组策略与安全设置
提升Windows系统安全性的组策略设置
组策略在Windows系统中的作用
01
02
03
集中化管理
组策略允许管理员从中央 位置管理网络上的计算机 ,减少了单独配置每台计 算机的需求。
自定义设置
通过组策略,可以定制软 件安装、系统配置、安全 设置等,以满足特定组织 的需求。
安全增强
组策略可以用于实施安全 策略,如软件限制、注册 表限制、安全桌面等,从 而提高系统的安全性。
访问控制列表(ACL)
限制不必要的访问
01
通过ACL,可以限制特定用户或组对关键文件、文件夹或注册
表的访问。
配置文件和注册表权限
02
通过精细控制文件和注册表的权限,可以防止未授权修改,提
高系统稳定性。
审核对象访问
03
启用ACL的审核功能,可以追踪对特定资源的使用情况,及时
发现异常行为。
04
软件限制策略
密码策略
总结词
密码策略用于规范和强制用户设置符合安全要求的密码,提 高密码的安全性。
详细描述
通过设置密码策略,可以要求用户定期更换密码,并限制密 码的复杂性和长度。同时,可以启用密码历史记录功能,防 止用户重复使用相同的密码。
账户过期策略
总结词
账户过期策略用于自动注销过期的账 户,确保账户的安全性。
强制安全启动
启用强制安全启动后,计算机将始终 使用安全启动模式,即使在用户禁用 该功能的情况下也是如此。
安全选项配置
账户锁定策略
通过设置账户锁定策略,可以防止未经授权的用户多次尝试登录到计算机。
密码策略
设置密码策略可以要求用户定期更改密码,并限制密码的复杂性和长度。
防火墙配置
入站规则
配置入站规则可以允许或拒绝来自外部 网络的连接请求,从而提高计算机的安 全性。
组策略作用范围
组策略作用范围组策略是Windows操作系统中的一项重要功能,它可以用来管理计算机和用户的配置。
通过组策略,系统管理员可以集中管理计算机网络中的各种设置,包括安全设置、网络设置、软件安装等。
组策略的作用范围是指它所能影响到的对象的范围,包括计算机对象和用户对象。
一、计算机对象的作用范围计算机对象是指在Windows域中的计算机账户。
通过组策略,可以对计算机对象进行一系列的配置和管理。
计算机对象的作用范围主要包括以下几个方面:1. 安全设置:组策略可以用来配置计算机的安全设置,包括密码策略、用户权限、防火墙设置等。
管理员可以通过组策略确保计算机的安全性,防止未经授权的访问和操作。
2. 网络设置:组策略可以用来配置计算机的网络设置,包括IP地址、DNS服务器、代理服务器等。
管理员可以通过组策略统一管理计算机的网络配置,提高网络的稳定性和安全性。
3. 软件安装:组策略可以用来配置计算机的软件安装策略,包括安装、卸载和更新软件。
管理员可以通过组策略控制计算机上的软件安装,确保计算机上的软件版本统一和安全。
4. 系统配置:组策略可以用来配置计算机的系统设置,包括桌面背景、屏幕保护程序、电源管理等。
管理员可以通过组策略统一配置计算机的系统设置,提供用户体验和工作效率。
二、用户对象的作用范围用户对象是指在Windows域中的用户账户。
通过组策略,可以对用户对象进行一系列的配置和管理。
用户对象的作用范围主要包括以下几个方面:1. 安全设置:组策略可以用来配置用户的安全设置,包括密码策略、访问权限、账户锁定策略等。
管理员可以通过组策略确保用户账户的安全性,防止未经授权的访问和操作。
2. 桌面设置:组策略可以用来配置用户的桌面设置,包括桌面背景、屏幕保护程序、桌面图标等。
管理员可以通过组策略统一配置用户的桌面设置,提供统一的用户体验。
