ou策略优先于域策略,密码策略例外(将应用域策略)
受限制的安全组
注册表权限
文件系统权限
系统服务权限
日志文件权限
受限制的组选项
指定某组的成员,则该组始终是该成员,不会添加减少。
注册表选项
可指定只能注册表权限,不能更改
文件系统选项
可对某文件夹权限进行设置,不能更改
设置审核策略
确定计算机审核策略开启
哪些需要审核
成功/失败事件
确定需要的跟踪
定期检查日志
配置审核最佳实践
在"目录服务访问类"中,审核成功事件
在"对象访问"中,审核成功事件
在"系统事件"中,审核成功和失败事件
在DC上的"策略更改"中,审核成功和失败事件
在"帐户管理"中,审核成功和失败事件
在"登陆"中,审核成功事件
在DC上的"帐户登陆事件"中,审核成功事件
软件限制策略:
unrestricted(不受限制)
disallowed(不允许)
病毒不可限制,因为有可能是系统权限!
软件限制策略不可保护:
驱动程序/宏/核心程序/系统帐户运行的程序
软件限制策略规则
路径规则(通配符、路径可用环境变量,如%systemroot%)
检查dll将降低性能并忽略本地管理员
