论坛: 菜鸟乐园 标题: Windows2000组策略管理安全 复制本贴地址    
作者: nightcolor [nightcolor]    版主   登录
在确定了适合您的环境的风险级别并制定了总体安全策略之后,可以开始保护您的环境了。在基于 Windows 2000 的环境中,这主要是通过组策略来实现的。 

在本章中,我们将介绍如何利用安全模板来建立组策略对象 (GPO),以便在基于 Windows 2000 的环境中定义安全设置,还将讨论一个将支持使用这些 GPO 的简单组织单位 (OU) 结构。 


--------------------------------------------------------------------------------
警告:在生产环境中实现本章讨论的安全模板之前,必须首先在实验室中彻底测试这些安全模板以确保服务器继续按照预期的方式工作。 
--------------------------------------------------------------------------------

使用组策略的重要性 

安全策略的目标在于制定在环境中配置和管理安全的步骤。Windows 2000 组策略有助于在您的 Active Directory 域中为所有工作站和服务器实现安全策略中的技术建议。您可以将组策略和 OU 结构结合使用,为特定服务器角色定义其特定的安全设置。 

如果您使用组策略来实现安全设置,则可以确保对某一策略进行的任何更改都将应用到使用该策略的所有服务器,并且新的服务器将自动获取新的设置。 

组策略的应用方式 

为安全有效地使用组策略,了解它的应用方式非常重要。一个用户或计算机对象可能受多个 GPO 的约束。这些 GPO 按顺序应用,并且设置不断累积,除发生冲突外,在默认情况下,较迟的策略中的设置将替代较早的策略中的设置。 

第一个应用的策略是本地 GPO。运行 Windows 2000 的每台计算机都有一个本地 GPO。在默认情况下,只对“安全设置”下的节点进行配置。本地 GPO 的名称空间其他部分中的设置既不启用也不禁用。本地 GPO 存储在每个服务器中的 %systemroot%\System32\GroupPolicy 中。 

在本地 GPO 之后,后来的 GPO 依次在站点、域、父 OU 和子 OU 上应用。下图显示了每个策略是如何应用的: 

 

图 3.1 

GPO 应用层次结构 

如果在每个级别都定义了多个 GPO,那么应由管理员设置它们的应用顺序。 

在以下情况下用户或计算机将应用在组策略中定义的设置:a) 组策略应用到它们的容器;b) 它们出现在至少具有应用组策略权限的 GPO 的自由访问控制列表 (DACL) 中。 


--------------------------------------------------------------------------------
注意:在默认情况下,内置组 Authenticated Users 具有应用组策略权限。该组包含所有域用户和计算机。 
--------------------------------------------------------------------------------

确保组策略得到应用 

组策略设置(部分)位于 Active Directory 中。这意味着对组策略进行的更改不会立即得到应用。域控制器首先需要将对组策略的更改复制到其他域控制器。在一个站点内这个复制过程将需要花费 15 分钟,而复制到其他站点则需要更长时间。一旦复制完更改,还需要一段时间(对于域控制器来说为 5 分钟,对于其他计算机来说为 9030 分钟)才能使对策略的更改在目标计算机上得到刷新。 

如果需要,您可以强制立即执行以下任一操作。 

强制域控制器复制 
打开 Active Directory 站点和服务,展开站点,展开 <站点名>,然后展开服务器。 
展开 <DC 名称 1> 和 <DC 名称 2>,然后针对每个服务器选择 NTDS 设置。 
在右窗格中,右键单击连接对象名,然后选择立即复制副本。这将强制在这两个域控制器之间立即进行复制。 
对每个域控制器重复第 2 步和第 3 步。 
在服务器上手动刷新策略 
在服务器的命令提示符下,键入 Secedit/refreshpolicy machine_policy/enforce。此命令通知服务器检查 Active Directory 中是否有对策略的任何更新,如果有的话,就立即下载它们。 
验证有效的策略设置 
启动本地安全策略。 
在安全设置下,单击本地策略,然后单击安全选项。 
在右窗格中,检查有效设置列,以便验证正确的安全设置是否得到应用。 

--------------------------------------------------------------------------------
注意:当您使用组策略应用安全设置时,应详细了解它们的属性和交互,这一点非常重要。Microsoft 白皮书 ― Windows 2000 Group Policy(Windows 2000 组策略)提供了有关如何部署组策略的更多详细信息。有关更多详细信息,请参见本章末尾的“详细信息”一节。 
--------------------------------------------------------------------------------