3. 软件安装:组策略可以用来配置用户的软件安装策略,包括安装、卸载和更新软件。
管理员可以通过组策略控制用户账户上的软件安装,确保软件版本统一和安全。
组策略设置系列篇之“安全选项”
“网络安全:在超过登录时间后强制注销”设置的可能值为:
“网络安全:LAN Manager身份验证级别”设置的可能值为
:•发送LM和NTLM响应•发送LM和NTLM -若协商使用NTLMv2会话安全•仅发送NTLM响应•仅发送NTLMv2响应•仅发送NTLMv2响应\拒绝LM•仅发送NTLMv2响应\拒绝LM和NTLM•没有定义“网络安全:LAN Manager身份验证级别”设置确定将哪些质询/响应身份验证协议用于网络登录。此选项影响客户端使用的身份验证协议级别、计算机所协商的会话安全级别以及服务器所接受的身份验证级别,如下所示:•发送LM和NTLM响应。客户端使用LM和NTLM身份验证,从不使用NTLMv2会话安全性。域控制器接受LM、NTLM和NTLMv2身份验证。•发送LM和NTLM -若协商使用NTLMv2会话安全。客户端使用LM和NTLM身份验证,如果服务器支持的话,还使用NTLMv2会话安全。域控制器接受LM、NTLM和NTLMv2身份验证。•仅发送NTLM响应。客户端只使用NTLM身份验证,如果服务器支持的话,还使用NTLMv2会话安全。域控制器接受LM、NTLM和NTLMv2身份验证。•仅发送NTLMv2响应。客户端仅使用NTLMv2身份验证,如果服务器支持的话,还使用NTLMv2会话安全。域控制器接受LM、NTLM和NTLMv2身份验证。•仅发送NTLMv2响应\拒绝LM。客户端仅使用NTLMv2身份验证,如果服务器支持的话,还使用NTLMv2会话安全。域控制器拒绝LM(只接受NTLM和NTLMv2身份验证)。•仅发送NTLMv2响应\拒绝LM和NTLM。客户端仅使用NTLMv2身份验证,如果服务器支持的话,还使用NTLMv2会话安全。域控制器拒绝LM和NTLM(只接受NTLMv2身份验证)。这些设置与其他Microsoft文档中讨论的级别相对应,如下所示:•级别0–发送LM和NTLM响应;从不使用NTLMv2会话安全。客户端使用LM和NTLM身份验证,从不使用NTLMv2会话安全。域控制器接受LM、NTLM和NTLMv2身份验证。•级别1–若协商使用NTLMv2会话安全。客户端使用LM和NTLM身份验证,如果服务器支持的话,还使用NTLMv2会话安全。域控制器接受LM、NTLM和NTLMv2身份验证。•级别2–仅发送NTLM响应。客户端只使用NTLM身份验证,如果服务器支持的话,还使用NTLMv2会话安全。域控制器接受LM、NTLM和NTLMv2身份验证。•级别3–仅发送NTLMv2响应。客户端使用NTLMv2身份验证,如果服务器支持的话,还使用NTLMv2会话安全。域控制器接受LM、NTLM和NTLMv2身份验证。•级别4–域控制器拒绝LM响应。客户端使用NTLM身份验证,如果服务器支持的话,还使用NTLMv2会话安全。域控制器拒绝LM身份验证,即,它们接受NTLM和NTLMv2。•级别5–域控制器拒绝LM和NTLM响应(只接受NTLMv2)。客户端使用NTLMv2身份验证,如果服务器支持的话,还使用NTLMv2会话安全。域控制器拒绝NTLM和LM身份验证(它们只接受NTLMv2)。漏洞:Windows 2000、Windows Server 2003和Windows XP客户端在默认情况下均配置为发送LM和NTLM身份验证响应(Windows 9x客户端只发送LM)。服务器的默认设置允许所有的客户端都向服务器验证身份并使用服务器上的资源。但是,这意味着LM响应(一种最弱的身份验证响应)通过网络进行发送,而且攻击者有可能嗅探该通信,以便更容易地再现用户的密码。
