设置域控制安全策略完整版
设置域控制安全策略 HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】
背景
某些员工设置密码长度很短,而且不符合复杂性要求
密码很久也不修改
有时会发生非法用户试探员工密码
目标
1、密码策略设置
2、账户锁定策略设置
3、密码策略的验证
4、账户锁定策略验证
5、如何给账户解锁
第一步:找到域控制器安全策略点击进入
第二步:找到帐户安全策略点击进入
第三步:选择密码策略点已启用
第四步:选择密码最小长度值选项并输入你要设定的长度值!第五步:选择帐户锁定策略
第七步:设置复位锁定帐户时间!
第九步:登陆用户故意输错密码相对应的次数后就会发现
并会弹出一个你的帐户已被锁定的界面
这时再进入服务器的超户—域控—USERS下—打开你刚刚登陆的用户的帐户选项卡就会出现一个帐户被锁定的选项把勾去掉用
户即被解锁!
实验完成!经过这样的设置后服务器上创建用户都会根据你设置的要求来了,而当你在设定的错误登陆次数内还没能正确输入密码后你的用户就会被锁定!如果想要解锁就只有让管理员来进超户进入域用户帐户里进行解锁了。
组策略设置系列篇之“安全选项”2
组策略设置系列篇之“安全选项”-2 选项, 设置 交互式登录:不显示上次的用户名 此策略设置确定“登录到Windows”对话框是否显示上次登录到该计算机的用户的名称。如果启用此策略设置,不显示上次成功登录的用户的名称。如果禁用此策略设置,则显示上次登录的用户的名称。 “交互式登录:不显示上次的用户名”设置的可能值为: ? 已启用 ? 已禁用 ? 没有定义 漏洞:能够访问控制台的攻击者(例如,能够物理访问的人或者能够通过终端服务连接到服务器的人)可以查看上次登录到服务器的用户的名称。攻击者随后可能尝试猜测密码,使用字典或者依靠强力攻击以试图登录。 对策:将“不显示上次的用户名”设置配置为“已启用”。 潜在影响:用户在登录服务器时,必须始终键入其用户名。 交互式登录:不需要按CTRL+ALT+DEL 此策略设置确定用户在登录前是否必须按Ctrl+Alt+Del。如果启用此策略设置,用户登录时无需按此组合键。如果禁用此策略设置,用户在登录到Windows 之前必须按Ctrl+Alt+Del,除非他们使用智能卡进行Windows 登录。智能卡是一种用来存储安全信息的防篡改设备。 “交互式登录:不需要按CTRL+ALT+DEL”设置的可能值为: ? 已启用 ? 已禁用 ? 没有定义 漏洞:Microsoft 之所以开发此功能,是为了更便于身体有某种残疾的用户登录到运行Windows 的计算机。如果不要求用户按Ctrl+Alt+Del,他们容易受到尝试截获其密码的攻击。如果要求用户在登录之前按Ctrl+Alt+Del,用户密码则会通过受信任路径进行通信。 攻击者可能会安装看似标准Windows 登录对话框的特洛伊木马程序,并捕获用户的密码。攻击者随后将能够使用该用户具有的特权级别登录到被侵入的帐户。 对策:将“不需要按CTRL+ALT+DEL”设置配置为“已禁用”。
域策略
制作网安全策略 应用Win2000 Advanced Server的策略AGDLP原则对网络客户端做安全性设置,可以实现所有站点有统一的界面;可以使用户没有任何设置涉及系统安全性方面的权力,所有对安全性的设置大部分都在服务器端只设置一次,只有很少量的设置需要在各客户端设置 建OU并加入用户和组 其中,yztvuser是OU,即一个域中的组织单位,yzgd是一个用户,即在客户端登陆win 2000的用户名,yztv是一个全局安全组,具体创建过程如下: 开始-程序-管理工具-Active Directory用户和计算机,展开左边树,如图5- 1 Array图5-1 选中https://www.360docs.net/doc/9315108023.html,右键-新建-组织单位,如图5-2
图5-2 输入组织单位名称:yztvuser,确定,创建OU结束。 然后在OU上创建组,在yztvuser-右键-新建-组,如图5-3 图5-3 输入组名:yztv,组作用域:全局,组类型:安全式,确定,创建组完成。 同样,创建用户,在yztvuser-右键-新建-用户,如图5-4
图5-4 输入需要创建的用户名登陆名:yzxw,姓名:yzxw 注:目前皆改为yzgd 下一步,如图5-5 图5-5 输入密码,并选中:用户不能更改密码;密码永不过期,下一步,如图5-6
图5-6 创建完成,点击确定。 然后修改用户属性,使其加入到yztv组中,在新建的用户名上右键-属性-成员属于-添加-选中yztv-添加,这样把用户添加到yztv全局安全组。 若需要建立其它帐号,可依上样建立,如yzxw、yzdss、yzgz三个用户。 组策略的设置 组策略使用来设置windows登陆安全的策略,比如屏蔽客户端左面右键,开始菜单,资源管理器等,组策略针对OU,所有设置只涉及“用户配置”中的“windows设置”和“管理模板”。 建立策略组 在组织单位yztvuser上右键-属性-组策略-新建,如图5-7
本地安全策略无法打开
本地安全策略无法打开 打开管理工具中[本地安全策略]时出现“管理单 元初始化失败”或“创建管理单元失败”的错误提示,然后 给了个“ CLSID:{8FC0B734-A0E1-11D1-A7D3- 0000F87571E3} ”的提示, 将位于%windir%\system32\wbem下的framedyn.dll拷贝至%windir%\system32 后,注册regsvr32 gpedit.dll和regsvr32 filemgmt.dll这两个文件如果都成功了,打开本地安全策略试试,如果不行按照下面的方法操作。 解决本地安全策略打不开的方法一: 1、解决的前提条件: 一是解决好系统的配置环境问题,由于安装软件导致系 统环境path被修改,所以需要改回来,方法是,打开系统 属性-高级-环境变量-修改path,值得说明的是xp不同版本 的稍有不同,大家可以打开相似的按钮看一下就找到了,修 改是比较简单的,只要在原来的path路径后面继续增加路 径就可以了,先加一分号“;”然后输入引号中的“% systemroot%\system32;%systemroot%;%systemroot% system32%\wbem”,你也可以增加类似的路径,这里就不多 说了。 二是确保两个文件的存在,如果没有可以拷贝到 windows目录下的system32目录下,这两个文件是