组策略的结构 

组策略的配置设置存储在两个位置: 

GPO ― 位于 Active Directory 中 
安全模板文件 ― 位于本地文件系统中 
对 GPO 所做的更改直接保存在 Active Directory 中,而对安全模板文件所作的更改必须先导回到 Active Directory 内的 GPO 中,才能应用所作的更改。 


--------------------------------------------------------------------------------
注意:本操作指南向您提供了可用于修改 GPO 的模板。如果您直接进行更改并修改 GPO,则它们将与模板文件不同步。因此,建议您先修改模板文件,然后将它导回到 GPO 中。 
--------------------------------------------------------------------------------

Windows 2000 提供了许多安全模板。下面的模板可在低安全环境中应用。 

Basicwk.inf ― 适用于 Windows 2000 Professional 
Basicsv.inf ― 适用于 Windows 2000 Server 
Basicdc.inf ― 适用于基于 Windows 2000 的域控制器 
为了在基于 Windows 2000 的计算机上实现更高的安全性,还提供了其他模板。这些模板为基本模板提供了更多的安全设置: 

Securedc.inf 和 Hisecdc.inf ― 适用于域控制器 
Securews.inf 和 Hisecws.inf ― 适用于成员服务器和工作站 
这些模板被视作增量模板,这是由于必须先应用基本模板然后才能添加增量模板。在本指南中,我们以 Hisecdc.inf 和 Hisecws.inf 作为起始点创建了几个新安全模板,目的在于创建一个非常严格的环境,您可以有选择地打开它,以便提供所需的功能,而且同时保持非常重要的安全性。 


--------------------------------------------------------------------------------
注意:Windows 2000 默认安全模板以 .inf 文件的形式存储在 %SystemRoot%\Security\Templates 文件夹中。 
--------------------------------------------------------------------------------

安全模板的格式 

模板文件是基于文本的文件。可从 MMC 的“安全模板”管理单元或通过使用“记事本”等文本编辑器来更改模板文件。下表列出了策略部分与模板文件部分之间的对应关系。 

表 3.1:与组策略设置相对应的安全模板部分 策略部分 模板部分 
帐户策略 [系统访问] 
审计策略 [系统日志]
[安全日志]
[应用程序日志 
用户权限 [特权] 
安全选项 [注册表值] 
事件日志 [事件审计] 
受限制的组 [组成员资格] 
系统服务 [服务常规设置] 
注册表 [注册表项] 
文件系统 [文件安全] 


安全模板文件中的某些部分(如 [文件安全] 和 [注册表项] 包含特定的访问控制列表 (ACL)。这些 ACL 是由安全描述符定义语言 (SDDL) 定义的文本字符串。有关编辑安全模板和 SDDL 的详细信息可在 MSDN 上找到。有关进一步的详细信息,请参见本章末尾的“详细信息”一节。 

   

测试环境 

在对生产环境进行任何更改之前,应在测试环境中彻底评估对 IT 系统的安全性所做的任何更改,这一点非常重要。测试环境应尽可能地模仿生产环境。它至少应包括您将在生产环境中拥有的多个域控制器和每个成员服务器角色。 

测试对于确保以下两点非常重要:在进行更改之后环境仍然正常工作;确保已按照预期的计划提高了安全级别。您应当在测试环境中彻底验证所有更改并进行漏洞评估。 


--------------------------------------------------------------------------------
注意:任何人在您单位进行漏洞评估之前,应确保他们已获得准予进行此项工作的书面许可。 
--------------------------------------------------------------------------------
  
   

检查域环境 

在生产环境中实现组策略之前,应确保域环境保持稳定和正常工作,这一点非常重要。Active Directory 中应加以验证的一些关键部分包括 DNS 服务器、域控制器复制和时间同步。您还应当使用测试环境来帮助确保生产环境稳定。 

验证 DNS 配置 

DNS 名称解析对于服务器和域控制器的正常运行至关重要。在针对一个域实施了多个 DNS 服务器的情况下,应对每个 DNS 服务器进行测试。您应当执行以下测试: 

