AD域安全保密要求,也是最为常见的一些组策略配置需求
目录
1.禁止U盘,DVD,软盘等可移动存储使用
2.禁止员工自行安装软件
3.硬盘全部采用bitlocker上锁,密码保存至AD域控
4.密码复杂度要求
5.开启windows防火墙且不允许员工自行关闭
6.开启windows更新
7.禁止edge和google浏览器安装插件(拓展)
8.自动锁屏
9.禁止保存windows凭据
10.终端安装杀毒软件,并设置好一周一次的全盘扫描
11.禁止edge和google浏览器保存密码
12.映射共享文件夹为网络驱动器
注意:
本文为纯域策略配置教程,如果没有一定的windows server基础请不要照抄,类似于bitlocker和防火墙等设置很可能影响你现有的域环境。
1.禁止U盘,DVD,软盘等可移动存储使用
计算机配置-策略-管理模板-系统-可移动存储访问-所有可移动存储类:拒绝所有权限-启用
启用后所有可移动存储(U盘,CD/DVD,软盘,磁盘,WPD设备)均被禁止接入
如果出现这种问题(无访访问 拒绝访问),请去BIOS里面关闭硬盘热插拔
2.禁止员工自行安装软件
一般来说加域后使用的账号没有域管理员权限就是不能自己安装软件的,但是仍有例外就是用Profwiz工具加域会将域账号加入到本地管理员组,所以我们需要限制本地管理员组的用户范围;当然此方法也适用于将某个域用户提升到本地管理员
计算机配置-策略-windows设置-安全设置-受限制的组
右击添加组,选择Administrators,我这里仅保留了domain admins所以通过Profwiz加入到本地管理员的普通域用户会被踢出本地管理组,同样的谁需要提升到管理员组在这添加即可
3.硬盘全部采用bitlocker上锁,密码保存至AD域控
这一步我们需要先到域控(如果有多台域控,记得都要安装)添加服务器功能,首选点击添加角色和功能,前面的几个板块全部直接点击下一步,到功能-远程服务器管理工具-功能管理工具-bitlocker驱动器加密管理实用程序,勾选bitlocker恢复密码查看器以及bitlocker驱动器加密工具,然后点击下一步
点击安装
计算机配置-策略-管理模板-windows组件-bitlocker驱动器加密
如果你客户机版本都是win10,那么按照我下图的两个地方改成启用,保持默认保存即可
计算机配置-策略-管理模板-windows组件-bitlocker驱动器加密-操作系统驱动器
按照我下图的三个地方改成启用,具体内容我继续贴图展示
首先在"启动时需要附加身份验证",我们需要勾选"没有兼容的TPM时允许bitlocker(在U盘上需要密码或启动密钥)";部分客户端主机不一定都有TPM所以我们勾选这个选项
"在操作系统驱动器上强制实施驱动器加密类型"选择加密类型为:完全加密;这个策略纯粹是为了少事情,开启bitlocker时候少弹一个框
"选择如何才能恢复受bitlocker保护的操作系统驱动器"中我们注意勾选"在为操作系统驱动器将恢复信息存储到AD DS之前禁止启用bitlocker";原因很简单,解密都没存到域控就加密了还是存在安全风险;勾选"省略bitlocker安装向导中的恢复选项"目的也是开启后不需要指定恢复选项,减少运维压力
计算机配置-策略-管理模板-windows组件-bitlocker驱动器加密-固定数据驱动器
按照我下图的两个地方改成启用,配置同"操作系统驱动器"
登录到客户机,找到控制面板-系统和安全-bitlocker驱动器加密;点击启用bitlocker(需要输入管理员账号密码)
直接点击下一页
也是点击下一页
依旧点击下一页
解锁方法选择密码
输入密码,这个密码必须是强密码且每次开机都要输入,这个域控内部可以统一使用一个密码,点击下一页
"运行bitlocker系统检查"需要是勾选的,点击继续
同意的步骤启用数据盘的bitlocker,都启用之后重启电脑
数据盘较大会有一个加密的过程,需要等待一定时间
加密完成进入系统会需要前面设置的密码
我们登录到域控找到这台开启bitlocker的主机,右击选择属性-bitlocker恢复;即可看到恢复密钥
4.密码复杂度要求
这个很简单,直接修改默认的default Domain Policy即可
计算机配置-策略-windows设置-安全设置-账户策略-密码策略
密码必须符合复杂性要求-启用;表示启用密码复杂性要求
密码长度最小值-8;表示至少8位数的密码
密码最长使用期限-90;表示每过90天必须修改一次密码
强制密码历史-3;表示密码不能与过去的3个密码相同
5.开启windows防火墙且不允许员工自行关闭
计算机配置-策略-windows设置-安全设置-高级windows defender防火墙-高级windows defender防火墙