gpedit.msc和secpol.msc 。 2、如何调用,这里是很重要的一步,因为虽然该改的都改 了,该加的都加上了,但是目前为止还没有让将它们联系在 一起,或者说还没有注册到系统里. 不过不用担心,下面的步骤就可以解决这个难题了。 点-开始-运行-输入gpedit.msc-点确定,如果没有执 行,那么就直接去windows目录下的system32目录中直 接打开它好了。 然后,打开[控制面板]中的[本地安全策略]图标,你会发 现竟然出现了[计算机配置],双击[计算机配置],久违的 [安全设置]下面出现了[本地策略]。如果你喜欢修改下布 局,你还可以将右面的策略项排列成列表或详细信息等方 式。 解决本地安全策略打不开的方法二: 运行\ regedit\找到 HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC 将RestrictToPermittedSnapins 的值设置为 0,如果MMC 找不到可以这样: 直接将下面内容复制粘贴进入记事本,并保存为后缀名为.reg的文件,双击运行该.reg文件即可。 Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Policies\Microsoft\MMC] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Policies\Microsoft\MMC\{8FC0B734-A0E1-11D1-A7D3-0000F87571E3}] "Restrict_Run"=dword:00000000 [HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC] [-HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC\{8FC0B734-A0E1-11D1-A7D3-0000F87571E3}] "Restrict_Run"=dword:00000000
域组策略域控中组策略基本设置
域控中组策略基本设置 计算机配置:要重启生效用户配置:注销生效 策略配置后要刷新:gpupdate /force 组策略编辑工具!-----gpmc.msi (工具) 使用:运行--->gpmc.msc 如下键面: 文件夹重定向: 1.在域控建立一共享文件夹,权限放到最大(完全控制,无安全隐患!) 2.域账户用户登录任一台机器都能看到我的文档里的自己的东西! 禁止用户安装软件: 1.给域用户基本权限(Domain user),但有时基本应用软件也不能运行! 2.把域用户加入到本地power user 组可以运行软件! 域用户添加Power user组 3.用本地用户登录机器查看! 禁止卸载: 1.权限domain user + 管理模板(相当于改动注册表!!) 2.再把控制面板里的“添加删除程序”禁用 禁止使用USB: 1.工具(程序模板usb.adm),拷到C:\WINDOWS\inf\usb.adm 3. 4. 5. 6. 7.客户端机器重启生效 禁止绿色软件安装,如:迅雷,QQ等--------建立哈希规则: 建立了哈希规则后不论此软件放在机器的任何路径,都将被禁止! GPO软件分发: 1.工具:Advanced Installer 制作MSI格式文件 2.在DC上建立一共享文件夹。把*.MSI格式文件放入,附Authenticated 可读,Admini 完 全控制 3.编辑组策略-→用户配置-→软件安装-右击→\\(DC的IP\共享名) 4.软件安装右击→程序包-→*.MSI →已发布\已指派 停止域客户端的防火墙: 右击,域→计算机-→Windows-设置→安全设置-→系统服务→windows firewall 漫游: 1.账号在客户机上登录 2.在server上建议账号空间
公司企业内部局域网软件部署安全策略及准则
XX有限公司 企业内部局域网软件部署安全策略及准则 (第一版) 2014年9月 XX有限集团公司 xx公司
xx有限公司 企业内部局域网软件部署安全策略及准则 (第一版) 为确保公司企业内部局域网安全有效运行,依据《xx公司非涉密计算机及网络管理办法》及国家相关管理规定,特制定本《企业内部局域网软件部署安全策略及准则》,本策略为公司局域网软件部署的安全性指导性文件。本安全策略及准则由以下几个部分组成: 1、公司https://www.360docs.net/doc/9315108023.html,局域网概况 2、软件使用范围及规则 3、公司内部局域网使用安全准则 4、电子数据交换安全准则 5、病毒防护策略及准则 6、https://www.360docs.net/doc/9315108023.html,域安全策略 7、域计算机及域用户登录脚本 一、公司https://www.360docs.net/doc/9315108023.html,局域网概况: 公司根据信息化建设规划需要,经数年努力,逐步建成了https://www.360docs.net/doc/9315108023.html,局域网络,该网络覆盖了102工房、104工房、203工房、205工房、702工房、401大楼等物理区域,为了保障网络的可靠性,整个网络由CISCO核心可管交换机及CISCO主干网络交换机控制,整个网络采用VLAN技术划分为10个网段:(170.16.70、72、74、76、78、80、82、84、86、88)。在硬件层面,https://www.360docs.net/doc/9315108023.html, 局域网中运行服务器11台(含虚拟服务器)、台式计算机498台、笔记本电脑33台、交换机21台、路由器2台;在操作系统OS层面,所有服务器操作系统OS均运行WINDOWS2012R2操作系统,410台计算机运行WINDOWS7X64操作系统,88台
