ou策略優(yōu)先于域策略,密碼策略例外(將應用域策略)
受限制的安全組
注冊表權(quán)限
文件系統(tǒng)權(quán)限
系統(tǒng)服務權(quán)限
日志文件權(quán)限
受限制的組選項
指定某組的成員,則該組始終是該成員����,不會添加減少。
注冊表選項
可指定只能注冊表權(quán)限����,不能更改
文件系統(tǒng)選項
可對某文件夾權(quán)限進行設置����,不能更改
設置審核策略
確定計算機審核策略開啟
哪些需要審核
成功/失敗事件
確定需要的跟蹤
定期檢查日志
配置審核最佳實踐
在"目錄服務訪問類"中,審核成功事件
在"對象訪問"中����,審核成功事件
在"系統(tǒng)事件"中�����,審核成功和失敗事件
在DC上的"策略更改"中�����,審核成功和失敗事件
在"帳戶管理"中�����,審核成功和失敗事件
在"登陸"中�����,審核成功事件
在DC上的"帳戶登陸事件"中����,審核成功事件
軟件限制策略:
unrestricted(不受限制)
disallowed(不允許)
病毒不可限制�����,因為有可能是系統(tǒng)權(quán)限����!
軟件限制策略不可保護:
驅(qū)動程序/宏/核心程序/系統(tǒng)帳戶運行的程序
軟件限制策略規(guī)則
路徑規(guī)則(通配符�、路徑可用環(huán)境變量�����,如%systemroot%)
檢查dll將降低性能并忽略本地管理員