在域控制器上: 
使用详述选项运行 dcdiag /v 和 netdiag /v,以便在每个域控制器上测试 DNS 并检查输出中是否有错误。DCDIAG 和 NETDIAG 可在 Windows 2000 安装光盘中“Support/Tools”目录下找到。 
停止和启动 Net Logon 服务并检查事件日志中是否有错误。Net Logon 服务将服务记录动态注册到该域控制器的 DNS 中,并在无法成功注册 DNS 记录时生成错误信息。这些服务记录可在 %SystemRoot%\System32\Config 目录中的 netlogon.dns 文件中找到。 
在成员服务器上,通过使用 nslookup 或运行 netdiag /v 来验证 DNS 是否正确运行。 
域控制器复制 

在实现组策略之前,应确保多个域控制器之间的复制能够正常运行,这一点非常重要。如果复制不能正确进行,则对组策略的更改将不会应用到所有域控制器。这将导致正在域控制器上查找组策略更新的服务器之间产生矛盾。如果服务器指向在其中完成更改的域控制器,那么这些服务器将进行更新,而如果服务器指向那些仍在等待要进行复制的组策略的域控制器,那么这些服务器将不进行更新。 

使用 Repadmin 强制和验证复制 

Repadmin 是一种命令行工具,包含在 Windows 2000 光盘中的“Support”目录中。您可使用 repadmin 来确定目标服务器的目录复制伙伴,并通过发送一个命令来将源服务器与目标服务器同步。这是通过使用源服务器的对象全局唯一识别符 (GUID) 来完成的。 

使用 repadmin 在两个域控制器之间强制进行复制 
在一个域控制器的命令提示符下,键入以下命令:
repadmin /showreps <destination_server_name> 
在输出的“Inbound Neighbors”部分,查找需要同步的目录分区以及目标服务器要与之进行同步的源服务器。记下源服务器的对象 GUID 值。 
通过输入以下命令启动复制:
repadmin /sync 
<directory_partition_DN> <destination_server_name> <source_server_objectGuid> 

--------------------------------------------------------------------------------
注意:一旦您拥有每个域控制器的对象 GUID 之后,即可创建使用 repadmin 工具的批处理脚本,以便启动服务器之间的复制并提供有关复制是否成功的状态信息。 
--------------------------------------------------------------------------------

集中安全模板 

要将用于生产的安全模板存储在一个安全位置,并且只有负责实现组策略的管理员才能访问该模板,这一点非常重要。在默认情况下,安全模板存储在每个域控制器上的 %SystemRoot%\security\templates 文件夹中。此文件夹在多个域控制器之间不进行复制。因此,您需要选择一个保存原版安全模板的域控制器,这样,您就不会遇到模板的版本控制问题。 

时间配置 

要确保系统时间正确并且所有服务器都使用同一时间源,这一点非常重要。Windows 2000 W32Time 服务为在 Active Directory 域中运行的基于 Windows 2000 计算机提供时间同步。W32Time 服务能确保基于 Windows 2000 的客户端的时钟与一个域中的域控制器保持同步。这是 Kerberos 身份验证所必需的,而且时间同步还有助于进行事件日志分析。 

W32Time 服务是使用 RFC 1769 中描述的简单网络时间协议 (SNTP) 来将时钟同步的。在 Windows 2000 林中,时间是按照以下方式进行同步的: 

林根域中的主域控制器 (PDC) 模拟器的操作主机是您单位的权威时间源。 
对于林中其他域中的所有 PDC 操作主机来说,在选择要用来同步它们的时间的 PDC 模拟器时,它们都遵循域的层次结构。 
一个域中的所有域控制器都与它们的域中的 PDC 模拟器操作主机同步时间,这些域控制器将该操作主机作为它们的入站时间伙伴。 
所有成员服务器和桌面客户机都将身份验证域控制器作为它们的入站时间伙伴。 
为了确保时间准确,林根域中的 PDC 模拟器应与外部 SNTP 时间服务器同步。您可通过运行以下 net time 命令来配置此项,其中 <server_list> 是您的服务器列表: 

net time /setsntp:<server_list> 


--------------------------------------------------------------------------------
注意:如果林根中的 PDC 模拟器位于防火墙后面,则您可能需要打开防火墙上的 UDP 端口 123,以便允许 PDC 模拟器连接到基于 Internet 的 SNTP 时间服务器。 
--------------------------------------------------------------------------------