计算机运行WINDOWXP-X32操作系统。在软件运用层面,整个网络在AD主域集中控制、CAPP、数字化档案信息系统、MRPII、MES、CAQ、内部邮件系统、文件集约存储系统、财务系统、DNC系统、INTERNET接入及控制、WSUS补丁升级、病毒防护、OA系统等方面均有重要应用,支撑整个企业在信息化模式下快速、有效运维。 二、软件使用范围及规则: 公司对非涉密计算机及网络软件进行白名单准入制,白名单内的软件在计算机上进行安装使用可不经过审批,采用文件服务器进行统一发布,不在白名单列表内的软件,需由使用人及使用单位写出软件安装使用申请,经主管部门测试审批、公司领导批准后方可安装使用。未经批准擅自安装软件的,按《xxxx非涉密计算机及网络管理考核办法》相关条款进行考核。 《xxxx公司非涉密计算机及网络软件白名单》: (具体安装位置为:\\SVMC2F\软件发布,\\SVMC2F\UPDATE) ACDSEE12、ADOBE_READER、ADOBE_PDF、PHOTOSHOP媒体工具 DOTNET3.5、DOTNET4.5基础框架 IE11、IE8 FOR WINDOWSXP浏览器 xx公司集团OA办公软件 OFFICE2007办公软件 好压、暴风影音、金山词霸2011 百度拼音、小鸭五笔输入法 微软MSE杀毒软件 NERO、ULTRAISO光盘刻录工具 AIDA64、3DMARK硬件检测工具 AUTOCAD2004_X32、AUTOCAD2010_X64、AUTOCAD2015_X64设计软件
本地安全策略
使用本地安全策略加强windows主机的整体防御 1.1学习目的与要求 1.1.1 学习目的 学生通过该能力模块的学习,能够独立完成和熟练掌握WindowsXP的本地安全策略设置。 1.1.2 学习要求 1.学习重点 ?禁止枚举账号 ?指派本地用户权利 ?设置IP安全策略 ?配置密码安全策略 2.学习难点 IP安全策略:IP安全策略是一个给予通讯分析的策略,它将通讯内容与设定好的规则进行比较以判断通讯是否与预期相吻合,然后决定是允许还是拒绝通讯的传输,它弥补了传统TCP/IP设计上的"随意信任"重大安全漏洞,可以实现更仔细更精确的TCP/IP安全,也就是说,当我们配置好IP安全策略后,就相当于拥有了一个免费,但功能完善的个人防火墙。 1.2 本能力单元涉及的知识组织 1.2.1本能力单元涉及的主要知识点 1.什么是枚举账号 2.什么事本地安全策略 3.什么是密码安全
1.2.2本能力单元需要解决的问题 1.按照项目的需求,重点针对WindowsXP的本地安全策略进行设置,达到对本地安全策略的进行深入的理解。 1.3 知识准备 1.3.1 本地安全策略 安全策略是影响计算机安全性的安全设置的组合。可以利用本地安全策略来编辑本地计算机上的帐户策略和本地策略。 通过本地安全策略可以控制: ?访问计算机的用户。 ?授权用户使用计算机上的哪些资源。 ?是否在事件日志中记录用户或组的操作。 1.3.2 枚举账号 禁用枚举账号的意义 一般来说,黑客攻击入侵,大部分利用漏洞,然后提升权限,成为管理员,这一切都跟用户帐号紧密相连。一般的黑客要攻击Windows 2000/XP等系统,必须要知道账号和密码。而账号更为关键,那么如何来避免这种情况的发生呢? 我们可以利用禁止枚举帐号来限制黑客攻击我们的账户和密码。 由于Windows 2000/XP的默认安装允许任何用户通过空用户得到系统所有账号和共享列表,但是,任何一个远程用户通过同样的方法都能得到账户列表,使用暴力法破解账户密码后,对我们的电脑进行攻击,所以有必要禁止枚举帐号,我们可以通过修改注册表和设置本地安全策略来禁止。
管理员操作手册 AD域控及组策略管理 CTO
AD域控及组策略管理 目录一、Active Directory(AD)活动目录简介 1、工作组与域的区别........................................ 2、公司采用域管理的好处.................................... 3、Active Directory(AD)活动目录的功能...................... 二、AD域控(DC)基本操作.................................... 1、登陆AD域控............................................. 2、新建组织单位(OU)...................................... 3、新建用户................................................ 4、调整用户................................................ 5、调整计算机.............................................. 三、AD域控常用命令.......................................... 1、创建组织单位:(dsadd)................................... 2、创建域用户帐户(dsadd)................................... 3、创建计算机帐户(dsadd)................................... 4、创建联系人(dsadd)....................................... 5、修改活动目录对象(dsmod)............................... 6、其他命令(dsquery、dsmove、dsrm)....................... 四、组策略管理 .............................................. 1、打开组策略管理器........................................ 2、受信任的根证书办法机构组策略设置........................ 3、IE安全及隐私组策略设置 .................................
