值，该哈希值相当容易被破解。
• 阻止用户创建 PST 文件，这可能是备份、合规性和电子取证的噩梦。
• 在计算机启动或关闭或用户登录或注销时运行某些脚本，例如在计算机关闭之前执行清理或在用户登录时启动基本业务应用程序的脚本。

正如您所看到的，组策略非常强大并且可以带来巨大的价值。特别是，它使组织能够增强安全性、提高 IT 效率和业务生产力，并减少停机时间和成本。然而，正如我们稍后将看到的，如果管理不当，它也可能是一个巨大的漏洞。

深入细节：GPO

现在让我们探讨一下组策略的实际工作原理。它由一组称为组策略对象 (GPO) 的策略组成。上面列出的示例只是您可以设置以支持 IT 最佳实践的一些最常见的 GPO。 Microsoft 提供了数千种可供您使用的策略和设置，其详细信息在其参考电子表格中。

创建AD域时会自动创建两个GPO：

• 默认域策略冰 - 在三个关键领域为域中的所有用户和计算机建立基线设置：密码策略、帐户锁定策略和 Kerberos 策略。
• 默认域控制器策略 - 为域中的所有域控制器建立基线安全和审核设置。

要生效，GPO 需要应用（链接）到一个或多个 Active Directory 容器，例如网站、域或组织单位 (OU)。例如，您可以使用组策略要求芝加哥域中的所有用户使用更复杂的密码，或者禁止在芝加哥域的 Finance OU 中的所有计算机上使用可移动媒体。

尽管大多数组织仅使用 Microsoft 提供的策略的一小部分，但他们很容易最终会在多年来实施数百或数千个 GPO，以精细地控制其 IT 环境的各个方面。

GPO 处理（TL；DR：事情很快就会变得复杂）

GPO 在链接到 Active Directory 容器（例如站点、域或 OU）之前没有任何作用。将 GPO 链接到容器使您能够将设置应用于 IT 环境的广泛或狭窄部分。

然而，这并不是简单的一对一配对。任何给定的 GPO 都可以链接到多个容器，反之，任何给定的容器都可以链接到多个 GPO。另外，容器继承 GPO — 例如，链接到 OU 的 GPO 适用于其子 OU 中的所有用户和计算机。同样，应用于 OU 的 GPO 不仅适用于该 OU 中的所有用户和计算机，而且通过继承也适用于子 OU 中的所有用户和计算机。此外，您甚至可以将站点、域或 OU 链接到另一个受信任域中的 GPO。 （不推荐这样做，但这是可能的！）

如果这还不够令人困惑的话，不同 GPO 的设置可能会重叠甚至冲突。默认情况下，GPO 按以下顺序处理，后面的 GPO 会覆盖前面的设置：

1. 本地（个人计算机）
2. 地点
3. 领域
4. 组织单位

不过，您可以通过执行以下任一操作介入并管理 GPO 应用于特定域、网站或 OU 的方式：

• 更改链接顺序 - 链接顺序最低的 GPO 最后处理，因此具有最高优先级，如果存在冲突，则会覆盖较早 GPO 中的设置。
• 阻止继承 - 默认情况下，子 OU 继承父级的所有 GPO，但您可以阻止此继承。
• 强制执行 GPO 链接 - 默认情况下，父 OU 的设置会被链接到子 OU 的 GPO 中的任何冲突设置覆盖，但您可以通过将 GPO 链接设置为“强制”来覆盖此行为。
• 禁用 GPO 链接 - 默认情况下，会对所有 GPO 链接启用处理。但是，您可以通过禁用特定容器的 GPO 链接来阻止该容器应用 GPO。

由于如此复杂，要了解哪些策略实际应用于特定用户或计算机（称为策略结果集 (RSoP)）可能极其困难。 Microsoft 提供了一个名为 GPResult 的命令行工具，它将生成 RSoP 报告。 （请注意，较旧的 rsop.msc 工具已弃用。）