如果您的网络使用较早的 Windows 操作系统,则这些计算机上的时钟可通过在登录脚本中使用以下命令来同步,其中 <timecomputer> 是网络上的域控制器: 

net time \\<timecomputer> /set /yes 


--------------------------------------------------------------------------------
注意:运行非 Windows操作系统的计算机也应该与外部时间源同步其时钟,以便可以根据时间来分析日志事件。有关详细信息,请参见 Microsoft 知识库文章 Q216734:“How to Configure an Authoritative Time Server in Windows”(如何在 Windows 中配置权威时间服务器) 
--------------------------------------------------------------------------------

   

策略设计和实现 

如果您打算有效地使用组策略,则必须认真地确定它的应用方式。为简化组策略安全设置的应用和检查过程,我们建议您在以下两个级别应用安全设置: 

域级。满足一般的安全要求,如必须针对所有服务器实施的帐户策略和审计策略。 
OU 级。满足并非网络中的所有服务器都共有的特定服务器的安全要求。例如,基础结构服务器的安全要求就与那些运行 IIS 的服务器的要求不同。 
影响安全性的组策略设置可分为若干个部分。 

表 3.2:组策略的各个组成部分及其用途 策略部分 说明 
帐户策略\密码策略 配置密码存留期、长度和复杂性 
帐户策略\帐户锁定策略 配置锁定时间、阈值和复位计数器 
帐户策略\Kerberos 策略 配置票证寿命 
本地策略\审计策略 启用/禁用特定事件的记录 
本地策略\用户权限 定义权限,如本地登录、从网络访问等 
本地策略\安全选项 修改与注册表值有关的特定安全选项 
事件日志 启用成功或失败监视 
受限制的组 管理员可控制谁属于特定组 
系统服务 控制每个服务的启动模式 
注册表 对注册表项配置权限 
文件系统 对文件夹、子文件夹和文件配置权限 


所有服务器都有一个预定义的本地策略。在最初创建 Active Directory 域时,还创建了默认的域和域控制器策略。在修改任何默认策略之前,一定要记下它们所包含的设置,这一点非常重要,因为这样您可以在万一出现问题时轻松地返回到以前的状态。 

服务器角色 

在本指南中,我们定义了几种服务器角色并创建了可增强这些角色安全性的安全模板。 

表 3.3:Windows 2000 服务器角色 服务器角色 说明 安全模板 
Windows 2000 域控制器 Active Directory 域控制器 BaselineDC.inf 
Windows 2000 应用程序服务器 锁定的成员服务器,可在上面安装 Exchange 2000 等服务。为让该服务正确地运行,必须放松安全。 Baseline.inf 
Windows 2000 文件和打印服务器 锁定的文件和打印服务器。 Baseline.inf 和文件和服务 Incremental.inf 
Windows 2000 基础结构服务器 锁定的 DNS、Windows Internet 名称服务 (WINS) 和 DHCP 服务器。 Baseline.inf 和基础结构 Incremental.inf 
Windows 2000 IIS 服务器 锁定的 IIS 服务器。 Baseline.inf 和 IIS Incremental.inf 


上述每个角色的安全性要求都有所不同。我们将在第四章“基于角色保护服务器”中对每个角色的适当的安全设置详细地进行讨论。 


--------------------------------------------------------------------------------
注意:本指南假定服务器执行已定义的特定角色。如果您的服务器与这些角色不符,或者您拥有多用途服务器,则应将这里定义的设置作为指导来创建您自己的安全模板。但是,还应当记住,每个服务器执行的功能越多,就越容易受到攻击。 
--------------------------------------------------------------------------------

支持服务器角色的 Active Directory 结构 

正如以上所述,您可按照许多不同的方法来应用组策略:使用多个 GPO;在许多不同的层次上。在本指南中,我们定义了许多可用于保护各种服务器角色的组策略设置。您需要确保您的 Active Directory 结构允许您应用这些设置。 

为了帮助您保护基于 Windows 2000 的环境,我们还预定义了一些可导入到 GPO 中的安全模板。但是,如果您打算按原样使用这些模板,则需要确保拥有相应的 Active Directory 结构。在本指南中定义的 GPO 可以与下图中的 OU 结构一起使用。 

 

