降龍十八掌第九式——或躍在淵：使Windows XP同步處理組策略

1、Windows XP默認是異步處理組策略
無需等網絡響應（XP應用過GPO就會在本地有個緩存的），這種異步處理方式大大縮短了XP客戶端所需要的引導與登錄時間，可是處理文件夾重定項等都會有延遲，這將會影響到排錯。
2、Windows 2000默認是同步處理組策略
3、我們應該：
（1）不想讓操作系統來決定組策略的處理方式
（2）也不想其它因素影響排錯
4、這個策略的位置在：計算機配置>管理模板>系統>登錄>計算機啟動和登錄時總是等待網絡（這個啟用后，XP就使用同步處理的方式，這樣應用GPO就不會有延遲了）

降龍十八掌第十式——神龍擺尾：使用GPO命名慣例

1、保證GPO的一致性，并保證容易理解（創建GPO的管理員越多，一致性越差）
2、使用簡潔的名字描述GPO的意圖
3、微軟使用的命名慣例：
三個關鍵字符：
范圍（end user最終用戶,worldwide全部,IT）
目的
誰管理
示例：IT-office2003-ITG

降龍十八掌第十一式——魚越于淵：為新的帳戶指定策略

1、默認情況下，所有新的帳戶在cn=Users或cn=Computers（GPO不能鏈接到這些容器）
2、如果有Windows 2003域：
（1）在域中使用“redirusr.exe”和“redircmp.exe”指定所有新計算機/用戶帳戶創建時的默認OU
（2）允許使用組策略管理新創建的帳戶
3、要求Windows 2003域的功能級別為Windows 2003
4、參考KB#324929

降龍十八掌第十二式——見龍在田：怎么才能阻止用戶訪問特定的驅動器（E：、F：、G：、H：、.etc）?

1、組策略中包含的設置
用戶配置>管理模板>windows組件>windows資源管理器>防止從“我的電腦”訪問這些驅動器（要不就是所有，要不就是ABCD四個）
2、不能禁用其他的驅動器
3、自定義管理模板或使用GPDriveOptions

降龍十八掌第十三式——雙龍取水：密碼存儲安全

1、windows 使用兩種不同的密碼表示方法（通常稱為“哈希”）生成并存儲用戶帳戶密碼
（1）當您將用戶帳戶的密碼設置或更改為包含少于15位字符的密碼時，windows會為此密碼同時生成LAN Manager哈希（LM哈希）和windows NT哈希（NT哈希）
（2）這些哈希存儲在本地安全帳戶管理器（SAM）數據庫或Active Directory中。
（3）與NT哈希相比，LM哈希相對較弱，因此容易遭到暴力攻擊。
（4）考慮阻止windows 存儲密碼的LM哈唏
2、不允許存儲LM哈希值（windows XP或windows server2003）
（1）計算機配置>windows設置>安全設置>本地策略>安全選項>網絡安全：不要在下次更改密碼時存儲LAN Manager哈希值。
（2）有些產品或者應用程序依賴于LM哈唏（Win9x沒有安裝活動目錄客戶端和第三方SMB客戶端例：samba）.
3、參考KB 299656

降龍十八掌第十四——時乘六龍：清空上次登錄的用戶名

1、如果便攜電腦被盜，盜竊者需要猜測兩個部分（用戶名、密碼）
2、計算機配置>windows設置>本地策略>安全選項>交互式登錄：不顯示上次登錄名
具體應用場景：臺式機設置不顯示上次登錄名的必要性小點，主要是針對便攜式計算機，可以給便攜式計算機建個OU，設置不顯示上次登錄用戶名的策略。

降龍十八掌第十五式——密云不雨：面對密碼猜測

1、使用清空上次登錄的用戶名技巧
2、最好能布置監視的工具（最佳技巧）
（1）不要實現帳戶鎖定策略（別人就可以利用腳本進行不停的猜測密碼，這就會形成一種拒絕服務攻擊，讓所有域用戶帳戶鎖定），集中在面對密碼猜測的響應。
（2）如果可能，在特定的周期內對大量的密碼猜測讓系統自動響應（找出猜密碼的人，而進一步做處理）。
2、如果沒有監視工具
（1）考慮使用帳戶鎖定策略
（2）增加了管理上的負擔
（3）接受DOS攻擊（通過隱藏上次的登錄名減少攻擊）

