组策略示例：最有用的安全 GPO

这是为了安全和管理方便而应在 Active Directory 环境中实施的常见 Active Directory 组策略 (GPO) 的列表。请注意，并非所有这些设置都适合您的环境，因此请仔细考虑每一项。与任何 GPO 设置一样，在推出之前先在一小群用户和计算机上进行测试。

1.启用审计日志

启用审核日志有助于监控网络上的活动，并且是识别基础设施中威胁的出色安全工具。

您至少应该启用审核系统事件。此策略位于计算机配置 -> Windows 设置 -> 安全设置 -> 审核策略。

将“审核系统事件”更改为成功、失败。

请参阅 Windows Server 审核策略一文了解审核最佳实践。

2. 屏幕锁定时间

启用域计算机上不活动状态的锁定时间，以保护数据和隐私。一般接受的时间是 10 - 15 分钟，但如果需要也可以更短。教您的用户在离开办公桌时锁定计算机非常好。但备份计划总是理想的。

此设置位于计算机配置 -> Windows 设置 -> 安全设置 -> 本地策略 -> 安全选项。

修改交互式登录的时间：计算机不活动限制。

有关更多详细信息，请参阅文章 GPO 锁定屏幕。

3. 密码政策

实施强密码策略对于域的安全至关重要。

这些设置位于计算机配置 -> Windows 设置 -> 安全设置 -> 帐户策略 -> 密码策略。

有关更多详细信息，请参阅 Active Directory 密码策略一文。

4. 账户锁定政策

实施帐户锁定策略将有助于确保域计算机的安全。恶意行为者可能会尝试猜测域帐户的密码。

这些设置位于计算机配置 -> Windows 设置 -> 安全设置 -> 帐户策略 -> 帐户锁定策略。

有关更多详细信息，请参阅 Active Directory 帐户锁定策略一文。

5. 可移动媒体

应关闭允许用户插入 USB 驱动器、外部硬盘驱动器或插入 CD、DVD 的功能。您的网络可能会被病毒或恶意软件感染。

这些设置位于用户配置 -> 策略 -> 管理模板 -> 系统 -> 可移动存储访问

您可以启用“拒绝在特定设备上读取和执行”或“启用所有可移动存储类别：拒绝所有访问”来阻止所有设备。

6.限制对命令提示符和PowerShell的访问

限制对命令提示符和 PowerShell 的访问，以防止普通用户帐户运行命令。如果系统受到威胁，可以使用命令提示符或 PowerShell 来提升用户帐户。此外，PowerShell 可用于运行恶意脚本，并且经常用于传播勒索软件。

要阻止访问命令提示符，请启用“阻止访问命令提示符”设置。

该设置位于用户配置 -> 管理模板 -> 系统中。

要禁用 PowerShell，请参阅禁用 PowerShell GPO 一文。

7. 限制对控制面板选项的访问

您应该限制对用户可以在控制面板中更改的内容的访问。用户可以在控制面板中更改许多系统设置，例如网络设置、添加和删除软件以及添加和删除用户。所有这些活动都可能打开安全漏洞之门。

要锁定对控制面板的访问，您需要启用“禁止访问控制面板和电脑设置”。

此设置位于用户配置 -> 管理模板 -> 控制面板

8. 限制谁可以安装软件

所有软件在安装到网络上之前都应经过测试和批准。此外，不应允许普通用户帐户安装软件。这既是为了安全，也是为了缓解软件可能引起的问题。

此设置位于计算机配置 -> 管理模板 -> Windows 组件 -> Windows Installer 中。

单击“禁止用户安装”并启用该策略。

9. 访客帐户设置

来宾帐户无需使用密码即可授予对计算机的访问权限。这是一个安全问题以及数据访问问题。最好禁用访客访问。

此设置位于计算机配置 -> Windows 设置 -> 安全设置 -> 本地策略 -> 安全选项

单击“帐户：访客帐户状态”并选择禁用。

10. 防止存储 LAN Manager 哈希

LAN Manager 将帐户密码存储在本地 SAM 数据库的哈希值中。哈希值很弱并且很容易受到黑客攻击。应该关闭此功能。

该设置位于计算机配置 -> Windows 设置 -> 安全设置 -> 本地策略 -> 安全选项。

将“网络安全：下次更改密码时不存储 LAN Manager 哈希值”策略设置为启用。

11. 限制本地帐户仅对控制台使用空白密码

空白密码是一种高安全威胁。如果管理员在将本地帐户添加到域之前无意中创建了一个没有密码的本地帐户，您可以阻止通过 RDP、Telnet 和 FTP 使用该帐户的能力。

此设置位于计算机配置 -> Windows 设置 -> 安全设置 -> 本地策略 -> 安全选项。

将“帐户：限制本地帐户使用空白密码仅用于控制台登录”为启用。

12.关闭强制重启

如果您使用 Windows 更新，请禁用用户登录时自动重新启动。这将避免大量愤怒的电子邮件和电话。

此设置位于计算机配置 -> 管理模板 -> Windows 组件 -> Windows 更新中。

启用策略“对于计划的自动更新安装，登录用户不会自动重新启动”。

13. 监视 GPO 设置的更改

当您有多个管理员进行更改时，跟踪组策略对象设置的更改非常有用。

此设置位于计算机配置 -> 策略 -> Windows 设置 -> 安全设置 -> 高级审核策略配置 -> 审核策略/DS 访问。

选择审核目录服务更改并单击成功。

14. 阻止微软商店

用户可能会因为从 Microsoft Store 启动应用程序而得意忘形。这造成了管理员的噩梦。

要阻止 Microsoft Store，请启用“关闭商店应用程序”设置。

此设置位于计算机配置 -> 管理模板 -> Windows 组件 -> 存储中

有些应用程序仍然需要通过 Microsoft Store 进行更新，您可以通过转到“计算机配置”->“管理模板”->“Windows 组件”->“商店”来允许更新。