配置本地安全策略
配置本地安全策略端口的保护 IP 安全策略设置方法 一、适用范围: 它适用于2000以上Windows系统的专业版;对家庭版的用户可以看一下是不是能通过:控制台(运行mm)-文件-添加/删除管理单元-添加-添加独立单元,添加上“ IP 安全策略管理”,如行的话则可在左边的窗口中看到“ IP 安全策略,在本地计算机”了,接下来的操作就跟专业版一样了。 二、找到“ IP 安全策略,在本地计算机”: “IP 安全策略,在本地计算机”选项在“本地安全设置”下,所以要找到它就打开“本地安全设置”的方法,主要采用以下两种方法来打开:1是点“开始”-“运行” -输入 secpol.msc ,点确定;2 是“控制面板”-“管理工具”-“本地安全策略”。打开“本地安全策略”对话框就能在左边的窗口中看到“ IP 安全策略,在本地计算机”了。右击它,在它的下级菜单中能看到“创建IP 安全策略”和“管理IP 筛选器表和筛选器操作”等菜单(也可以在此级菜单中的“所有任务”项的下级菜单中看到上面的两个菜单)。 三、建立新的筛选器: 1、在“ IP 安全策略,在本地计算机”的下级菜单中选择“管理IP 筛选器和筛选器操作”菜单,打开“管理IP 筛选器和筛选器操作”对话框,里面有两个标签:“管理IP 筛选器列表”和“管理筛选器操作”。选择“管理IP 筛选器列表”标签,在“ IP 筛选器列表”下的文本框下面能看到三个按钮:“添加”、“编辑”和“删除”。 2、点“添加”按钮,打开叫做“ IP筛选器列表”的对话框,里面有三个文本框,从上到下分别是:“名称”、“描述”和“筛选器”。在“名称”和“描述”文本框右边,能看到“添加”、“编辑”和“删除”三个按钮(对没有内容的筛选器而言,它的 “编辑”和“删除”按钮不可用),在这三个按钮下有一个复选框,复选框后面有“使用‘添加向导'”这样的文本说明。 3、取消默认的对“使用‘添加向导'”的勾选,在“名称”下面的文本框中把默认的“新IP 筛选器列表”修改成下面要建立的筛选器列表的名称,我们这里先输入: “病毒常驻端口”,在“描述”下面的空白文本框中输进去“病毒常驻端口”后面的全部
服务器备份与域安全策略(最全)个人收集
服务器备份与域安全策略 实验目标 1) 熟悉企业搭建Windows网络环境的基本需求 2) 掌握域环境的规划 3) 掌握附助的域控制器的安装 4) 掌握OU的管理 5) 掌握用户帐户和组的管理掌握windows环境下的安全策略管理 6) 掌握文件服务器及打印服务器的配置 7) 掌握企业网络的Internet接入 准备环境 1) 准备4台真机,安装2台域控制器,安装2台打印服务器,安装1台文件服务器,安装1台代理服务器。(具体参照以上TOP图)。 2) 规划IP地址。 3) 创建5个部门OU。 4) 创建部门全局组,总经理域帐户,部门经理域帐户,员工域帐户。 5) 配置文件服务器 6) 配置打印服务器 7) 代理服务器,客户机必须走代理才能上网 实验步骤及参考 步骤一:修改计算机名称并设置IP地址
1) 把计算机名称修改为PCXX(XX为机器号) 2) 所有真机IP地址不修改, DNS均为PDC的IP地址。 3) 3台服务器网关均填写为教师机IP地址。 4) 客户机的网关可以不用填写。 步骤二:配置代理服务器,并测试代理服务器是否能上网。 1) 设置代理服务器的网关和DNS为教师机IP地址 2) 保证代理服务器必须能上网(测试) 3) 安装ccproxy代理软件,并开启。
步骤三:安装PDC 1) 设置PDC的网关为教师机IP地址,DNS为自己的IP地址。 2) 给PDC设置密码为abc123,
3) 在计算机PDC上,单击“开始”---“运行”,输入“dcpromo”,按Active Directory 安装向导进行。 4) 在“域控制器类型”中选择“新域的域控制器”。 5) 在“创建一个新域”中选择“在新林中的域”。 6) 输入新域的DNS全名“https://www.360docs.net/doc/9315108023.html,”。(X为自己的小组号)
Windows7本地安全策略
广东XXXX职业学院 计算机工程技术学院(软件学院) 实验报告 专业计算机网络技术班级XXX 成绩评定______ 学号XX 姓名XXX (合作者____号____) 教师签名XX 实验八题目本地安全策略第九周星期二第节 一、实验目的与要求(此栏实验前由老师填写) ◆创建和验证多重本地组策略的设置; ◆配置本地安全策略设置。 二、实验环境及方案(此栏实验前由老师填写) 实验环境: 主机硬件配置至少1G内存,15G以上的空余硬盘空间,然后要求在主机上安装Oracle VM VirtualBox 4.1.8,利用它配置至少一台虚拟机,安装windows 7企业版客户机,并准备好相应的windows 7安装盘或对应ISO文件。 实验说明: 1.计算机启动时所启动的操作系统称为主机,在虚拟机上安装的操作系统称 为客户机; 2.启动客户机后,如果想操作客户机,只需用鼠标点击客户机桌面就可以; 如果要回到主机操作,可以按下键盘右边ctrl键。 3.也可以通过安装增强功能来实现在主机与客户机之间自由地切换 4.客户机的管理员kgy帐号的登录密码:P@ssw0rd 5.实验所需的各种资料在共享文件夹中找