点击windows defender防火墙属性,把域配置文件,专用配置文件,公网配置文件的防火墙状态都修改为启用
注意:组策略启用防火墙之后,客户机登录的是管理员账户也无法关闭防火墙
6.开启windows更新
计算机配置-管理模板-windows组件-windows更新
打开以下四个选项:
配置自动更新(启用后保存默认的3.自动下载并通知安装即可)
windows更新不包括驱动程序
允许自动更新安装
对于已登录的用户的计算机,计划的自动更新安装不执行重新启动
7.禁止edge和google浏览器安装插件(拓展)
这个会比较麻烦,需要下载edge和google浏览器(注意保证edge和google浏览器都是官方原版)的ADMX文件
edge下载地址为:
下载和部署 Microsoft Edge 企业版
https://www.microsoft.com/zh-cn/edge/business/download?cs=3330855388&form=MA13FJ位置如下图所示
或者直接给你下载链接:
https://msedge.sf.dl.delivery.mp.microsoft.com/filestreamingservice/files/18185e55-307a-4b1f-88fa-ebdbe44bf709/MicrosoftEdgePolicyTemplates.cab
google下载地址为:
Enterprise Browser Download for Windows & Mac - Chrome Enterprisehttps://chromeenterprise.google/download/#download位置如下图所示
或者直接给下载链接:
https://dl.google.com/dl/edgedl/chrome/policy/policy_templates.zip
两个浏览器都是把解压得到的windows文件夹下的admx文件夹所有文件(注意不是admx文件夹复制过去)复制到域控(多个域控就都复制一次)的C:\Windows\PolicyDefinitions
google浏览器禁止安装插件(扩展)如下
计算机配置-策略-管理模板-google-google chrome-扩展程序
将"禁止安装外部扩展程序"启用;"控制开发者模式在扩展程序页面上的使用情况"设置为"不允许在扩展程序页面上使用开发者模式"
edge浏览器禁止安装插件(扩展)如下
计算机配置-策略-管理模板-Microsoft Edge-扩展
将"阻止安装外部扩展"启用;"在扩展页上控制开发人员模式的可用性"设置为"不允许在扩展页面上使用开发人员模式"
8.自动锁屏
用户配置-策略-管理模板-控制面板-个性化
启用以下三个配置"启用屏幕保护程序","带密码的屏幕保护程序","屏幕保护程序超时"
其中"屏幕保护程序超时"设置为我们规定的时间,180秒就代表3分钟不使用电脑就进行锁屏
9.禁止保存windows凭据
计算机配置-策略-windows设置-安全设置-本地策略-安全选项
启用"网络访问:不允许存储网络身份验证的密码和凭据"
10.终端安装杀毒软件,并设置好一周一次的全盘扫描
直接利用自带的windows defender,设置每周一次的全盘扫描
计算机配置-策略-管理模板-windows组件-Microsoft defender防病毒-扫描
开启下图三个策略
"指定用于计划扫描的扫描类型"选择"完全系统扫描"
"指定每周的不同天运行计划扫描"选择"星期三";表示每周三进行一次扫描
"指定每天的不同时间运行计划扫描"填写"630",每60代表一点,630代表上午十点半,可以根据自己的需求进行更改
11.禁止edge和google浏览器保存密码
edge和google浏览器的管理是需要admx文件的,如何导入请看 7.禁止edge和google浏览器安装插件(拓展)
google浏览器禁止保存密码如下
计算机配置-策略-管理模板-google-google chrome-密码管理工具
将"允许将密码保存到密码管理工具","允许将通行密钥保存到密码管理工具中","允许与其他用户共享用户凭据"禁用
edge浏览器禁止保存密码如下
计算机配置-策略-管理模板-Microsoft Edge-密码管理器和保护
将"允许将密码保存到密码管理工具","允许将通行密钥保存到密码管理工具中","允许与其他用户共享用户凭据"禁用
12.映射共享文件夹为网络驱动器
用户配置-首选项-windows设置-驱动器映射;右击新建-驱动器映射
位置代表共享文件夹的位置,标记为代表网络驱动器的名称,驱动器号-使用代表要使用的盘符号
效果如下图
实战指南)
![[优选算法]复写零](http://pic.xiahunao.cn/[优选算法]复写零)
:服务器CPU)
)