图 3.2 

要与定义的 GPO 一起使用的 OU 


--------------------------------------------------------------------------------
注意:域结构在此处并不重要,因为域和 OU 组策略只在定义它们的域中应用。站点结构也不重要,因为在本指南中我们没有在站点级别定义 GPO。 
--------------------------------------------------------------------------------

创建 OU 结构 

启动 Active Directory 用户和计算机。 
右键单击域名,选择新建,然后选择组织单位。 
键入成员服务器,然后单击确定。 
右键单击成员服务器,选择新建,然后选择组织单位。 
键入应用程序服务器,然后单击确定。 
针对文件和打印服务器、IIS 服务器和基础结构服务器重复第 5 步和第 6 步。 
有必要更详细地查看 OU 结构。 

域级策略 

在构建 Windows 2000 域时,创建了一个默认的域策略。对于要应用到整个域中的安全设置来说,您可执行以下任一操作: 

创建另一个策略并将其链接到高于默认策略级别的位置 
修改现有的默认策略 
修改现有的策略通常一般较为简单,但是创建另一个域策略(而非修改默认策略)的优点在于,如果该策略出现问题,可以将其禁用,并让默认域策略恢复控制。 

切记,域中一般包含客户机、用户和服务器。因此,如果您特别希望锁定服务器,则在域级定义特定设置通常不切实际。在实践中,最佳的做法通常是将服务器安全设置限制在那些必须在域级设置的设置。 

在本操作指南中,我们未在域级定义特定设置,这是因为许多设置(如密码长度)将根据您单位的整体安全策略而有变化。但是,我们提供了一些一般建议,您可在第四章“基于角色保护服务器”中找到。 


--------------------------------------------------------------------------------
注意:如果密码和帐户策略是在域级设置的,那么它们将只影响域帐户(即,您只能在每个域中配置一个密码和帐户策略)。如果这些策略是在 OU 级别或其他任何位置设置的,那么它们将只影响本地帐户。有关详细信息,请参阅知识库文章 Q259576:“Group Policy Application Rules for Domain Controllers”(域控制器的组策略应用规则)。 
--------------------------------------------------------------------------------

成员服务器 OU 

您为成员服务器定义的许多安全设置应当在每个成员服务器角色中应用。为了简化此过程,我们创建了一个名为 Baseline.inf 的基准安全模板,您可将该模板导入到 GPO 中并应用到成员服务器 OU。这些设置将设置适用于成员服务器 OU 和所有子 OU。 

域控制器 OU 

Windows 2000 已经提供了域控制器 OU。当一个服务器变成域控制器时,它自动放在此处,您不应删除它,否则会导致用户登录和访问问题。 

在本指南中,我们向您提供了一个名为 BaselineDC.inf 的安全模板,您可将其导入到 GPO 中并应用到域控制器 OU。您可以选择除默认域控制器 GPO 以外还应用此模板,或者只是修改默认域控制器 GPO 中的设置。 

单个服务器角色 OU 

单个服务器角色 OU 是成员服务器 OU 的子 OU。这意味着,在默认情况下,这些服务器将全部采用在成员服务器基准策略中定义的设置。 

如果您使用基准策略来保护成员服务器,则需要进行修改以便适用于每个服务器角色。您可通过为每个服务器角色 OU 分配 GPO 来完成此任务。 

在本指南中,我们为每个服务器角色 OU 提供了可导入到 GPO 中的安全模板。我们将在第四章“基于角色保护服务器”中对服务器角色更详细地进行讨论。 

导入安全模板 

通过执行以下步骤,可将本指南附带的安全模板导入到本章建议的 OU 结构中。在域控制器上执行以下步骤之前,必须先将本指南附带的 SecurityOps.exe 文件的内容解压缩。 

警告:本指南中的安全模板旨在提高您的环境安全性。通过安装本指南附带的模板,很有可能会失去环境中的某些功能。这可能包括导致任务关键的应用程序出现故障。因此,一定要在将这些模板部署到生产环境之前彻底进行测试并针对您的环境相应地对它们进行更改。在应用新的安全设置之前,应备份每个域控制器和服务器。要确保备份中包括系统状态,这是因为系统状态中包括注册表数据,而且在域控制器上它还包含 Active Directory 中的所有对象。 