6.请把实验过程的关键操作屏幕的图片剪切下来,贴在相应实验内容后面, 以备检查。(截屏方法:如果要截全屏,直接按屏幕打印键;如果只截当前屏幕,请按Alt+屏幕打印键) 7.完成后,请将实验结果文件命名为:“班内序号_姓名_第几次实验”,如张 三班内序号为18号、实验一的结果文件可命名为:“18_张三_1.doc” ;再如李四班内序号为8号、实验六的结果文件可命名为:“08_李四_6.doc” 三、实验内容(将每项实验内容的具体操作步骤及相关截图存放于实验结果 栏中) (一)创建和验证多重本地组策略的设置 1、以administrator登录计算机,创建自定义管理控制台,分别选择本地计算机、Administrators和非管理员为组策略对象,保存到桌面并命名为Multiple Local Group Policy Editor; 2、配置本地计算机策略 ●在本地计算机策略中配置windows登录脚本,添加一个登录脚本文件, 脚本文件名称为computerscript.vbs,脚本内容为msgbox “Default Computer Policy”; 3、配置本地计算机管理员策略 ●在本地计算机\Administrators策略中配置windows登录脚本,添加一个 登录脚本文件,脚本文件名称为administratorscript.vbs,脚本内容为msgbox “Default Administrator’s Policy”; 4、配置本地计算机非管理员策略 ●在本地计算机\非管理员策略中配置windows登录脚本,添加一个登录
域安全策略和域控制器安全策略的区别
域安全策略和域控制器安全策略的区别 域控制器安全策略仅更改域控制器的本地用户 而域安全策略控制整个域的用户 正如你说的“域控制器安全策略”优先于“域安全策略”,所以同时设置了两个策略的则域控制器将优先使用域控制器安全策略,而域中的其他的计算机还将继续使用域安全策略的设置项 因为很长时间没有设置带有域的网络了,所以可能我说的可能也有不对的地方,你还是把各种组合试一下来看看规律的好 策略大体上分为4类,即本地策略,域策略,站点策略,ou策略,他们的作用顺序:local policy——〉site policy——〉domain policy——〉ou policy 本地安全策略是本地策略的一部分,在开机的时后就会被执行,无论你是否处于工作组模式还是域模式. 域安全策略是domain policy的一部分,domain policy的作用范围是整个域,因此一台计算机只要处于域模式,就会采用域策略 site的策略一般只在site之间有慢速连接的时候才会使用它,所以微软没有内置站点策略,需要管理员手工设置. DC安全策略是OU策略的一种,ou策略仅作用在ou下,因为dc安全策略是作用在domain controller这个ou上,所以把他们称作dc安全策略,而domain controller这个ou下默认存储的就是域内的所有dc,因此dc安全策略仅作用在dc之上,当然,如果你手工将一个计算机账号移入dc ou,则那台计算机也会执行dc安全策略。 也就是说,一台处于工作组模式的计算机只会执行本地安全策略,而dc则至少要执行本地安全策略,域安全策略,域控制器安全策略三个策略,换言之,处于域模式的计算机要执行多条策略,那么就要有相应的措施保证策略不冲突。默认情况下,当多条策略之间不产生冲突的时候,多条策略之间是merge的关系,即和并执行;但当产生冲突的时候,后执行的策略会替代先执行的策略。也就是说无论在何种情况下,ou设置的策略都会生效 一条策略又可以分为计算机策略和用户策略,计算机策略作用在计算机上,用户策略作用在用户对象上,当同一条策略的计算机策略和用户策略产生冲突的时
(战略管理)部署基本域隔离策略
部署基本域隔离策略 更新时间2009年8月 应用到:Windows7,WindowsServer2000,WindowsServer2003,WindowsServer2003R2,WindowsServer2003withSP1,WindowsServer2003withSP2,WindowsServer2008,WindowsServer2008R2,WindowsVista 通过使用高级安全Windows防火墙,您可以创建用来指定必须通过IPSec的一个或多个功能保护流量的连接安全规则。在域隔离中,使用IPsec身份验证要求连接所涉及的每台域成员计算机正确建立其他计算机的标识。 通过创建要求域成员进行身份验证的规则,可有效地将域成员计算机与不属于域的计算机隔离。 域隔离环境中的计算机要求对入站连接进行身份验证。对于出站连接,通常使用该选项来请求而非要求IPsec保护。这样,计算机便可在与其他同样可以使用IPSec的计算机通信时保护流量,但在与无法使用IPSec的计算机通信时,将恢复使用纯文本。在WindowsXP和早期版本的Windows中,如果启用了恢复使用纯文本,则将在尝试使用IPsec三秒后使用纯文本。但是,某些服务的响应超时时间小于三秒,这导致其失败。在以上早期版本的Windows中,这意味着必须创建(有时为大量的)出站豁免规则,以支持这些无法进行身份验证的服务器或服务。为解决此问题,Microsoft发布了WindowsServer2003和WindowsXP的简单策略更新。此更新会在受IPSec保护的客户端和未受IPSec保护的客户端之间的尝试延迟缩短到半秒。