windows系统安全10,11,12(组策略,安全配置和安全审计)
★
1 Windows设置(了解)
脚本:含有计算机特殊脚本的信息
启动和关闭脚本存在于计算机配置节点中 登录和注销脚本存在于用户配置节点中
安全设置:
含有登录到计算机的所有用户的安全设置
目录重定向:
可以重定向My Documents、应用数据桌面及开始菜单等文件夹到 网络上一个可选的位置。
链接到站点、域或组织单元(不包括本地)的任何一个 组策略对象都可以使用该选项,来防止随后处理的组策 略对象覆盖该组策略对象中的所有策略设置。 如果有多个组策略对象设置为”禁止替代“时,那么就 会优先采用在活动目录层次结构中处于更高层的那一个。
2 禁用部分配置 (组策略对象GPO属性上设置)
GPO可以禁用其用户设置,计算机设置或所有设 置,默认情况下,在GPO上,两者都不禁用。
组策略与活动目录的结合
如果组策略与活动目录联合使用,则可实现策略的集中 与分散管理,适应从小到大的各种规模。 组策略管理单元提供了管理组策略的集成工具,并提供 了对“AD用户和计算机““AD站点和服务 插件等 MMC管理工具的扩展。”
组策略的设置对象
Domain GPO Site GPO
组策略的实现
将GPO链接到指定的站点、域或组织单元
“AD用户和计算机管理控制台””选择AD对象”“属 性””组策略””添加”
禁用组策略的计算机配置或用户配置
可禁用组策略中的计算机配置或者用户配置
打开”组策略管理单元”选择组策略对象”属 性””常规””禁用”
指定组策略对象的特殊应用顺序和继承(1)
管理模扳主要修改以下两个注册表树的值
组策略设置系列之“安全选项”
账户管理
限制不必要的账户创建和 删除,定期清理不活跃账 户,以减少潜在的安全风 险。
本地策略配置注意事项及建议
文件和目录权限
合理设置文件和目录的权限,确保只有授权用户能够访问和修改 相关资源。
审核策略
启用审核策略,对重要操作进行记录和监控,以便及时发现和应对 安全事件。
组策略作用
组策略可以用于配置系统安全、 软件安装、桌面配置等,帮助系 统管理员实现统一的计算机管理 ,提高系统安全性。
组策略在Windows系统中的地位
核心管理工具
组策略是Windows系统中的核心管理 工具之一,它提供了丰富的配置选项 ,可以对系统进行全方位的管理。
高级管理功能
组策略拥有许多高级管理功能,如软 件安装、脚本执行、安全设置等,是 其他管理工具所无法替代的。
案例分析
例如,某公司需要监控员工对敏感文件的访问情况,以防止数据泄露。通过审核策略, 可以记录员工的文件访问行为,并在出现异常情况时及时告警。
05
安全选项配置注意事项及建议
账户策略配置注意事项及建议
01
02
03
密码策略
设置密码策略,包括密码 长度、复杂度、更换频率 等,以增强账户安全性。
账户锁定
04
安全选项应用场景及案例分析
账户策略应用场景及案例分析
应用场景
账户策略用于管理用户账户,包括创建、修改、删除账户以及设置账户权限等。
案例分析
例如,某公司需要为员工创建账户,并设置不同的权限级别,如管理员、普通用户等。通过账户策略 ,可以批量创建和修改账户,提高管理效率。
本地策略应用场景及案例分析
服务器组策略限制目录权限的安全设置
还在为网站被入侵。
导致可以被人运行可执行文件而烦恼嘛?
