Windows 域管理笔记(长篇)

以下是我在近期部署Windows域环境过程中总结记录的部分笔记,顺序有点乱。

TIPs:

  1. DFS必须在域环境下能正常工作,非域环境、或者非域计算机访问域中的DFS都会出现权限错误
  2. 非域控服务器发布DFS根目录,路径可以正常使用(如 \\domain.local\DFS NAME),但直接浏览域根(\\domain.local\)不可见,似乎可以通过在域控主机上建立同名共享来实现可见。(此方法未能官方验证)
  3. 非域计算机访问域中的共享资源: \\domain.local\共享路径
  4. 当服务器的域或者本地的Guest账户启用时,非域计算机对共享的访问通常自动验证为Guest。
  5. 当服务器的域或者本地的Guest账户被禁用,并且非域计算机对共享的访问通常自动验证为Guest。
  6. 通过组策略:“计算机配置”——“Windows设置“——”安全设置“——“受限制的组”,按鼠标右键,选择”添加组“; 可以控制成员计算机的本地组成员
  7. 组策略:用户配置\管理模板\控制面板\显示 可以控制屏幕保护和用户桌面,注意:如果想确保屏保策略生效,“可执行的屏幕保护程序名称”这一项必须定义,否则,如果客户端保持“无”的选择,你的其它屏保策略将不能生效。
  8. “经过身份验证用户组”包括用户和计算机。
  9. 用户登录脚本是不需要带路径的(包括UNC路径),只能是脚本文件的名称,路径为系统规定好的指定路径,必须将脚本放到该目录下才能执行.
  10. 组策略管理器,这个是要单独下载安装的
  11. 注册表:[HKEY_USERS\.DEFAULT]键值并不是控制默认用户信息的。[.DEFAULT]键实际上是管理没有用户登录情况下计算机状态的。如果你想使某个背景位图出现在你按下Ctrl + Alt + Delete之后的屏幕上,那么就要在[HKEY_USERS\.DEFAULT\Control Panel\Desktop]中设定墙纸的值。
  12. 组策略使用的脚本支持多种格式,VBS/JS/BAT
  13. 使用BAT脚本修改注册表的命令是 REG Add/Delete….

SYSTEM 账户

system账户是Windows内置的特殊账户,具有最高权限,类似的还有本地服务、本地网络,这些都是系统内置账户。通过服务列表可以看到大量的服务是以这些账户的权限来运行的。

另外Windows启动时是首先以System账户启动系统,然后启动服务列表,启动登录窗口

你不能以System账户登录,但是管理员是有权限把某个线程或者服务绑定到System账户的,你也可以通过下面的命令获取一个System权限的Shell,当然首先你需要终止当前Shell的线程。(通过这里也可以发现 AT 命令是以SYSTEM权限触发的)

at time /interactive %systemroot%\explorer.exe

S-1-5-18就是SYSTEM帐户的SID

F&Q:

Q:如何在客户端创建一个快捷方式

A:使用Windows脚本实现方法如下,在组策略中登录脚本中加上这个脚本即可

set WshShell = WScript.CreateObject(“WScript.Shell”)
strStartMenu = WshShell.SpecialFolders(“StartMenu”)
set oShellLink = WshShell.CreateShortcut(strStartMenu & “\shortcut.lnk”)
oShellLink.TargetPath = “XXX”
oShellLink.WindowStyle = 1
‘oShellLink.Hotkey = “CTRL+SHIFT+F”
oShellLink.IconLocation = “notepad.exe, 0”
oShellLink.Description = “this is a shortcut”
oShellLink.WorkingDirectory = “XXX”
oShellLink.Save

Q:无法使用组策略发布软件了

A:无法使用组策略发布软件的原因很多,其中一种是如果在组策略里设置了从开始菜单里删除运行菜单,该设置会阻止安装程序从网络发布点运行,从而导致安装失败,我花了二个小时找到的这个原因。

Q:AD账号锁定的计算机。请问如何得知AD账号在哪台机被锁定呢?最近在Win2000网域中设置了AD账号锁定策略,请问如果有AD账号输错N次密码,导致账号锁定后,能否追踪到这AD账号是在哪一台机被锁定呢?

A:在默认域策略中设置如下审核来记录用户锁定事件:

计算机设置\Windows 设置\安全设置\本地策略\审核策略\启用”审核帐户管理“

当用户被锁定后,您可以在安全日志中找到日志644。

Windows 安全日志及其分析

【登录事件】和【帐户登录事件】

Windows审核策略中有2项关于登录的审核【登录事件】和【帐户登录事件】,这两者的区别有时很难理解。

【登录事件】

– 登录/注销到本机的事件,包括控制台登录,网络登录,共享登录等等

【帐户登录事件】

– 需要本机验证的登录/注销事件,通常是指需要域控主机进行验证各类登录不管这些登录是发生在工作站还是某台域控,只有产生了验证请求,就会在接受验证请求的域控主机上产生【帐户登录事件】

帮助文档的说明:

该安全设置确定是否审核在这台计算机用于验证帐户时,用户登录到其他计算机或者从其他计算机注销的每个实例。当在域控制器上对域用户帐户进行身份验证时,将产生帐户登录事件。该事件记录在域控制器的安全日志中。当在本地计算机上对本地用户进行身份验证时,将产生登录事件。该事件记录在本地安全日志中。不产生帐户注销事件。

  • 通过审核帐户登录事件,您可以看到用户何时登录了域,或者何时从域中注销。
  • 审核成员服务器上帐户登录事件类别中的事件是不必要的(没有意义的)。
  • 【举例】

    用户以域帐户登录到某台工作站(ws.domain.local)时会在域控主机( AD.domain.local)上产生账户登录事件.(如果域中存在多台域控主机,这一事件应该只在其中一台的域控上触发账户登录事件?)