有关WindowsServer2003和WindowsXP的简单策略更新的详细信息,请参阅使用简单策略更新简化IPSec策略。 较新版本的Windows进一步改进了这一点,不再需要更新。当在WindowsVista和较新版本的Windows中使用请求模式时,Windows同时发送两种连接尝试。如果远程主机使用IPSec响应,则将放弃非IPSec尝试。如果IPSec请求不生成响应,则非IPSec尝试将继续。 延迟缩短或消除后,解决了大多数程序的超时失败问题。但是,有时仍希望确保计算机不使用IPSec来尝试与网络上的某些主机通信。在这些情况下,可为客户端创建身份验证豁免规则,它们不再使用IPSec与豁免列表中的计算机通信。有关域隔离的详细信息,请参阅WindowsServer技术库中“服务器和域隔离简介和使用MicrosoftWindows的域隔离说明。 创建连接安全规则以强制执行域隔离的步骤 在此部分中,创建连接安全规则指定域中的计算机要求对入站网络流量进行身份验证并对出站流量请求身份验证。 重要事项 步骤1:创建请求身份验证的连接安全规则 步骤2:部署并测试连接安全规则 步骤3:将隔离规则更改为要求身份验证 步骤4:使用不具有域隔离规则的计算机测试隔离 步骤5:为不是域成员的计算机创建豁免规则 步骤1:创建请求身份验证的连接安全规则
本地安全策略
本地安全策略 任务: 基于服务器安全要求,做为网络管理员,进行安全策略设置。 任务目的: 1.掌握Windows Server 2003账户策略使用方法。 2.掌握Windows Server 2003审核策略的使用方法。 3.掌握本地策略的使用方法。 任务要求: 根据安全策略特性,制定本地安全策略, 写出方案,并进行实施,实施步骤进行抓屏做为作业上交。 任务具体内容: 一、备份本地安全策略 依次打开“开始”、“程序”、“管理工具”、“本地安全策略”,右键“安全设置”,“导出策略”,输入文件名bak.inf,确定。文件名可以任选,只要你知道是它是最原始的安全策略便可。 二、恢复本地安全策略 1.在做恢复本地安全策略以前,先建立一个用户,不给口令, 应该顺利建成。 2.进入本地安全策略,右键“安全设置”,“导入策略”可以看到许多安全模板,包括你上面备份的那一个,这些安全模板是 Server 2003自带的几套,系统管理员可以不作任何更改将其
应用到系统中来,不同模板安全级别不同,作用网管员应该熟 悉这些模板,在具体工作时,你可以在这些模板的基础上,自 定义出适合具体工作场合的模板。 3.导入hisecde.inf策略,重新建一个用户,如同(1)一样,不给口令,结果?不能建用户,原因:因为本地安全策略与原 来的不同了,它使用了另外一个系统已经设置好的要求用户口 令的安全策略。 4.导入备份的本地安全策略bak.inf,导入结束后,你再从新建一个用户,结果?说明了什么? 三、帐户策略 1.用管理员登录,新建一个user1用户,不输入密码,是否能建成? 进入本地安全策略,再进入帐户策略,再进入密码策略,双击密码 长度最小值,输入4,退出。这时新建一个用户user2,不输入密 码,是否能建成?有什么提示?输入3位密码,结果如何?输入4 位密码,结果如何?再进入本地策略中的帐户策略,双击密码必须 符合复杂性要求,先已启用,退出。这时再新建一个用户user3, 输入密码abcd,1234,a1b2,a1b:,哪个能建成用户?从而说明密 码必须符合复杂性要求是指:该密码必须由字母、数字、符号三种 组成,缺一不可。最后复原:取消密码必须符合复杂性要求和把密 码长度最小值设为0。 2.用管理员登录,新建一个user4用户,只选下次登录时改变密码, 再建一个用户user5,输入密码:user5,只选用户不能修改密码。 分别用user4和user5登录,是否都能登录?用管理员登录,进入 安全策略,再进入密码策略,把密码最长保存期改为30天,再修 改系统时间,向后延长30天,分别用user4和user5登录,有什 么提示?能否登录?为什么?用user4用户登录,能否自己修改密 码?用管理员登录,进入安全策略,再进入密码策略,把密码最短 存留期改为60天,用user4用户登录,能否自己修改密码?用管
使用域组策略及脚本统一配置防火墙
使用域组策略/脚本统一配置防火墙 目前企业内网多为域环境,部分企业应用例如入侵检测等需要客户端统一开放某一端口比如Ping,如果企业环境较大,客户端数千个逐个设置将是浪费工作效率且不灵活的方案;所以可以通过使用域策略来统一设置; 统一配置可以通过域策略中自带的防火墙模板来设置,也可以通过使用bat脚本来配置,下面即分别演示配置方法; 1 域组策略统一配置防火墙 使用域管理员登录域控制器,打开“管理工具>组策略管理”; 在目标组织单位右击,新建GPO; 1.1 禁用客户端防火墙 1.1.1 域策略配置 右击目标OU的GPO,选择编辑GPO,选择“计算机配置>策略>Windows设置>安全设置>系统服务”; 选择Windows Firewall/Internet Connection Sharing(ICS)俩项服务,并禁用该俩项服务;
结果如下; 1.1.2 查看客户端结果 重启XP客户端查看结果 重启Win7客户端查看结果