对于一个web目录来说。
根本不需要运行可执行文件的权限。
这里教大家一种方法。
利用gpedit.msc(组策略)禁止目录执行某些文件。
首先:
运行-----输入gpedit.msc ----计算机配置---windows 设置----安全设置↓
----软件限制策略(如果旁边没有什么东西。
点右键创建一个策略)---其他规则
----(点右键)新建立一个路径规则(p)。
如图1:
这样d:\wwwroot\目录就无法执行任何文件了。
不管你是什么权限。
即使是system都无法执行。
这样大大的提高了被使用exp提升权限的安全性。
当然这里提一个思路。
大家都知道c:\windows\temp\是临时文件夹。
基本都是所有用户都可以写的。
它是不需要执行权限的。
当然我们这里可以给他加一个规则。
让c:\windows\temp\无执行权限。
方法如上。
组策略安全方案范文
组策略安全方案组策略(Group Policy)是Windows系统中一种非常重要的管理工具,通过它可以对计算机、用户等对象进行集中管理和配置。
然而,组策略的不当使用或者被恶意利用,可能会对系统安全造成严重威胁。
因此,为了保障系统安全,需要制定相应的组策略安全方案。
组策略的安全风险组策略曾经被公认为是一种安全可靠的管理工具,但随着组策略的广泛应用和恶意攻击的不断增加,它也成为了一种被攻击的目标。
下面是一些组策略的安全风险:1.组策略不当配置:如果组策略没有经过充分的测试或者没能正确配置,可能会导致系统不稳定,或者让攻击者利用其漏洞实现攻击。
2.组策略滥用:某些管理员或者攻击者可能会利用组策略的特性,在没有权限的情况下访问敏感数据或者实现非法操作。
3.组策略被篡改或者恶意注入:攻击者可能会通过篡改或者恶意注入在组策略中插入恶意代码,并通过命令控制系统。
组策略的安全防护为了加强组策略的安全性,我们可以从以下几个方面出发:1. 控制权限不同的用户和计算机需要不同的组策略权限。
因此,在配置组策略时应该根据实际情况合理控制组策略的访问权限。
特别是对于敏感的组策略操作,应该对其访问进行限制。
2. 防止滥用为了防止管理员或者恶意攻击者滥用组策略,可以通过以下方法实现:•开启审计:可以记录每个管理员或者攻击者对组策略进行的操作,这有助于监控和溯源。
•加强密码保护:管理员在进行组策略操作时,应该使用复杂密码,并避免将口令暴露在不安全的环境中。
•实现访问控制:通过实现组策略访问控制列表(ACL)来控制用户的访问权限。
只有经过授权的用户才能访问组策略。
3. 加强防护为了防止组策略被攻击者利用,可以在以下方面加强组策略的安全防护:•加密传输:对于敏感的组策略信息,应该采用加密方式传输,避免被中间人攻击截获。
•防病毒和恶意软件:管理员应该及时升级防病毒软件,并进行全面扫描,避免病毒和恶意软件对组策略的破坏和攻击。
•对组策略进行备份:在对组策略进行修改前,应该先进行备份,以便在意外情况下对数据进行恢复。
组策略设置系列之“安全选项”
VS
软件限制策略基于软件发布者的数字 签名进行验证,确保软件来源可靠并 经过授权。通过阻止未签名的软件或 来自不受信任的发布者的软件,可以 降低系统面临的安全风险。
软件限制策略的配置步骤
打开组策略编辑器(gpedit.msc),定 位到“计算机配置”或“用户配置”下 的“策略”文件夹。
配置完成后,保存并退出组策略编辑器 。
配置密码策略
在组策略编辑器中,可以配置密 码策略的相关设置,如密码长度 、密码复杂性和密码过期时间等 。这些设置可以根据组织的需求 进行调整,以达到更好的安全性 。
密码策略的适用场景
密码策略适用于需要提高账户安 全性的场景,例如企业网络、学 校网络或政府机构等。通过实施 密码策略,可以降低密码破解的 风险,保护用户的个人信息和计 算机资源。
组策略在Windows系统中的作用
