1. 认识AD默认组策略的双核心第一次接触Active Directory的工程师往往会被两个名字相似的策略搞晕Default Domain Controllers Policy默认域控制器策略和Default Domain Policy默认域策略。这就像给双胞胎起名只差一个字实际管理权限却天差地别。我在给某金融客户做安全加固时就遇到过管理员误改策略导致全域终端异常的情况。这两个策略是AD森林的宪法和特别行政区基本法。前者专门管制域控制器DC这个行政中心后者规范全域所有成员。举个例子域策略要求所有电脑密码30天过期但DC上的服务账户密码可能设置为永不过期——这就是通过域控制器策略实现的差异化管控。用生活场景类比假设域策略是小区物业规定如垃圾投放时间那么域控制器策略就是物业办公室的内部管理条例如财务审计流程。两者最大的区别在于生效范围一个管所有住户一个只管物业员工配置重点一个侧重基础安全基线一个专注特权操作控制修改风险改错小区规定顶多被投诉改错办公室策略可能让物业瘫痪2. 域控制器策略的实战防护配置2.1 特权账户的钢铁防线在渗透测试中90%的域控沦陷都始于特权账户滥用。Default Domain Controllers Policy里这几个配置必须重点检查# 查看当前用户权限分配 Get-GPOReport -Name Default Domain Controllers Policy -ReportType Html -Path C:\temp\DC_Policy.html用户权限分配就像给不同岗位发门禁卡从网络访问此计算机默认包含Everyone组建议改为Authenticated Users实测可阻断匿名枚举攻击允许本地登录应该只保留BUILTIN\Administrators和特定运维组我曾见过有客户把此权限开放给Domain Users调试程序权限必须严格限制攻击者获取此权限可注入LSASS进程某次应急响应中我们发现攻击者正是利用默认开放的从扩展坞上取下计算机权限通过物理接触植入恶意硬件。建议参照以下最小化原则调整权限项安全配置建议风险等级从远程系统强制关机仅限Server Operators组★★★★加载设备驱动程序移除Print Operators组★★★☆替换进程级令牌仅保留系统服务账户★★★★★2.2 安全选项的隐形铠甲很多人忽略了安全选项这个宝藏配置区。这里有三个必改项交互式登录: 不显示最后的用户名禁用后可防止攻击者收集有效账户名网络安全: 基于NTLM的受限身份验证启用后强制Kerberos认证阻断NTLM Relay攻击账户: 管理员账户状态建议启用并重命名默认Administrator账户注意要先创建备用管理员账户这些配置在组策略编辑器中的路径是计算机配置\策略\Windows设置\安全设置\本地策略\安全选项3. 全域策略的统一管控艺术3.1 密码策略的平衡之道Default Domain Policy中最关键的密码策略常见两个极端要么要求15位密码90天改密导致用户贴纸条要么简单到6位数字通行无阻。经过数十家企业实践我总结出三要三不要原则要做的启用密码必须符合复杂性要求但需配套培训设置最短密码期限≥1天防止用户快速循环改回旧密码强制密码历史≥12个配合密码最短使用期限不要做的密码最长使用期限不要超过90天NIST最新指南已取消强制改密最小密码长度不要低于8字符但超过12字符会显著增加帮助台呼叫量不要启用用可还原的加密存储密码等于明文存储# 快速检查当前域密码策略 net accounts3.2 账户锁定的攻防博弈账户锁定策略是把双刃剑太松会被暴力破解太紧会造成拒绝服务。建议采用渐进式锁定锁定阈值5次无效登录给用户输入错误留余地锁定时间30分钟足够阻断自动化工具重置计数器30分钟后平衡安全与可用性特别注意域控制器策略里的账户锁定设置会覆盖域策略这个坑我踩过——在域策略设了锁定阈值10次但在DC策略里却是5次导致管理员账户意外锁定。4. 策略修改的避坑指南4.1 变更管理的黄金法则直接修改默认策略是高风险操作建议遵循创建测试OU并链接测试策略用gpresult /h report.html验证策略继承生产环境变更选择非工作时间先改单台DC观察24小时使用repadmin /syncall强制同步曾有个客户在周五下午修改密码策略后直接下班结果周一发现所有VPN连接失败——因为策略未完全复制到所有DC。4.2 故障排查三板斧当策略不生效时按顺序检查基础检查gpupdate /force dcdiag /test:netlogons /v继承验证在组策略管理控制台运行组策略结果向导版本比对Get-GPOReport -All -ReportType Xml | Compare-Object -ReferenceObject $baseline对于跨域策略问题记住这个口诀站点域OU强制覆盖看优先。有一次排查3小时的问题最后发现是站点级策略的优先级更高。