1.2 开放客户端防火墙端口 (注:首先将上面组策略中的系统服务设置还原在进行下一步的配置) 1.2.1 域策略配置 右击目标GPO选择编辑,选择“ 计算机配置>策略>管理模板>网络>网络连接>Windows防火墙”,下面的子集即为客户端防火墙配置项目,此处主要包含俩个子集“域配置文件”和“标准配置文件”两个策略子集,其中,域配置文件主要在包含域DC的网络中应用,也就是主机连接到企业网络时使用;标准配置文件则是用于在非域网络中应用; 组策略设置描述 Windows 防火墙: 保护所有网络连接 用于指定所有网络连接都已启用Windows 防火墙。 Windows 防火墙: 不允许例外 用于指定所有未经请求的传入通信将被丢弃,包括已添加到例外列表的通信。 Windows 防火墙: 定义程序例外 用于通过应用程序文件名定义已添加到例外列表的通信。 Windows 防火墙: 允许本地程序例外 用于启用程序例外的本地配置。 Windows 防火墙: 允许远程管理例外
组策略教程
一、访问组策略 1.输入gpedit.msc命令访问: 选择“开始”→“运行”(或快捷方式:Win+R),在弹出窗口中输入“gpedit.msc”,回车后进入组策略窗口。组策略窗口的结构和资源管理器相似,左边是树型目录结构,由“计算机配置”、“用户配置”两大节点组成。这两个节点下分别都有“软件设置”、“Windows设置”和“管理模板”三个节点(如图一),节点下面还有更多的节点和设置。此时点击右边窗口中的节点或设置,便会出现关于此节点或设置的适用平台和作用描述。“计算机配置”、“用户配置”两大节点下的子节点和设置有很多是相同的,那么我们该改哪一处?“计算机配置”节点中的设置应用到整个计算机策略,在此处修改后的设置将应用到计算机中的所有用户。“用户配置”节点中的设置一般只应用到当前用户,如果你用别的用户名登录计算机,设置就不会管用了。但一般情况下建议在“用户配置”节点下修改,本文也将主要讲解“用户配置”节点的各项设置的修改,附带讲解“计算机配置”节点下的一些设置。其中“管理模板”设置最多、应用最广,因此也是本文的重中之重。 图一:
下面我们就进入“用户配置”,去细细探测它的奥秘: 1、在软件设置里面没有什么重要内容,我们省去介绍吧(不信你看看); 2、那我们先看看“windows设置”里的内容(如图二全结构图:):在“windows设置”的节点下有“脚本”、“安全设置”和“IE维护”三个节点,其中“脚本”下包含“登录”和“注销”两个脚本,其功能(属性)是设置“登录”和“注销”时的桌面背景!在“安全设置”里面没有什么实质内容,现我们就忽略它吧! 《而对于“计算机配置”的“安全设置”的下节点里,多了三个小节点,其一是“密码策略”,它可以设置我们对用户的密码要求及密码保留时间等,因此,当你设置后,你的密码设置就必须符合这要求。。。。。。其二是“帐号锁定策略”,它可以设置帐号无效登录系
本地安全策略设置
实验本地安全策略设置 【实验目的】 1)掌握帐户策略的设置。 2)掌握本地策略的设置。 【实验环境】 具有Windows xp的计算机、局域网环境。 【实验重点及难点】 重点:掌握帐户策略、本地策略的设置。 难点:实验过程中,切实理学会如何实际应用XP本地安全策略。 【实验内容】 一、帐户策略的设置。 1、设置密码策略(使我们的系统密码相对安全,不易破解)。 1)打开”开始”菜单→”程序”→”管理工具”→”本地安全策略”→”帐户策略”→”密 码策略”(截图),设置密码长度最小值为2个字符,密码最短存留期为2天,密码最长存留期为50天。启用密码必须符合复杂性要求(截图)。 更改密码,设置Administrator帐号密码为空,或者设置密码为单一数字,则弹出如下对话框(截图)。 1)完成。 2、设置帐户锁定策略(可以抵御网络用户通过枚举入侵自己计算机)。 1)打开”开始”菜单→”程序”→”管理工具”→”本地安全策略”→”帐户策略”→”帐户锁定策略”(截图)。 2)设置”复位账户锁定计数器”为2分钟之后,“账户锁定时间”为2分钟,”账户锁定阈值”为5次无效登陆。(截图)。 3)此时,注销自己计算机,连续5次输入密码错误,此时自己电脑被锁定,禁 止输入密码,并且锁定时间为2分钟。 4)完成。 二、本地策略的设置。 1、设置审核策略(可以获取用户对本计算机的操作历史进行审核)。 审核登陆事件:用户在本机的登陆。 审核对象访问:用户对对象的访问(如文件、文件夹控制面板等)。 审核系统事件:系统的启动、注销和关机,以及涉及到安全性的一些事件。 审核帐户登陆事件:用户在其他计算机上登陆,在本计算机上进行验证。 审核帐户管理:涉及到帐户的管理,如新建用户和组,修改密码、重命名用户和组等。 1)打开”开始”菜单→”程序”→”管理工具”→”本地安全策略”→”本地策略”→”审核策略”(截图)。 2)设置审核登陆事件和审核系统事件都为成功和失败(截图)。
本地安全策略修复方法