安全配置
通过组策略可以设置各种安全选项, 如账户策略、本地策略、公钥策略等 ,以增强系统的安全性。
脚本配置
组策略可以配置启动脚本和关机脚本 ,以实现自动化任务。
01
02
软件安装与卸载
管理员可以利用组策略来部署和卸载 软件,实现软件的统一分发和管理。
03
桌面配置
组策略可以定制用户桌面的外观和行 为,如桌面背景、图标、开始菜单等 。
密码策略
通过设置密码策略,可以控制账户密 码的复杂性和长度,以及密码过期和
重置的规则。
账户锁定策略
账户锁定策略可以防止暴力破解和恶 意攻击,通过设置账户登录失败次数
和锁定时间来保护账户安全。
本地策略详解
本地策略概述
01
Hale Waihona Puke 本地策略是指针对本地计算机的安全设置和管理规则
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
组策略与安全设置系统管理员可以通过组策略的强大功能,来充分管理网络用户与计算机的工作环境,从而减轻网络管理的负担。
组策略概述组策略是一个能够让系统管理员充分管理用户工作环境的功能,通过它来确保用户拥有应有的工作环境,也通过他来限制用户。
因此,不但可以让用户拥有适当的环境,也可以减轻系统管理员的管理负担。
组策略包含计算机配置与用户配置两部分。
计算机配置仅对计算机环境产生影响,而用户设置只对用户环境有影响。
可以通过以下两个方法来设置组策略。
●本地计算机策略:可以用来设置单一计算机的策略,这个策略内的计算机配置只会背应用到这台计算机,而用户设置会被应用到在此计算机登陆的所有用户。
●域的组策略:在域内可以针对站点,域或组织单位来设置组策略,其中,域组策略内的设置会被应用到域内的所有计算机与用户,而组织单位的组策略会被应用到该组织单位内的所有计算机与用户。
对添加域的计算机来说,如果其本地计算机策略的设置与域或组织单位的组策略设置发生冲突,则以域或组织单位组策略的设置优先,也就是此时本地计算机策略的设置值无效。
本地计算机策略实例演示以下利用未加入域的计算机来练习本地计算机策略,以免受到域策略的干扰,造成本地计算机策略的设置无效,因而影响到验证实验结果。
计算机配置实例演示当我们要将Windows Server2012 计算机关机时,系统会要求我们提供关机的理由,以下实例完成后,系统就不会在要求你说明关机理由了。
开始运行中输入gpedit.msc-计算机配置-管理模板-系统-显示“关闭事件跟踪程序“-单击已禁用以后关机或重启计算机时,系统都不会再询问了。
注:请不要随意更改计算机配置,以免更改可能影响系统正常运行的设置值。
用户配置实例演示以下通过本地计算机策略来限制用户工作环境:删除客户端浏览器IE内Internet选项的安全和连接标签。
也就是经过以下设置后,浏览器内的安全和连接标签消失了。
用户配置-管理模板-windows组件-IE-ie控制面板-禁用连接页和禁用安全页设置为启用,此设置会立即应用到所有用户。
域组策略实例演示虽然在域内可以针对站点,域或组织单位来设置组策略,但是以下内容将仅针对常用的域与组织单位进行说明。
组策略基本概念如图,可以针对来设置组策略,此策略设置会被应用到域内所有计算机与用户,包含图中组织单位业务部内所有计算机与用户。
还可以针对组织单位业务部设置组策略,此策略会应用到该组织单位内所有计算机与用户。
由于业务部会继承域contoso的策略设置,因此业务部最后的有效设置是域contoso的策略设置加上业务部的策略设置。
如果业务部的策略设置与域的策略设置发送冲突,默认以业务部的策略设置优先。
组策略是通过GPO进行设置的,当讲GPO链接到域或组织单位业务部后,此GPO设置值就会被应用到域或组织单位业务部内所有用户与计算机。
系统已经内置了两个GPO,他们分别如下所示。
