AD域安全保密要求,也是最為常見的一些組策略配置需求
目錄
1.禁止U盤,DVD,軟盤等可移動存儲使用
2.禁止員工自行安裝軟件
3.硬盤全部采用bitlocker上鎖,密碼保存至AD域控
4.密碼復雜度要求
5.開啟windows防火墻且不允許員工自行關閉
6.開啟windows更新
7.禁止edge和google瀏覽器安裝插件(拓展)
8.自動鎖屏
9.禁止保存windows憑據
10.終端安裝殺毒軟件,并設置好一周一次的全盤掃描
11.禁止edge和google瀏覽器保存密碼
12.映射共享文件夾為網絡驅動器
注意:
本文為純域策略配置教程,如果沒有一定的windows server基礎請不要照抄,類似于bitlocker和防火墻等設置很可能影響你現有的域環境。
1.禁止U盤,DVD,軟盤等可移動存儲使用
計算機配置-策略-管理模板-系統-可移動存儲訪問-所有可移動存儲類:拒絕所有權限-啟用
啟用后所有可移動存儲(U盤,CD/DVD,軟盤,磁盤,WPD設備)均被禁止接入
如果出現這種問題(無訪訪問? 拒絕訪問),請去BIOS里面關閉硬盤熱插拔
2.禁止員工自行安裝軟件
一般來說加域后使用的賬號沒有域管理員權限就是不能自己安裝軟件的,但是仍有例外就是用Profwiz工具加域會將域賬號加入到本地管理員組,所以我們需要限制本地管理員組的用戶范圍;當然此方法也適用于將某個域用戶提升到本地管理員
計算機配置-策略-windows設置-安全設置-受限制的組
右擊添加組,選擇Administrators,我這里僅保留了domain admins所以通過Profwiz加入到本地管理員的普通域用戶會被踢出本地管理組,同樣的誰需要提升到管理員組在這添加即可
3.硬盤全部采用bitlocker上鎖,密碼保存至AD域控
這一步我們需要先到域控(如果有多臺域控,記得都要安裝)添加服務器功能,首選點擊添加角色和功能,前面的幾個板塊全部直接點擊下一步,到功能-遠程服務器管理工具-功能管理工具-bitlocker驅動器加密管理實用程序,勾選bitlocker恢復密碼查看器以及bitlocker驅動器加密工具,然后點擊下一步
點擊安裝
計算機配置-策略-管理模板-windows組件-bitlocker驅動器加密
如果你客戶機版本都是win10,那么按照我下圖的兩個地方改成啟用,保持默認保存即可
計算機配置-策略-管理模板-windows組件-bitlocker驅動器加密-操作系統驅動器
按照我下圖的三個地方改成啟用,具體內容我繼續貼圖展示
首先在"啟動時需要附加身份驗證",我們需要勾選"沒有兼容的TPM時允許bitlocker(在U盤上需要密碼或啟動密鑰)";部分客戶端主機不一定都有TPM所以我們勾選這個選項
"在操作系統驅動器上強制實施驅動器加密類型"選擇加密類型為:完全加密;這個策略純粹是為了少事情,開啟bitlocker時候少彈一個框
"選擇如何才能恢復受bitlocker保護的操作系統驅動器"中我們注意勾選"在為操作系統驅動器將恢復信息存儲到AD DS之前禁止啟用bitlocker";原因很簡單,解密都沒存到域控就加密了還是存在安全風險;勾選"省略bitlocker安裝向導中的恢復選項"目的也是開啟后不需要指定恢復選項,減少運維壓力
計算機配置-策略-管理模板-windows組件-bitlocker驅動器加密-固定數據驅動器
按照我下圖的兩個地方改成啟用,配置同"操作系統驅動器"
登錄到客戶機,找到控制面板-系統和安全-bitlocker驅動器加密;點擊啟用bitlocker(需要輸入管理員賬號密碼)
直接點擊下一頁
也是點擊下一頁
依舊點擊下一頁
解鎖方法選擇密碼
輸入密碼,這個密碼必須是強密碼且每次開機都要輸入,這個域控內部可以統一使用一個密碼,點擊下一頁
"運行bitlocker系統檢查"需要是勾選的,點擊繼續
同意的步驟啟用數據盤的bitlocker,都啟用之后重啟電腦
數據盤較大會有一個加密的過程,需要等待一定時間
加密完成進入系統會需要前面設置的密碼
我們登錄到域控找到這臺開啟bitlocker的主機,右擊選擇屬性-bitlocker恢復;即可看到恢復密鑰
4.密碼復雜度要求
這個很簡單,直接修改默認的default Domain Policy即可
計算機配置-策略-windows設置-安全設置-賬戶策略-密碼策略
密碼必須符合復雜性要求-啟用;表示啟用密碼復雜性要求
密碼長度最小值-8;表示至少8位數的密碼
密碼最長使用期限-90;表示每過90天必須修改一次密碼
強制密碼歷史-3;表示密碼不能與過去的3個密碼相同
5.開啟windows防火墻且不允許員工自行關閉
計算機配置-策略-windows設置-安全設置-高級windows defender防火墻-高級windows defender防火墻
