组策略管理 - 管理 GPO 的 4 个步骤 - Microsoft 平台管理 - 博客 - Quest Community

组策略到底有多重要？

那么，如果您的锁定策略发生变化并且允许黑客无限制地尝试猜测用户的密码，可能会发生什么？如果所有用户计算机上的预定义书签都被重定向到恶意站点怎么办？如果恶意软件被推送到您的所有域控制器上怎么办？

只需组策略中的一个错误设置，这些噩梦就会成为现实。确实，毫不夸张地说，对一种设置的不当更改（有意或无意）很容易导致数据泄露，以及随之而来的费用、糟糕的公关、合规罚款以及对组织声誉的持久损害。

尽管有效的组策略管理对于强大的 Active Directory 安全性至关重要，但许多组织却严重忽视了这一点。如果您的公司也是如此，请查看这个四步计划来控制事情。

快速回顾组策略的威力

组策略可以对任何 Microsoft Active Directory 环境中的用户和计算机进行集中管理。每组相关设置称为组策略对象 (GPO)。以下只是您可以用它们做的数千种有用的事情的几个示例：

• 防止用户选择过于简单的密码。
• 输入错误密码达到一定次数后锁定帐户。
• 阻止远程计算机上的身份不明的用户连接到网络共享。
• 为所有业务用户提供一组标准书签，以便他们可以轻松联系您的帮助台或访问其他重要资源。
• 限制对某些文件夹的访问。
• 在所有域控制器 (DC) 上安装相同的软件。
• 禁用用户计算机上的命令提示符。
• 确保及时应用 Windows 更新。

不需要太多的想象力就可以看出组策略对象如何被滥用来规避安全控制并获取对敏感数据的访问权限。您需要做的就是考虑每项策略的反面，正如我在本博客文章顶部的示例中所做的那样。考虑到 GPO 在几分钟（甚至几秒钟）内传播变化的方式，扭转损害就像打破茶杯一样。

显然，严格控制组策略管理和 GPO 至关重要。以下是所涉及的四个步骤。

步骤 1：检查所有 GPO 设置。

第一步是清楚地了解您当前的位置。不过，评估 GPO 可能是一项挑战；一些中型和大型组织在广泛分布的环境中部署了数百个甚至数千个。尽管如此，了解每个 GPO 的意图和效果仍然至关重要 - 它允许或不允许在您的 IT 生态系统中发生什么？ GPO 设置可以控制密码策略、启动和关闭脚本、安装软件、文件和注册表权限等等。

作为最佳实践，GPO 应该是目标驱动的。它们应严格分为“计算机设置 GPO”和“用户设置 GPO”。应注意避免 GPO 仅将用户设置应用于某些计算机上的用户。通过建立清晰且结构良好的组策略，您可以减少攻击面和出错的可能性。

步骤 2：检查 GPO 权限的委派。

接下来，您需要了解谁有能力在您的环境中创建、修改和删除 GPO。对于初学者来说，这包括所有域管理员和企业管理员。但大多数组织也会将 GPO 权限委托给许多其他管理员。例如，让您的服务器团队管理某些 GPO，让您的桌面团队控制其他 GPO 是有意义的。

然而，授权会带来风险。任何管理员都可能有意或无意地对他们有权修改的 GPO 进行不当更改。攻击者如果破坏了其中一位管理员的帐户，就可以创建后门、运行恶意代码或将域帐户添加到 RDP 组 - 仅举几个选项。

为了控制哪些帐户可以修改您的组策略，您需要定期验证 GPO 权限委派。

此外，限制对两个内置 GPO（默认域策略和默认域控制器策略）的权限也很重要。它们经常成为攻击者的目标，因为默认情况下，它们在每个 AD 域中都使用完全相同的 GUID，并且它们影响一切 — 用户权限、本地安全设置、密码策略、帐户锁定策略、网络访问和安全等等。由于这些 GPO 中分配了许多权限，因此攻击者无需尝试链接恶意 GPO；他们可以只使用这两个现有 GPO 之一。这就是为什么最佳实践是在这些默认 GPO 之上分层更严格的 GPO，以便您可以限制服务器操作员、备份操作员和打印操作员等管理员的升级路径。

步骤 3：检查 GPO 链接。

GPO 在链接到 Active Directory 容器（例如站点、域或组织单位 (OU)）之前没有任何作用。准确确定 GPO 的位置对于了解政策的影响至关重要。例如，如果黑客泄露了链接到 DC 的 GPO 的 GPO 创建者的帐户，则该攻击者现在拥有该 DC，并且可以创建和修改 GPO 以允许安装恶意软件。

通过定期检查 GPO 链接，您可以减少攻击面。最佳实践建议链接尽可能接近预期目标。这种方法降低了组策略管理的复杂性，限制了意外或恶意更改的影响，并且通过消除每个客户端过滤一堆 GPO 来确定应用哪些 GPO 的需要来减少延迟。

步骤 4：实施基于批准的变更控制。

本机 GPO 更改在窗口关闭后立即生效 - 甚至没有“应用”按钮。这是一种安全风险，也使组织容易受到简单的管理错误的影响，从而产生毁灭性的影响。因此，实施基于批准的变更控制流程至关重要。

具体来说，您需要设置一个允许职责分离的自动审批工作流程 - 实际编辑 GPO 设置的人员应该与批准将 GPO 更改部署到生产环境的人员不同。这似乎是显而易见的，但这是需要正式解决和实施的事情。

进一步洞察

正确管理 GPO 和组策略至关重要。为了提供帮助，Microsoft 提供了组策略管理控制台 (GPMC)，这是一个免费的组策略编辑器，可帮助完成各种任务，以及一组用于以编程方式访问许多操作的 GPMC 界面。然而，这些本机工具有其局限性。 Quest GPOADmin 等第三方解决方案可以使组策略管理变得更加轻松和有效。

如果您想回到基础知识，请参阅我们之前的文章“什么是组策略以及 GPO 的工作原理”。有关组策略管理的更多详细信息，请参阅这篇 Microsoft TechNet 文章。有关更多详细信息，请阅读 Microsoft 认证大师 Sean Metcalf 发表的关于偷偷摸摸的组策略持久性的文章，或者观看兰迪·富兰克林·史密斯在专家会议上的主题演讲，其中他分享了他在保护 Active Directory 方面的专业知识。