●Default Domain Policy:此GPO已经被连接到域,因此这个GPO内的设置值会被应用到域内的所有用户与计算机。
●Default Domain Controllers Policy:此GPO已经被连接到组织单位DomainControllers,因此这个GPO的设置值会被应用到Domain Controlers内的所有用户与计算机。
Domain Controllers 内默认只有扮演域控制器角色的计算机。
也可以针对业务部创建多个GPO,此时这些GPO中的设置会合并起来应用到业务部内的所有用户与计算机。
如果这些GPO内的设置发送冲突,则以排列在前面的优先。
域主策略实例演示1-隐藏Windows防火墙以下假设要针对业务部内的所有用户进行设置,并设置让这些用户登录后,其控制面板内的windows防火墙自动被删除。
我们要创建一个链接到组织单位业务部的GPO,并且通过此GPO内的用户设置进行设置。
1.打开组策略管理2.展开组织单位业务部-选中物业部并单击鼠标-在这个域中创建GPO并在此处链接。
注:在图中可以看到内置GPO请不要随意更改这两个GPO的内容,以免影响系统的正常运行。
可以对着组织单位单击鼠标右键后选择阻止继承,表示不要继承域策略设置。
也可以对着域GPO(例如Default Domain Policy)单击鼠标右键选择强制,表示域下的组织单位必须继承此GPO设置,无论组织单位是否选择阻止继承。
1.为此GPO命名(假设是测试用的GPO)2.选择GPO右键编辑3.展开用户配置-策略-管理模板-控制面板-隐藏指定的控制面板项-勾选已启用-单击显示-输入Windows防火墙(windows与防火墙之间有个空格)4.到客户端计算机上利用业务组内任意账户登录打开控制面板-系统和安全,可以看到windows防火墙没有出现。
域组策略实例演示2-限制可执行文件的运行假设要针对业务部内的所有计算机(图中只有一台计算机)进行设置,并且禁止所有用户在这些计算机上运行浏览器IE。
我们将利用前一个实例创建的测试用GPO来练习。
我们要通过图中组织单位业务部内的计算机PC1进行练习,如果要练习的计算机在Computer容器,将其移动到组织单位业务部(请不要移动位于Domain Controlles内的域控)。
APPLocker基本概念我们将利用APPLocker功能来阻止IE。
AppLocker可以让你针对不同类别的程序来设置不同的规则,它共分为以下5大类别。
●可执行文件规则:适用于.exe与.com程序。
●Windows安装程序规则:适用于.msi.msp.mst程序。
●脚本规则:适用于.ps1 .bat .cmd .vbs .js程序。
●已封装的应用程序规则:适用于.appx程序(windows应用商店的程序)。
●DLL规则:适用于.dll .ocx程序。
注:支持AppLocker的域成员:Win8Sta/Ent/Pro,Win7ult/Ent,Win2012 Data/Sta,Win 2008R2 Data/Ent/Sta。
如果要针对Win XP等旧客户端来封锁,请利用软件限制策略。
域组策略与AppLocker 实例演示Win8 可以通过菜单中IE来打开浏览器,默认位置pro file\ie\ie.exe中。
以下范例将禁用ie.exe,但是不阻止其他动态磁贴程序。
1.编辑测试用GPO。
2.计算机配置-策略-Windows设置-安全设置-应用程序控制策略-AppLocker-选中可执行规则并单击鼠标右键-创建默认规则。
注:一旦创建规则后,凡是未在规则内的执行文件都会被阻止,因此我们需要先通过此步骤来创建默认规则,这些默认规则允许普通用户执行Program Files与Windows文件夹内的所有程序,允许系统管理员执行所有程序。