选择策略“关闭自动下载和安装更新”并选择禁用。

15.禁用匿名SID/名称转换

如果启用此选项，即使管理员帐户已更改为其他名称，也可以使用 SID 获取内置管理员帐户的名称。

该设置位于计算机配置 -> Windows 设置 -> 安全设置 -> 本地策略 -> 安全选项。

将策略“网络访问：允许匿名 SID/名称转换”更改为禁用。

16. 限制对注册表的访问

更改注册表设置始终是管理员关注的主要问题。您可以锁定注册表，以便用户无法更改它。

此设置位于用户配置 -> 管理模板 -> 系统中。

选择策略“阻止访问注册表编辑工具”并将其设置为“启用”。

然后在“禁止 regedit 以静默方式运行”下，更改为“是”。

17.从Everyone权限中删除匿名用户

默认情况下应禁用此功能。我会仔细检查。如果启用此功能，匿名用户可以访问每个人权限都有权访问的任何资源。

此设置位于计算机配置 -> Windows 设置 -> 安全设置 -> 本地策略 -> 安全选项

“网络访问：让每个人的权限应用于匿名用户”应设置为禁用。

18. 打开 NTLM 审核以确保您没有使用它。

NTLM 是一种旧版身份验证协议，存在多个漏洞，在 Windows 2000 中已被 Kerberos 取代。在禁用它之前，请确保没有任何旧版客户端仍在使用这些身份验证方法。

审核 NTLM 使用情况

此设置位于计算机配置 -> Windows 设置 -> 安全设置 -> 本地策略 -> 安全选项。

选择策略“网络安全：限制 NTLM：审核此域中的 NTLM 身份验证”并全部启用。

您可以在“应用程序和服务日志”-“Microsoft”-“Windows”-“NTLM”下查看“事件查看器”，以查看是否正在使用 NTLM。在身份验证包值中查找 NTLM。包名称将显示正在使用的 NTLM 版本。

确保您的域未使用 NTLM 后，您可以将其禁用。

禁用 NTLM（确保首先审核您的网络）

此设置位于计算机配置 -> Windows 设置 -> 安全设置 -> 本地策略 -> 安全选项。

选择策略“网络安全：限制 NTLM：此域中的 NTLM 身份验证”，然后选择全部拒绝。

19.禁用LLMNR

链路本地多播名称解析 (LLMNR) 是一种用于将 IP 地址解析为主机名的协议。基本上，它在没有 DNS 服务器的情况下执行域名查找。它的工作原理是在网络上发送广播来寻找地址，网络上的任何设备都可以响应。攻击者可以轻松地利用它来响应这些广播并连接到计算机。在企业网络中，您的设备应使用您控制或批准的 DNS 服务器。

您可以使用此策略设置禁用 LLMNR。

计算机配置 -> 管理模板 -> 网络 -> DNS ClientEnable 通过将其值更改为启用来关闭多播名称解析策略

20.控制本地管理员组

如果您不限制对本地管理员组的访问，那么您如何知道哪些帐户具有完全管理员权限？随着时间的推移，员工将在工作站和笔记本电脑上创建现有帐户并将其添加到本地管理员组中。这将赋予该帐户对计算机的完全权限，允许他们安装软件和驱动程序、进行系统更改等。这是糟糕的安全实践，任何用户都不应该以完全管理员权限进行日常工作。

您可以使用组策略来控制哪些用户是该组的成员，并防止其他员工进行更改。

有关分步说明，请参阅删除本地管理员权限指南。

21. Windows 防火墙

我建议您使用组策略集中管理 Windows 防火墙。这类似于本地管理员权限问题，如果您不集中管理它，规则可能会失控。如果用户收到防火墙提示以允许或拒绝某项操作，则可以轻松地始终单击“允许”。任何解锁某些内容的请求都应通过 IT/安全团队提出。

有关更多详细信息，请参阅文章 Windows 防火墙最佳实践。

22.启用用户帐户控制（UAC）

通过 UAC，应用程序可以在普通用户（非管理员帐户）的安全上下文中运行，并且当应用程序需要管理员级别访问权限时，它会提示输入权限。

这是帮助保护用户、计算机和网络的另一层安全性。这是用户或其他员工可以禁用的另一个设置。使用组策略集中强制启用UAC并防止其被禁用。

UAC 策略位于以下位置：

计算机配置 -> 策略 -> Windows 设置 -> 安全设置 -> 本地策略 -> 安全选项。

23. Applocker 或软件限制策略

Applocker 是一项允许您控制哪些应用程序和文件可以运行的功能。这有助于防止未经批准的软件和文件运行。例如，如果用户从互联网下载软件并且未在 Applocker 策略中批准，则该软件将被阻止。

这还可以帮助防止勒索软件和其他恶意病毒在您的网络上安装和传播。 Applocker 仅适用于 Windows 企业添加。如果您运行的是 Windows 专业版，请查看软件限制策略。

软件限制策略位于以下位置。

计算机配置 -> 策略 -> Windows 设置 -> 安全设置 -> 软件限制策略

我希望您喜欢这篇文章。您使用哪些 GPO 来提高安全性？