0. 准备工作
- 已搭建 AD 域,客户端已加域
- 用 域管理员 登录 DC
- 打开组策略管理:
plaintext
gpmc.msc - 建议新建 3 个 GPO,结构清晰:
GPO_禁用USB存储GPO_服务器安全加固GPO_统一用户桌面
你也可以全部做到一个 GPO 里,分开更方便管理。
一、组策略:禁用 USB 存储(只禁 U 盘,不禁鼠标键盘)
1. 创建并链接 GPO
gpmc.msc→ 右键你的 域 或 计算机 OU- 在这个域中创建 GPO 并在此处链接
- 名称:
GPO_禁用USB存储
2. 编辑 GPO
右键 GPO → 编辑
3. 核心配置路径
计算机配置 → 管理模板 → 系统 → 可移动存储访问
启用以下 3 项即可(最常用、最稳):
- 可移动磁盘:拒绝读取权限 → 已启用
- 可移动磁盘:拒绝写入权限 → 已启用
- 所有可移动存储类:拒绝所有访问 → 已启用
这样只禁 U 盘 / 移动硬盘,鼠标键盘、U 盾一般不受影响。
4. 进阶:防止绕过(强烈建议)
路径:计算机配置 → 管理模板 → 设备安装 → 设备安装限制
- 阻止安装可移动磁盘设备 → 启用
- 阻止安装未由其他策略设置描述的设备 → 启用(可选,更严格)
5. 立即生效
客户端管理员 CMD:
cmd
gpupdate /force
二、组策略:服务器安全加固(Windows Server 2025 基线)
适用:Domain Controllers、服务器 OU
1. 新建 GPO 并链接到服务器 OU
名称:
GPO_服务器安全加固2. 编辑 GPO
2.1 账户密码策略(必须放在域根 GPO)
注意:域密码策略只能在域根生效,建议修改 默认域策略路径:
计算机配置 → 策略 → Windows 设置 → 安全设置 → 账户策略 → 密码策略
配置:
- 密码必须符合复杂性要求:启用
- 密码长度最小值:12
- 密码最长使用期限:90 天
- 强制密码历史:20
- 用可还原的加密来存储密码:禁用
2.2 账户锁定策略
计算机配置 → 策略 → Windows 设置 → 安全设置 → 账户策略 → 账户锁定策略
- 账户锁定阈值:5 次无效登录
- 账户锁定时间:30 分钟
- 重置账户锁定计数器:30 分钟
2.3 安全选项加固
计算机配置 → 策略 → Windows 设置 → 安全设置 → 本地策略 → 安全选项
启用 / 修改:
- 账户:来宾账户状态 → 已禁用
- 账户:重命名管理员账户 → 改一个非默认名
- 账户:重命名来宾账户 → 改一个非默认名
- 交互式登录:不显示上次登录用户名 → 已启用
- 交互式登录:无须按 Ctrl+Alt+Del → 已禁用
- 设备:限制软盘 / CD-ROM 访问到本地登录用户 → 启用
- 网络访问:不允许匿名枚举 SAM 账户 → 启用
- 网络访问:不允许匿名枚举 SAM 账户和共享 → 启用
- 账户:使用空密码的本地账户只允许控制台登录 → 启用
- 用户账户控制:管理员批准模式权限提升 → 启用
- 关机:允许系统在未登录的情况下关闭 → 禁用
2.4 禁用不必要服务(可选)
计算机配置 → 策略 → Windows 设置 → 安全设置 → 系统服务
- Remote Registry → 禁用
- Telnet → 禁用
- FTP 服务器相关 → 禁用
2.5 防火墙加固
计算机配置 → 策略 → Windows 设置 → 安全设置 → 高级安全 Windows 防火墙
- 启用防火墙
- 入站规则:只允许业务端口(3389、445、80、443 等)
- 默认入站规则:拒绝
- 默认出站规则:允许
2.6 禁用命令提示符 / 注册表(可选)
用户配置 → 管理模板 → 系统
- 阻止访问命令提示符 → 启用
- 阻止访问注册表编辑工具 → 启用
三、组策略:统一用户桌面(标准化、防乱改)
1. 新建 GPO 并链接到 用户 OU
名称:
GPO_统一用户桌面2. 统一桌面图标、背景、任务栏
2.1 禁止更改桌面壁纸
用户配置 → 管理模板 → 控制面板 → 个性化
- 阻止更改桌面背景 → 启用
- 强制使用指定桌面背景 → 启用
填写图片路径(必须是域共享):
plaintext\\DC01\Share\Wallpaper\bg.jpg
2.2 统一桌面图标(此电脑、网络、回收站)
用户配置 → 管理模板 → 桌面 → 桌面图标设置
- 在桌面显示 “计算机” 图标 → 启用
- 在桌面显示 “网络” 图标 → 启用
- 在桌面显示 “回收站” 图标 → 启用
2.3 隐藏驱动器(防止乱删文件)
用户配置 → 管理模板 → Windows 组件 → 文件资源管理器
- 隐藏 “我的电脑” 中的这些指定驱动器 → 启用
选择:仅限制 C 盘 或 所有驱动器
2.4 禁用控制面板
用户配置 → 管理模板 → 控制面板
- 禁止访问控制面板和 PC 设置 → 启用
2.5 统一桌面快捷方式(最实用)
- 在 DC 上创建共享:
plaintext
\\DC01\Share\DesktopShortcuts - 放入:浏览器、Word、Excel、企业软件快捷方式
- 组策略配置:
用户配置 → 策略 → Windows 设置 → 脚本 (登录 / 注销)
- 登录脚本:复制快捷方式到桌面
或使用:首选项 → 控制面板设置 → 快捷方式
更简单的方法:
用户配置 → 策略 → 文件夹重定向 → 桌面
- 设置:基本 – 将所有人重定向到同一位置
- 路径:
plaintext
\\DC01\Share\CommonDesktop
这样所有用户桌面完全统一,删不掉、改不了。
2.6 禁用更改任务栏和开始菜单
用户配置 → 管理模板 → 开始菜单和任务栏
- 阻止更改任务栏和开始菜单设置 → 启用
- 移除关机 / 重启 / 睡眠按钮 → 启用(可选)
- 禁用更改通知区域 → 启用
四、让策略立刻生效(客户端)
管理员运行 CMD:
cmd
gpupdate /force
或重启计算机。
域控制器批量刷新:
- gpmc.msc 右键 OU
- 组策略更新
- 自动刷新所有在线机器
五、验证是否生效
cmd
gpresult /r
查看 GPO 是否在 已应用的组策略对象 列表里。
生成详细 HTML 报告:
cmd
gpresult /h c:\gpresult.html
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