降龍十八掌第十六式——損則有孚：創建登錄警報

1、通常用于實現通知用戶他們使用的系統屬于公司并且他們系統被監視。
2、計算機配置>windows設置>本地策略>安全選項>交互登錄：用戶試圖登錄時的消息文字
3、消息文字中提示的內容可以做也可以不去做一但是使用消息文字，最起碼可以讓你的老板知道您正在做您的份內工作。

降龍十八掌第十七式——履霜冰至：嚴格控制Default Domain controllers Policy用戶權利

位置：Default Domain Controllers Policy>計算機配置>Windows設置>安全設置>本地策略>用戶權限指派

降龍十八掌第十八式——抵羊觸藩：限制匿名枚舉

匿名枚舉：黑客不用提交用戶名和密碼，他只要能通過命名管道（IPC$）能連闖上來，他就可以通過匿名的方式列出來我這電腦有那些用戶，有那些共享，這就對域控制器非常危險的。
1、匿名枚舉允許非授權的客戶端請求信息
（1）域成員列表
（2）列出可用的共享
2、Default Domain Controllers Policy>計算機配置>Windows設置>安全設置>本地策略>安全選項>網絡訪問
（1）允許匿名SID/名稱轉換（防止用戶使用已知的SID猜測管理員的用戶名）
（2）不允許SAM帳戶的匿名枚舉（防止匿名用戶從SAM數據庫收集信息）
（3）不允許SAM帳戶和共享的匿名枚舉（防止匿名用戶從SAM數據庫收集信息并枚舉共享）
（4）讓每個人的權限應用于匿名用戶（用戶控制是否讓匿名用戶具有和everyone一樣的權利）
（5）限制匿名訪問的命名管道/共享（控制匿名用戶是否能訪問共享資源）

（以上為使用組策略的一些技巧其中的“降龍十八掌”希望對大家有所幫助，下面我在奉獻三招“獨孤九劍”）

獨孤九劍第一招“總訣式”：關機清理頁面文件
1、頁面文件中存放著很多有用的信息，像臨時倉庫
2、創建/清理硬盤上的虛擬內存頁面文件將增加開機和關機時間
3、這是一個安全考慮（建議無論是DC還是客戶端都應啟用這個策略）
位置：計算機配置>Windows設置>安全設置>本地策略>安全選項>關機：清除虛擬內存頁面文件

獨孤九劍第二招是“破劍式”：打開審核和更改日志文件大小
1、改變所有日志文件大小為10MB+
（1）計算機配置>Windows設置>安全設置>事件日志>[日志名字]日志最大值
（2）為每個節點設置保持方法。建議方法：不要覆蓋事件（手動清除日志）
2、禁用如果無法記錄安全審核則立即關閉系統（例：Windows設置的日志大小是200M，經過一段時間，日志寫滿了，那服務器就會自動關機的）
計算機配置>Windows設置>安全設置>本地策略>安全選項>審核：如果無法記錄安全審核則立即關閉系統
最佳實踐

（只有啟用“帳戶登錄”事件才記錄用戶從客戶端登錄的事件）

獨孤九劍第三招“破刀式”：強制使用LM離開您的網絡
1、網絡中使用哈唏做身份驗證的若干種方法
（1）LM：非常脆弱，很容易被sniffer捕獲到口令
（2）NTLM v1：比LM安全，但仍然容易被攻擊
（3）NTLM v2：較安全，但是不被以前的客戶端支持
（4）Kerberos：非常安全，不被以前的客戶端支持
2、有些產品依賴于LM哈唏
（1）Win9x（沒有安裝活動目錄客戶端）
（2）第三方的SMB客戶端（samba）
3、設置合適的LM兼容級別
Default Domain Controllers Policy>計算機配置>Windows設置>安全設置>本地策略>安全選項>網絡安全：LAN Manager身份驗證級別（建議設定不在支持LM）
4、參考KB 239869