--------------------------------------------------------------------------------
注意:如果您使用的是 Windows 2000 Service Pack 2,那么在继续操作之前,需要应用知识库文章 Q295444“SCE Cannot Alter a Service's SACL Entry in the Registry”(SCE 无法在注册表中修改服务的 SACL 项)中讨论的修补程序。如果未应用此修补程序,组策略模板将无法禁用任何服务。 
--------------------------------------------------------------------------------

导入域控制器基准策略 

在 Active Directory 用户和计算机中,右键单击域控制器,然后选择属性。 
在组策略选项卡上,单击新建以添加新的组策略对象。 
键入 BaselineDC Policy,然后按 Enter 键。 
右键单击 BaselineDC Policy,然后选择禁止替代。 
--------------------------------------------------------------------------------
注意:这是必不可少的,因为默认域控制器策略将帐户管理以外的所有审计策略设置配置为“无审计”。因为默认域控制器策略的优先级较高,所以“无审计”设置将变成有效设置。 


--------------------------------------------------------------------------------

单击编辑。 
展开 Windows 设置,右键单击安全设置,然后选择导入策略。 
--------------------------------------------------------------------------------
注意:如果“导入策略”未出现在菜单上,请关闭“组策略”窗口,然后重复第 4 步和第 5 步。 


--------------------------------------------------------------------------------

在策略导入来源对话框中,浏览 C:\SecurityOps\Templates,然后双击 BaselineDC.inf。 
关闭组策略,然后单击关闭。 
在域控制器之间强制进行复制,以便所有的域控制器都具有该策略。 
在“事件日志”中验证策略是否已成功下载,并验证服务器能否与域中的其他域控制器进行通讯。 
一次重新启动一个域控制器以确保它能成功地重新启动。 
导入成员服务器策略 

在 Active Directory 用户和计算机中,右键单击成员控制器,然后单击属性 
在组策略选项卡上,单击新建以添加新的组策略对象。 
键入 Baseline Policy,然后按 Enter 键。 
单击编辑。 
展开 Windows 设置,右键单击安全设置,然后选择导入策略。 
--------------------------------------------------------------------------------
注意:如果“导入策略”未出现在菜单上,请关闭“组策略”窗口,然后重复第 4 步和第 5 步。 
--------------------------------------------------------------------------------

在策略导入来源对话框中,浏览 C:\SecurityOps\Templates,然后双击 Baseline.inf。 
关闭组策略,然后单击关闭。 
使用下面的 OU 和安全模板文件重复第 1 步到第 7 步:
  OU 安全模板 
文件和打印服务器 文件和打印 Incremental.inf 
IIS 服务器 IIS Incremental.inf 
基础结构服务器 基础结构 Incremental.inf 

在域控制器之间强制进行复制,以便所有的域控制器都具有该策略。 
将每个角色所对应的服务器都移到相应的 OU 中,并在服务器上使用 secedit 命令来下载策略。 
在“事件日志”中验证策略是否已成功下载,并验证服务器能否与域控制器和域中的其他服务器进行通讯。在该 OU 中成功测试一个服务器之后,将其余服务器移到该 OU 中,然后应用安全。 
重新启动每个服务器以确保它们能成功地重新启动。 
   

保证组策略设置的安全 

如果您使用组策略来应用安全设置,一定要确保这些设置本身尽可能安全。这通常可通过确保 GPO 以及它们所应用到的 OU 和域的权限正确设置来实现。本指南中附带的模板不修改默认的 Active Directory 权限,因此您需要手动修改这些权限。 

在较高级别的容器上定义的组策略设置有可能会被较低级别容器上的设置所改写。针对 GPO 使用禁止替代可防止较高级别容器上的设置被改写。 


--------------------------------------------------------------------------------
注意:不要针对成员服务器基准策略设置禁止替代。这样做将阻止服务器角色策略启用相应的服务和设置。 
--------------------------------------------------------------------------------

除了在 OU 级区分服务器角色,还应当创建单独的相应管理员角色,并只在相应的 OU 上赋予它们管理权限。这可确保即使攻击者侥幸地获得 IIS 服务器管理权限,他们也无法访问基础结构服务器等。 

只有域级管理员及更高级别的人员才能更改 OU 的成员身份。如果一个 OU 级的管理员能够从该 OU 删除服务器,则他就能够更改这些服务器上的安全设置。 

将策略应用到服务器之后,您的工作还没有算结束。您应当定期检查服务器,以确保: 