點擊windows defender防火墻屬性,把域配置文件,專用配置文件,公網配置文件的防火墻狀態都修改為啟用
注意:組策略啟用防火墻之后,客戶機登錄的是管理員賬戶也無法關閉防火墻
6.開啟windows更新
計算機配置-管理模板-windows組件-windows更新
打開以下四個選項:
配置自動更新(啟用后保存默認的3.自動下載并通知安裝即可)
windows更新不包括驅動程序
允許自動更新安裝
對于已登錄的用戶的計算機,計劃的自動更新安裝不執行重新啟動
7.禁止edge和google瀏覽器安裝插件(拓展)
這個會比較麻煩,需要下載edge和google瀏覽器(注意保證edge和google瀏覽器都是官方原版)的ADMX文件
edge下載地址為:
下載和部署 Microsoft Edge 企業版
https://www.microsoft.com/zh-cn/edge/business/download?cs=3330855388&form=MA13FJ位置如下圖所示
或者直接給你下載鏈接:
https://msedge.sf.dl.delivery.mp.microsoft.com/filestreamingservice/files/18185e55-307a-4b1f-88fa-ebdbe44bf709/MicrosoftEdgePolicyTemplates.cab
google下載地址為:
Enterprise Browser Download for Windows & Mac - Chrome Enterprisehttps://chromeenterprise.google/download/#download位置如下圖所示
或者直接給下載鏈接:
https://dl.google.com/dl/edgedl/chrome/policy/policy_templates.zip
兩個瀏覽器都是把解壓得到的windows文件夾下的admx文件夾所有文件(注意不是admx文件夾復制過去)復制到域控(多個域控就都復制一次)的C:\Windows\PolicyDefinitions
google瀏覽器禁止安裝插件(擴展)如下
計算機配置-策略-管理模板-google-google chrome-擴展程序
將"禁止安裝外部擴展程序"啟用;"控制開發者模式在擴展程序頁面上的使用情況"設置為"不允許在擴展程序頁面上使用開發者模式"
edge瀏覽器禁止安裝插件(擴展)如下
計算機配置-策略-管理模板-Microsoft Edge-擴展
將"阻止安裝外部擴展"啟用;"在擴展頁上控制開發人員模式的可用性"設置為"不允許在擴展頁面上使用開發人員模式"
8.自動鎖屏
用戶配置-策略-管理模板-控制面板-個性化
啟用以下三個配置"啟用屏幕保護程序","帶密碼的屏幕保護程序","屏幕保護程序超時"
其中"屏幕保護程序超時"設置為我們規定的時間,180秒就代表3分鐘不使用電腦就進行鎖屏
9.禁止保存windows憑據
計算機配置-策略-windows設置-安全設置-本地策略-安全選項
啟用"網絡訪問:不允許存儲網絡身份驗證的密碼和憑據"
10.終端安裝殺毒軟件,并設置好一周一次的全盤掃描
直接利用自帶的windows defender,設置每周一次的全盤掃描
計算機配置-策略-管理模板-windows組件-Microsoft defender防病毒-掃描
開啟下圖三個策略
"指定用于計劃掃描的掃描類型"選擇"完全系統掃描"
"指定每周的不同天運行計劃掃描"選擇"星期三";表示每周三進行一次掃描
"指定每天的不同時間運行計劃掃描"填寫"630",每60代表一點,630代表上午十點半,可以根據自己的需求進行更改
11.禁止edge和google瀏覽器保存密碼
edge和google瀏覽器的管理是需要admx文件的,如何導入請看 7.禁止edge和google瀏覽器安裝插件(拓展)
google瀏覽器禁止保存密碼如下
計算機配置-策略-管理模板-google-google chrome-密碼管理工具
將"允許將密碼保存到密碼管理工具","允許將通行密鑰保存到密碼管理工具中","允許與其他用戶共享用戶憑據"禁用
edge瀏覽器禁止保存密碼如下
計算機配置-策略-管理模板-Microsoft Edge-密碼管理器和保護
將"允許將密碼保存到密碼管理工具","允許將通行密鑰保存到密碼管理工具中","允許與其他用戶共享用戶憑據"禁用
12.映射共享文件夾為網絡驅動器
用戶配置-首選項-windows設置-驅動器映射;右擊新建-驅動器映射
位置代表共享文件夾的位置,標記為代表網絡驅動器的名稱,驅動器號-使用代表要使用的盤符號
效果如下圖
實戰指南)
![[優選算法]復寫零](http://pic.xiahunao.cn/[優選算法]復寫零)
:服務器CPU)
)