组策略管理和委派

对于组策略管理，Microsoft 提供了组策略管理控制台 (GPMC)。使用这个免费的组策略编辑器，IT 管理员可以创建、复制、导入、备份和恢复以及报告 GPO。 Microsoft 还提供了一整套 GPMC 接口，可用于以编程方式访问控制台支持的许多操作。

默认情况下，域管理员组的任何成员都可以创建和控制 GPO。此外，还有一个名为“组策略创建者所有者”的全球组；其成员可以创建 GPO，但他们只能修改自己创建的策略，除非他们被特别授予编辑其他 GPO 的权限。

此外，您还可以将各种任务的权限（例如创建、编辑和链接特定 GPO）委派给其他 IT 管理员。授权是一个很有价值的工具；例如，授权负责管理 Microsoft Office 应用程序的团队编辑用于管理桌面上 Office 设置的 GPO 可能是非常有意义的。

然而，授权往往很快就会失控。在您意识到之前，您已经拥有数十名具有各种 GPO 管理权限的人员。另外，这些权限通常是在域级别委派的，因此该人不仅可以使用一两个 GPO，还可以使用该域的所有 GPO，甚至是那些适用于您的域控制器（域的心脏和大脑）或整个域（一切）。

力量大，风险大

组策略的价值来自于它的力量。您可以一次性在域或 OU 中实施策略，从而显着增强安全性或提高业务生产力。

但这种权力也可能被有意或无意地滥用。事实上，对 GPO 的一次不当更改都可能导致停机或安全漏洞。还记得我之前举的所有关于使用 GPO 可以做的伟大事情的示例吗？很容易扭转它们，看看它们如何被攻击者利用。例如，黑客或恶意管理员可以将 GPO 修改为：

• 允许无限次尝试猜测帐户密码。
• 允许使用可移动媒体驱动器以轻松窃取数据。
• 将恶意软件部署到域中的所有计算机。
• 将用户浏览器中列出的站点替换为恶意 URL。
• 在计算机启动或关闭时运行恶意脚本。

此外，黑客甚至不需要太多的技能就可以破坏您的 GPO。他们所需要做的就是接管一个对所需 GPO 具有必要权限的帐户，并且有一个名为 BloodHound 的开源工具可以向他们提供这些帐户的列表。经过几次鱼叉式网络钓鱼攻击，黑客就控制了 GPO。 （我之前提到的两个 GPO，即默认域策略和默认域控制器策略，是很受欢迎的目标，因为它们是为每个域自动创建的，并且控制着重要的设置。）

为什么原生工具存在不足

不幸的是，本机工具并不能让组策略的安全和受控变得容易。一方面，对 GPO 所做的更改会在窗口关闭后立即生效，甚至没有一个“应用”按钮可以让管理员有机会在组织遭受毁灭性影响之前暂停并发现错误。

此外，由于围绕 GPO 设计安全权限的方式，任何域管理员都可以修改任何 GPO 安全设置 - 甚至是应该阻止该人执行某些任务的设置。例如，管理员可以禁用 GPO，阻止他们登录到托管敏感数据的特定服务器，并将部分或全部有价值的内容复制到自己的计算机上。

更糟糕的是，GPO 设置更改不会在本机安全日志中跟踪，更不用说发出警报，因此即使您使用安全信息和事件管理 (SIEM) 解决方案，也无法监视此类违规行为。

捍卫组策略的关键

要最大限度地降低 GPO 处理不当的风险，同时最大限度地提高及时发现恶意行为的能力，最好的方法是构建一个分层安全框架来补充本机工具。具体来说，为了保护您的组策略，您需要经过验证的解决方案，使您能够：

• 准确了解谁对哪些 GPO 有哪些访问权限
• 实施基于批准的工作流程并适当划分职责以控制 GPO 的更改
• 跟踪、监控 GPO 的更改并发出警报
• 防止更改最重要的 GPO 设置
• 快速恢复对 GPO 的不需要的更改

除了这些基本层之外，还可以考虑完全消除本机委派并在基于代理的管理工具中注册您的 GPO。您将不再有数十名管理员能够故意或意外地对您的 GPO 进行不当更改，并且任何设法窃取管理员凭据的黑客仍然无法更改您的组策略。