将正确的策略应用到服务器。 
管理员既未更改策略中的设置,也未降低服务器的安全级别。 
所有策略更新或更改都已应用到所有服务器上。 
验证 GPO 中的设置是否已经按照预期方式应用到服务器上,这样您就可以确信服务器得到正确的安全保护。可使用多种方法来检查服务器上的组策略,以便验证该策略的设置正确无误。 

“事件日志”中的事件 

如果策略已成功下载,将出现包含以下信息的“事件日志”事件: 

类型:信息
来源 ID:SceCli
事件 ID:1704
消息字符串:组策略对象中的安全策略被成功应用

在应用该策略之后,可能要过几分钟后才显示此消息。如果您没有收到成功的事件日志消息,则需要运行 secedit /refreshpolicy machine_policy /enforce,然后重新启动服务器以强制下载策略。在重新启动之后再次检查“事件日志”以验证策略是否已成功下载。 


--------------------------------------------------------------------------------
注意:如果服务在 GPO 中设置为“禁用”且服务器重新启动了一次,则在 GPO 中定义的设置生效之前,这些服务通常已经重新启动。再次重新启动服务器将确保设置为“禁用”的服务不被启动。 
--------------------------------------------------------------------------------

使用“本地安全策略”MMC 验证策略 

验证策略是否得到成功应用的另一种方法是在本地服务器上检查有效的策略设置。 

验证有效的策略设置 
启动本地安全策略 MMC。 
在安全设置下,单击本地策略,然后单击安全选项。 
在右窗格中,查看有效设置列。 
“有效设置”列应当显示在模板中为选定服务器角色配置的设置。 

使用命令行工具验证策略 

还可使用两种命令行工具来验证策略设置。 

Secedit 

此工具包括在 Windows 2000 中,它可用于显示模板文件和计算机的策略之间的区别。若要将某个模板与计算机上的当前策略进行比较,请使用下列命令行: 

secedit /analyze /db secedit.sdb /cfg <模板名> 


--------------------------------------------------------------------------------
注意:如果在应用本指南附带的模板之后运行上述命令,则将产生“访问被拒绝”错误。这是应用了其他安全策略而产生的预期错误。生成的日志文件仍带有分析结果。 
--------------------------------------------------------------------------------

Gpresult 

Windows 2000 Server Resource Kit(Windows 2000 Server 资源工具包)(Microsoft Press, ISBN: 1-57231-805-8) 包括一个名为 GPResult 的工具,该工具可用于显示当前应用到服务器中的策略。若要获取应用到服务器中的策略列表,请使用下列命令行: 

Gpresult /c 


--------------------------------------------------------------------------------
注意:在本章“组策略故障排除”一节中将对 Gpresult 进行详述。 
--------------------------------------------------------------------------------

审计组策略 

可以审计对组策略进行的更改。审计策略更改可用于跟踪谁正在更改或尝试更改策略设置。审计策略更改的成功和失败在基准安全模板中是启用的。 

  

   

组策略故障排除 

即使组策略是自动应用的,服务器上的结果组策略也有可能不是预期策略,这主要是因为组策略可在多个级别进行配置。本节提供了一些可用于对组策略进行故障排除的指导。 


--------------------------------------------------------------------------------
注意:如果本章未涵盖您遇到的特定组策略问题,一定要查看 Microsoft 知识库文章。与组策略有关的一些重要知识库文章在本章末尾的“详细信息”一节以及“Troubleshooting Group Policy(组策略故障排除)”白皮书中已详细给出。 
--------------------------------------------------------------------------------

资源工具包工具 

GPResult 和 GpoTool 是两种 Windows 2000 Server Resource Kit(Windows 2000 Server 资源工具包)工具,它们将有助于您排除组策略问题。 


--------------------------------------------------------------------------------
注意:也可从网上下载这些工具,有关详细信息,请参见本章末尾的“详细信息”一节。 
--------------------------------------------------------------------------------

GPResult 

此工具提供的列表中包括已应用到一个计算机中的所有 GPO、GPO 源自哪个域控制器以及上次应用这些 GPO 的日期和时间。 

在服务器上运行 GPResult 以确保它具有正确的 GPO 时,使用 /c 开关可以只显示有关计算机设置的信息。 

当 GPResult 与 /c 开关一起使用时,它将提供以下一般信息: 