解决: 方法一、1、点击『开始』菜单 2、点击“运行” 3、键入"regedit"(不包括感叹号) 4、在注册表键值HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC 请将 RestrictToPermittedSnapins 的值设置为 0 方法二、1、点击『开始』菜单 2、点击“运行” 3、键入"regedit"(不包括感叹号) 4、在注册表键值 HKEY_CURRENT_USER\Software\Policies\Microsoft\Mmc\{8FC0B734-A0E1-11D1-A7D3-000 0F87571E3}\Restrict_Run 和 HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC\{0F6B957E-509E-11D1-A7CC-000 0F87571E3}\Restrict_Run 请将 Restrict_Run 的值设置为 0 5、修改完毕后重启。 方法三、1、点击『开始』菜单 2、点击“运行” 3、键入"regedit"(不包括感叹号) 4、在注册表键值 HKEY_CLASSES_ROOT\CLSID\{8FC0B734-A0E1-11D1-A7D3-0000F87571E3}\InProcServer32 把其中的default改成: %SystemRoot%\System32\GPEdit.dll 5、修改完毕后重启。 方法四、检查环境变量: a、点击『开始』菜单 b、点击“控制面板” c、在“控制面板”中打开“系统” d、在“系统属性”中点击“高级”标签 e、在“高级”标签页中点击“环境变量”按钮 f、在“环境变量”中的“系统变量”框中的变量名为Path中修改变量值为: %Systemroot%\System32;%Systemroot%;%Systemroot%\system32\WBEM 方法五、运行regsvr32 filemgmt.dll a、点击『开始』菜单 b、点击“运行”
域控器的组策略应用设置大全
域控器的组策略应用设置大全 组策略应用设置大全一、桌面项目设置1、隐藏不必要的桌面图标2、禁止对桌面的改动3、启用或禁止活动桌面4、给“开始”菜单减肥5、保护好“任务栏”和“开始”菜单的设置二、隐藏或禁止控制面板项目1. 禁止访问“控制面板” 2、隐藏或禁止“添加/删除程序”项3、隐藏或禁止“显示”项三、系统项目设置1、登录时不显示欢迎屏幕界面2、禁用注册表编辑器3、关闭系统自动播放功能4、关闭Windows自动更新5、删除任务管理器四、隐藏或删除Windows XP资源管理器中的项目1、删除“文件夹选项” 2、隐藏“管理”菜单项五、IE浏览器项目设置1、限制IE 浏览器的保存功能2、给工具栏减肥3、在IE工具栏添加快捷方式4、让IE 插件不再骚扰你5、保护好你的个人隐
私6、禁止修改IE浏览器的主页7、禁用导入和导出收藏夹六、系统安全/共享/权限设置1、密码策略2、用户权利指派3、文件和文件夹设置审核4、Windows 98访问Windows XP共享目录被拒绝的问题解决5、阻止访问命令提示符6、阻止访问注册表编辑工具一、桌面项目设置在“组策略”的左窗口依次展开“用户配置”→“管理模板”→“桌面”节点,便能看到有关桌面的所有设置。此节点主要作用在于管理用户使用桌面的权利和隐藏桌面图标。1、隐藏不必要的桌面图标桌面上的一些快捷方式我们可以轻而易举地删除,但要删除“我的电脑”、“回收站”、“网上邻居”等默认图标,就需要依靠“组策略”了。例如要删除“我的文档”,只需在“删除桌面上的?我的文档?图标”一项中设置即可。若要隐藏桌面上的“网上邻居”和“Internet Explorer”图标,只要在右侧窗格中将“隐藏桌面上?网上邻居?图标”和“隐藏桌面上的
设置安全策略步骤
实验七设置安全策略实验背景 某公司所有员工的初始密码为benet2!。管理员担心公司员工更改的密码过于简单,容易被扫描软件扫描扫到,同时管理员担心用户长久不更改密码影响安全性。对于公司域控制器,管理员需要验证都有谁在什么时候登录。有人反应公司的文件服务器上的资料有丢失现象,管理员需要查找是否有人有意的删除文件。 由于域用户帐号一旦登录域内成员主机成功,访问文件服务器不在需要做身份验证,为了放置有人恶意尝试用户密码,公司要求所有员工有三次输入密码机会,三次输入错误自动锁定帐号。试行一段时间后很多人帐号经常锁定,不得不频繁找管理员,管理员需设定用户帐号的30分钟自动解锁。 公司有人反应访问加入域后,用域用户帐号登录后不能自动关机,公司要求所有员工下班必须关机离开,管理员解决这个问题。 有部分输入domain users组的员工需要登录域控制器,可这些员工反应他们无法登录域控制器,管理员解决这个问题 文件服务器公司要求所有员工可以网络访问,但不可以对文件服务器本地登录,公司要求管理员完成,并对文件服务器做登录审核。 对于文件服务器,公司要求本地登录成功后需要提示:标题:重要警告,内容:服务器重地,请不要做任何删除和剪切。 实验目标 1 所有域用户帐号在设置密码时,必须符合复杂密码要求,密码长度至少7位,密码必须每60天更新一次 2 设置三次密码锁定,设置锁定复位时间30分钟。 3 为域控制器启动帐号的登录审核,对文件服务器启动对象审核 4 把域用户帐号加入关闭系统,保证可以下班关机 5 把域用户帐号加入本地登录安全策略 6 文件服务器上把所有的用户帐号加入拒绝网络访问,对文件服务器启动审核 7 对文件服务器设置登录提示 实验环境 1 一人一组 2 准备2台Windows Server 200 3 虚拟机(1台域控制器,1台成员主机) 实验步骤: 1 在域控制器上完成 以域管理员登录域控制器,设置域安全策略