3.右侧的3个允许规则是前一个步骤所创建的默认规则,接着选中可执行规则并右键-创建新规则注:因为DLL规则会影响系统性能,并且如果没正确设置,还可能造成意外事件,因此默认并没有显示DLL规则,除非通过选择AppLocker并右键-属性-高级的方法进行选择。
4.默认一路下一步,到选择路径。
注:如果程序已经签署,还可以根据发布者进行设置,也就是拒绝,允许指定发布者签署,也可以通过文件哈希进行设置,此时系统会计算程序的哈希值,客户端用户执行程序时,客户端计算机也会计算其哈希值,只要哈希值与规则内的程序相同,就会被拒绝执行。
5.选择浏览文件,IE路径然后一路下一步。
注:由于每台客户端计算机的IE安装文件夹可能不同,因此系统自动将C:\Programme Files改为变量表示法%PROGRAMFILES%。
6.完成后的界面7.一旦创建规则后,凡是未列在规则内的执行文件都会被阻止,虽然我们是在可执行规则处创建规则,但是已封装的应用程序也会被阻止(例如气象,等应用商店磁贴),因此我们还需要在封装应用规则处来开发已封装的应用程序,只要通过创建默认规则来开放即可:选择封装应用规则-创建默认规则,此默认规则会开放所有已签署的已封装的应用程序。
注:不需要在Windows安装程序规则与脚本规则类别中创建默认规则,因为他们没有受到影响。
8.客户端需要启动Application Identity服务才享有Applocker功能。
可以到客户端计算机来启动此服务,或者通过GPO为客户端进行设置。
9.重启PC1,然后利用普通账户登录。
(生效貌似比较慢,我在做这个实验的时候还检查了半天怎么不生效,等了会才好。
)AppLocker的补充说明如果在规则类别内创建了多个规则,其中有的是允许规则,有的是拒绝规则,则AppLocker在处理这些规则时以拒绝规则优先,至于没有列在规则内的应用程序一律拒绝其执行。
另外当我们在组织单位业务部内的GPO通过AppLocker规则来限制计算机执行程序后,一般而言,等这个规则应用到客户端计算机后就生效,但也有一些特殊情况,因为它还与规则强制设置有关。
规则强制设置分为未配置,强制规则与仅审核3种,默认是未配置,下图状态都显示为未配置强制:强制规则。
冒号前面的未配置强制表示他们的规则强度设置都是未设置,而未配置的规则类别默认会被设置为强制规则。
如果要更改规则强制设置,请单击上图右侧上方的配置规则强制,然后再下图的对话框中针对不同的规则类别进行勾选,并且可以选择仅审核,仅审核会审核用户执行程序的行为,但是不会强制,也就是用户不会受到规则的限制,但是系统会在AppLocker 事件日志中记录。
只可以对整个类别设置规则强制,无法单独对单一规则进行设置。
如果组织单位业务部有多个GPO,这些GPO的AppLocker规则会合并应用到业务部内的计算机。
如果组织单位业务部上层的域处也设置规则,则这些规则也会合并到业务部计算机。
如果业务部的规则强制设置为未配置,当上层域已设置,则会继承设置。
不过,如果业务部规则强制已设置,无论上层域处的规则设置为何,业务规则设置就是其本身。
组策略例外排除前面测试过用组策略来禁用Windows防火墙,但是也可以让此GPO不要应用到特定用户,例如业务部经理Paul,这样他就仍然可以使用Windows防火墙。
这个操作被称为组策略筛选。
组织单位业务部内的用户,默认都会应用该组织单位的所有GPO设置,因为他们对这些GPO都具备有读取与应用组策略权限,已测试用的GPO为例,可以通过,单击测试用GPO的委派-高级按钮的方法得知Authenticated Users具有这两个权限。
如果不想将此GPO设置应用到用户Paul,只要单击添加,选择用户Paul,然后将Paul 的这两个权限设置为拒绝即可。
本地安全策略我们可以利用本地计算机策略中的安全设置或管理工具-本地安全策略的方法来确保计算机的安全,这些设置包含密码策略,账户锁定策略与本地策略等。