操作系统 
类型(Professional、Server、域控制器) 
内部版本号和 Service Pack 详细信息 
是否安装了终端服务,如果是,则显示它所使用的模式 
计算机信息 
计算机名和在 Active Directory 中的位置(如果适用的话) 
域名和类型(Windows NT 或 Windows 2000) 
站点名 
带有 /c 开关的 GPResult 还提供有关组策略的以下信息: 

上次应用策略的时间以及针对用户和计算机应用策略的域控制器 
已应用的组策略对象及其详细信息的完整列表,其中包括每个组策略对象所包含的扩展的摘要 
已应用的注册表设置及其详细信息 
被重定向的文件夹及其详细信息 
详述已指派和已发布的应用程序的软件管理信息 
磁盘配额信息 
IP 安全设置 
脚本 
GpoTool 

此命令行工具用于检查域控制器上组策略对象的状况,包括: 

检查组策略对象的一致性。此工具读取必需的和可选的目录服务属性(版本、友好名称、扩展 GUID 和 Windows 2000 系统卷 (SYSVOL) 数据 (Gpt.ini)),比较目录服务和 SYSVOL 版本号,执行其他一致性检查。如果扩展属性包含 GUID,则功能版本必须为 2,用户/计算机版本必须大于 0。 
检查组策略对象复制。它从每个域控制器读取 GPO 实例并对它们进行比较(选定组策略容器属性与组策略模板进行完全递归比较)。 
显示有关特定 GPO 的信息。信息包括不能通过组策略管理单元访问的属性,如功能版本和扩展 GUID。 
浏览 GPO。命令行选项可根据友好名称或 GUID 搜索策略。名称和 GUID 也都支持部分匹配。 
首选域控制器。在默认情况下,将使用域中所有可用的域控制器;这可从命令行中用所提供的域控制器列表进行改写。 
提供跨域支持。有一个用于检查不同域中的策略的命令行选项。 
在详细模式下运行。如果所有的策略都正常,则该工具显示一条验证消息;如果有误,则显示有关被损坏策略的信息。某个命令行选项可打开有关正在处理的每个策略的详细信息。 
使用下面的命令行可获取组策略的详细信息以及是否在策略中检测到错误: 

GPOTool /gpo:<gpo name>

组策略事件日志错误 

一些组策略事件日志错误表示您的环境出现特定问题。下面是两个会阻止组策略正确应用的错误: 

在某个域控制器上,出现警告事件 1202 与错误事件 1000。这通常意味着一个域控制器已从域控制器 OU 移到另一个未与默认域控制器 GPO 链接的 OU。 
当管理员尝试打开某个默认 GPO 时,返回以下错误: 
未能打开组策略对象
您可能没有合适的权限。
详细信息:未指定的错误
在事件日志中,出现 1000、1001 和 1004 事件。这是因为 registry.pol 文件被损坏所致。通过删除 SYSVOL 下的 registry.pol 文件、重新启动然后对服务器进行更改,这些错误将消失。 

  

   

总结 

Windows 2000 组策略是一种为整个基于 Windows 2000 的环境提供一致设置的非常有用的方法。为了有效地对它进行部署,您应当了解 GPO 的应用位置、确保所有服务器都接收正确的设置,并对 GPO 本身定义适当的安全策略。 

详细信息 

有关组策略的 Microsoft 白皮书: 
http://www.microsoft.com/windows2000/techinfo/howitworks/management/grouppolwp.asp 

有关组策略故障排除的 Microsoft 白皮书: 
http://www.microsoft.com/Windows2000/techinfo/howitworks/management/gptshoot.asp 

有关组策略故障排除的知识库文章: 
http://support.microsoft.com/default.aspx?scid=kb;EN-US;Q250842 
http://support.microsoft.com/default.aspx?scid=kb;EN-US;Q216359 

管理模板文件格式: 
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/policy/policyref_17hw.asp 

安全描述符定义语言: 
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/security/accctrl_757p.asp 

以下位置还可提供其他工具和组策略信息: 

Windows 2000 Server Resource Kit(Windows 2000 Server 资源工具包)(Microsoft Press, ISBN: 1-57231-805-8) 或以下网站:http://www.microsoft.com/windows2000/techinfo/reskit/default.asp


地主 发表时间: 09/07 23:47

论坛: 菜鸟乐园

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号