我们启用了许多重要的设置(更改密码、屏幕锁定等),但我确信我们还可以启用更多真正有用的设置。
如有任何建议,我们将不胜感激...特别是在安全领域。
答案1
以上通常是起点
计算机政策:
- 审查帐户政策/审计政策
- 审查本地政策/用户权限分配
- 本地策略/安全选项/关机/关机:清除虚拟内存页面文件 = 已启用
- 系统服务\Messenger\启动模式 = 已禁用
- 公钥策略/加密文件系统/允许用户使用 EFS 加密文件 = 禁用(除非您拥有 PKI 和允许解密的帐户)
用户政策:
- 查看管理模板\控制面板
- 管理模板\系统\防止访问注册表编辑工具=已启用
- 管理模板\系统\阻止访问命令提示符=已启用
还有许多更有用和更重要的,但这些涵盖了 XP/Vista/2003 的大部分问题。这听起来很痛苦,但您唯一能做的就是确保将最新的 .adm 文件加载到组策略管理控制台,并逐一检查每个文件,根据业务需求做出决定。
答案2
经常被忽视的 Windows 设置/Internet Explorer 维护/URL/收藏夹和链接/ - 包含所有公司链接(“帮助台票证”链接不能丢失,这对我的理智至关重要)。
服务器 OU- 我的大多数 GPO 都与使我的 RDC 会话与服务器更加一致、实用和简单有关。
管理模板/Windows 组件/终端服务/客户端/服务器数据重定向/不允许 LPT 端口重定向...使驱动程序安装失败垃圾邮件排除在我的事件日志之外。
登录时强制使用 bginfo(来自 Sysinternals)- 在桌面上绘制服务器/ip/等名称。任何可以帮助我避免(再次)在错误的服务器上重新启动/更改设置的东西。
管理模板/开始菜单和任务栏 - 删除气球提示、删除...关机(我希望将其保留在命令行)、删除搜索/帮助。
笔记:不是要侮辱任何人的智商,但要确保你使用的是组策略管理控制台(如果是 2003,SP 特定)而不是糟糕的内置界面。
这杰里米·莫斯科维茨的书对我帮助很大。
答案3
管理模板/系统/互联网通信管理 - 其中有很多您可能想要禁用的东西。
管理模板/桌面/禁止用户更改我的文档路径 - 哦是的。
否则,我已经从把一切都控制得严谨变成了相当宽松。毕竟,技术应该赋予人们力量,虽然你可以禁用诸如“开始菜单”右键单击之类的功能,但你真正从中得到了什么呢?
最后,永远不要忘记:政策不等同于安全。