2021年4月6日 星期二

GPO-群組原則-安全性原則設定

安全性原則設定

適用對象:

Windows 10

此參考主題說明安全性設定常見的案例、架構及程式。

安全性原則設定是系統管理員為保護裝置或網路上資源之目的,在電腦上或多個裝置上設定的規則。 本機群組策略編輯器管理單元的安全性設定擴充功能可讓您將安全性設定定義為群組原則物件或 GPO (的一) 。 GPO 會連結至 Active Directory 容器 ,例如網站、網域或組織單位,而且它們可支援您管理從任何加入網域的裝置所建立之多個裝置的安全性設定。 安全性設定策略會做為整體安全性的一部分,協助保護您組織的網域控制站、伺服器、用戶端和其他資源。

安全性設定可以控制:

  • 網路或裝置的使用者驗證。
  • 允許使用者存取的資源。
  • 是否要在事件記錄中記錄使用者或群組的動作。
  • 群組中的成員資格。

若要管理多個裝置的安全性配置,您可以使用下列其中一個選項:

  • 編輯 GPO 中的特定安全性設定。
  • 使用安全性範本管理單元來建立包含要申請安全性原則的安全性範本,然後將安全性範本導入群組原則物件。 安全性範本是代表安全性配置的檔案,可以將其導入 GPO、應用程式至本地裝置,或用來分析安全性。

有關管理安全性設定的資訊,請參閱 管理安全性原則設定

Local Group Policy 編輯器的安全性設定擴充功能包含下列類型的安全性原則:

  • 帳戶原則。 這些策略在裝置上定義;會影響使用者帳戶與電腦或網域互動的方式。 帳戶原則包括下列類型的政策:

    • 密碼原則。 這些策略會決定密碼的設定,例如強制執行和生命週期。 密碼原則會用於網域帳戶。
    • 帳戶鎖定政策。 這些策略會決定帳戶將鎖定在系統外的條件和時間長度。 帳戶鎖定政策適用于網域或本地使用者帳戶。
    • Kerberos 策略。 這些策略適用于網域使用者帳戶;它們決定 Kerberos 相關設定,例如票證生命週期和強制執行。
  • 本地策略。 這些原則適用于電腦,並包含下列原則設定類型:

    • 稽核政策。 指定安全性設定,以控制將安全性事件記錄到電腦的安全性記錄,並指定要記錄 (成功、失敗或兩者均) 。

 

GPO-重設帳戶鎖定計數器的時間

參考

設定 後 重設帳戶鎖定計數器會決定從使用者無法登入起所經過的分鐘數,再將失敗的登入嘗試計數器重設為 0。 如果 帳戶鎖定閾值 設為大於零的數值,此重設時間必須小於或等於 帳戶鎖定持續時間的值。
高設定的缺點是,如果使用者透過登入錯誤超過帳戶鎖定閾值,會鎖定自己一段不方便的時間。 使用者可能會撥打過多電話給服務台。

可能值

使用者定義的分鐘數,從 1 到 99,999

最佳做法

判斷貴組織的威脅等級,並針對密碼重設,與技術支援人員支援的成本進行平衡。 每個組織都會有特定需求。
Windows 安全性比較基準建議在原則**** 設定為 15 之後設定重設帳戶鎖定計數器,但與其他帳戶鎖定設定一樣,此值比規則或最佳做法更符合指導方針,因為沒有「一個大小適合所有」。 詳細資訊,請參閱設置帳戶鎖定。
位置
電腦設定\Windows 設定\安全性設定\Account Policy\Account Lockout 策略
Or
電腦設定\原則\Windows 設定\安全設定\帳戶原則\帳戶鎖定原則


預設值
下表列出實際及有效的預設策略值。 預設值也會列在策略的屬性頁面上。
預設值
GPO 伺服器類型或群組原則物件 (GPO) 預設值
預設網域策略 未定義
預設網域控制站策略 未定義
獨立伺服器預設設定 不適用
網域控制站的有效預設設定 未定義
成員伺服器有效預設設定 未定義
用戶端電腦的有效預設設定 不適用
安全性考量
本節說明攻擊者如何惡意探索功能或其設定、如何實作因應對策,以及實作因應對策可能的負面後果。

弱點

如果使用者多次輸入密碼錯誤,可能會不小心將自己鎖定在帳戶外。
因應對策
Windows 安全性比較基準建議將策略**** 設定為 15 之後,將帳戶鎖定計數器設定為 15。

可能的影響
如果您沒有設定此策略設定,或是值設定為太長的時間間隔,攻擊者可能會嘗試登入每個使用者的帳戶數次並鎖定其帳戶,則拒絕服務 (DoS) 攻擊可能會成功,或者系統管理員可能必須手動解除鎖定所有鎖定的帳戶。 如果您將這個策略設定為合理的值,使用者可以在合理的時間內,在登入失敗後執行新的登入嘗試,而不會讓強權攻擊在高速下可行。 請務必將此策略設定所使用的值通知使用者,讓使用者等候鎖定計時器到期,再打電話給技術支援人員。

# Windows Server 2019 default: 30


https://docs.microsoft.com/zh-tw/windows/security/threat-protection/security-policy-settings/reset-account-lockout-counter-after

如何查看主機跟NAS連線的指令?

windows的VM或主機可以下 net use 或是 Get-SmbConnection 看有沒有關於連線到NAS storage的資訊. ================================================ 對於linux VM或主機可以下 net...