    审核和分析安全日志

    通过组策略可以控制和部署日志的审核策略,你可以选择审核项目和审核成功/失败,审核失败的行为对于入侵检测十分有用,但此设置可能会导致进入 DDoS 状态,因为攻击者可以生成数百万次登录失败,并将安全事件日志填满。

    试图分析安全日志是一项极其复杂的工作,特别是在域环境下,日志量太大,Windows的日志系统不能够有效的分辨出事件的上下文关系,而对审核特别关心的用户行为(登录/连接等操作)也很难明晰出操作的起至点。比如:虽然540事件记录登录事件的,但是你会发现在系统运行的过程中会产生大量的540事件,它们不仅产生在用户登录行为瞬间,也产生在系统运行的整个过程之中。它们不仅由用户操作触发,也会由大量的系统服务触发。即使在一个很小的域环境下,你也会发现域控主机上的登录事件是如此的频繁,以至于你根本无法进行有效分析。

    你可以尝试使用一些工具来进行日志分析,比如:GFI EventsManager、sawmill等。微软的SCOM是一个很强大的服务器统一监控和管理平台,它也可以帮助你对日志进行收集,汇总,分析。但是很遗憾,这些工具仍然不能实现高效的分析,信息量太大。但任何日志过滤工具的使用都不可能一蹴而就的满足管理员需求,需要经过不断的调整,这个调整过程将会伴随整个管理生命周期。

    × GFI EventsManager是一个强大的日志汇总分析工具,他比仅能汇总Windows日志,还支持W3C日志,ISS日志,SNMP日志等,支持自定义过滤条件,支持自动报表系统,强力推荐

    × oldcmp 能够针对账户的一些属性生成报表。例如最后一次登陆时间戳。


    主要事件ID解析:

    帐号登录事件

    672 验证票证请求 – 域帐户在一台客户机上登录或者解锁

    673 服务票证请求

    680 尝试登录的用户 通常匹配出现

    登录/注销事件

    538 用户注销

    540 账户登录

    540事件详细解析

    Windows的540事件是记录各类登录事件的,可能涉及到的相关信息如下:

    登录类型ID

    登录类型2:交互式登录(INTERACTIVE)

    本地键盘上的登录,基于网络上的KVM登录也是这种类型!

    登录类型3:网络(NETWORK)

    当你从网络上访问一台PC时WINDOWS记为类型3,常见的是通过网络连接到共享文件夹或共享打印机!

    登录类型4:批处理(BATCH)

    运行计划任务是产生的记录类型..也可能是HACKER通过它来猜测用户密码!

    登录类型5:服务(SERVICE)

    一个服务开始时,WINDOWS为这个特定的用户创造的一个登录会话,记为类型5!

    登录类型7:解锁(UNLOOK)

    解除锁定的PC密码,比如对屏保密码的解除操作!

    登录类型8:网络明文(NETWORKCLEARTEXT)

    网络明文传输!

    登录类型9:新凭证(NEWCREDENTIALS)

    登录类型10:远程交互(REMOTEINTERACTIVE)

    通过终端服务,远程桌面,或远程协约访问PC时

    登录类型11:缓存交互(CACHEDINTERACTIVE)

    登录过程

    msv1_0 / MICROSOFT_AUTHENTICATION_PACKAGE_V1_0″

    msv1_0.dll, the default authentication package

    “KSecDD”

    ksecdd.sys, the security device driver

    User32 / WinLogon\MSGina

    winlogon.exe & msgina.dll, the authentication user interface

    “SCMgr

    The Service Control Manager “LAN Manager Workstation Service”

    advapi

    API call to LogonUser

    MS.RADIU”

    The RADIUS authentication package; a part of the Microsoft Internet Authentication Services (IAS).

    通过组策略自动启用客户端远程桌面功能

    在企业里进行管理的时候,有时需要利用远程桌面来管理客户端计算机,在一般情况下,往往需要客户端启用此功能,有没有好的办法,让客户端自动启用呢?当然可以,我们可以通过组策略的形式来完成。

    具体操作:(域环境)
    1.在DC上创建一个OU,把相应的客户端计算机放到这个OU里。
    2.针对这个OU创建一个组策略,在这个组策略的计算机配置里,在开机/启动脚本里添加一个脚本,内容如下:(命名为RDP.vbs)

    Const  ENABLE_CONNECTIONS = 1
    strComputer = "."
    Set objWMIService =  GetObject("winmgmts:\\" & strComputer & "\root\cimv2")
    Set  colItems = objWMIService.ExecQuery("Select * from  Win32_TerminalServiceSetting")
    For Each objItem in colItems
          errResult = objItem.SetAllowTSConnections(ENABLE_CONNECTIONS)
    Next
    
    set oShell  = WScript.CreateObject("WScript.shell")
    oShell.run "cmd.exe  /c netsh firewall add  portopening tcp 3389 RemoteDestop",0,true
    set oShell=nothing

    3.客户端计算机重新,即可生效。

    注:此脚本在所有的客户端是2003的情况下验证通过,并能自动“远程桌面”功能穿过防火墙。

    发表评论