WINDOWS2003安全策略设置

Windows下搭建Subversion 服务器一、准备工作1、获取Subversion 服务器程序到官方网站（/）下载最新的服务器安装程序。

目前最新的是1.5版本，具体下载地址在：/servlets/ProjectDocumentList?folderID=8100&expandFolder=8100&f olderID=912、获取TortoiseSVN 客户端程序从官方网站/downloads 获取最新的TortoiseSVN 。

TortoiseSVN 是一个客户端程序，用来与subvers 服务器端通讯。

Subversion 自带一个客户端程序svn.exe ,但TortoiseSVN 更好操作，提高效率。

二、安装服务器端和客户端安装Subversion（以下简称SVN）的服务器端和客户端。

下载下来的服务器端是个zip 压缩包，直接解压缩即可，比如我解压到E:\subversion 。

客户端安装文件是个exe 可执行文件，直接运行按提示安装即可，客户端安装完成后提示重启。

三、建立版本库（Repository）运行Subversion服务器需要首先要建立一个版本库（Repository）。

版本库可以看作是服务器上集中存放和管理数据的地方。

开始建立版本库。

首先建立e:\svn 空文件夹作为所有版本库的根目录。

然后，进入命令行并切换到subversion的bin目录。

输入如下命令：svnadmin create E:\svn\repos1此命令在E:\svn 下建立一个版本库repos1 。

repos1 下面会自动生成一些文件夹和文件。

我们也可以使用TortoiseSVN 图形化的完成这一步：先建立空目录E:\svn\repos1 ，注意一定是要空的。

然后在repos1 文件夹上“右键->TortoiseSVN->Create Repository here...”，然后可以选择版本库模式，这里使用默认的FSFS 即可，然后就创建了一系列文件夹和文件，同命令行建立的一样。

Win 2003 Server 服务器安全设置（七）服务器安全设置之--本地安全策略设置
安全策略自动更新命令：GPUpdate /force (应用组策略自动生效不需重新启动) 开始菜单—>管理工具—>本地安全策略
A、本地策略——>审核策略
审核策略更改成功失败
审核登录事件成功失败
审核对象访问失败
审核过程跟踪无审核
审核目录服务访问失败
审核特权使用失败
审核系统事件成功失败
审核账户登录事件成功失败
审核账户管理成功失败
B、本地策略——>用户权限分配
关闭系统：只有Administrators组、其它全部删除。

通过终端服务拒绝登陆：加入Guests、User组
通过终端服务允许登陆：只加入Administrators组，其他全部删除
C、本地策略——>安全选项
交互式登陆：不显示上次的用户名启用
网络访问：不允许SAM帐户和共享的匿名枚举启用
网络访问：不允许为网络身份验证储存凭证启用
网络访问：可匿名访问的共享全部删除
网络访问：可匿名访问的命全部删除
网络访问：可远程访问的注册表路径全部删除
网络访问：可远程访问的注册表路径和子路径全部删除
帐户：重命名来宾帐户重命名一个帐户
帐户：重命名系统管理员帐户重命名一个帐户。

windows Server 2003使用ip安全策略禁止某ip访问服务器的方法修改浏览权限|删除
windows Server 2003使用ip安全策略禁止某ip访问服务器的方法下面有文字与图片，请耐心观看......
控制面板—管理工具—本地安全策略或者命令 gpedit.msc
选择创建 IP 安全策略
点选下一步
我们就是要禁止他,不和他说话,那么,取消勾选
直接按完成.那个勾选是默认的
注意右下的”添加向导”,如果勾选了,取消他,然后点击”添加”
选中刚刚建立的禁止ip 点编辑
(@添加ip)
把”添加向导”的勾选取消 , 然后点添加
地址和目标别写反了,把自己给封了
// 然后切换到“协议” 面板
我这里是选择 tcp 到80端口 ,直接按确定,回到上层界面,继续确定,回到新规则属性面板
选择“筛选器操作”面板
这里的阻止是我先前做的添加的, 操作步骤为: 取消“添加向导” 的勾选点添加
在常规里面重命名为阻止就ok了
一路确定,回到
注意要禁止ip 前面的勾选
确定,完成此策略
最后需要指派策略
到此,刚才显示的ip 116.164.68.6 地址的用户就不能访问服务器了添加多ip 从 (@添加ip) 开始
--------------------------------------------
如果允许访问，也同样这样操作就可以，很简单！
有错误请及时提出,谢谢!
来
自:/mxf521/blog/item/9328da5439930f49d109069e.html。

在Windows Server 2003 域控制器中打开和使用组策略Windows 2000/XP/2003系统默认已经安装了组策略组件，以一台运行Windows Server 2003 (SP^D系统的域控制器为例,在开始菜单中单击“运行”菜单项，然后在“打开”编辑框中输入gpedit.msc命令并按回车键，打开“组策略编辑器”窗口。

打开“组策略编辑器”窗口后，其默认的编辑对象是本地计算机。

用户如果想在本地计算机中将其他计算机作为组策略编辑对象，则需要将组策略作为独立的控制台管理程序来打开，具体操作步骤如下所述：第1步，在开始菜单中单击“运行”菜单项，然后在“打开”编辑框中输入MMC 命令并按回车键。

第2步，打开“控制台1”窗口，依次单击“文件” t “添加/删除管理单元” 菜单命令，打开“添加/删除管理单元”对话框。

在“独立”选项卡中单击“添加”按钮，如图2008112619所示。

施|扩麻1使用此京采宿坦或孙除控飘向的菩FF草无.I言珑尊芯燧is PJ ISW SSS A图2008112619 “添加/删除管理单元”对话框第3步，打开“添加独立管理单元”对话框，在“可用的独立管理单元”列表中选中“组策略对象编辑器”选项，并单击“添加”按钮，如图2008112620所示可用的独立管理知元:图2008112620 “添加独立管理单元”对话框第4步，在打开的“选择组策略对象”对话框中单击“浏览”按钮， 打开“浏览 组策略”对象对话框。

切换到“计算机”选项卡并选中“另一台计算机”单选 框，单击“浏览”按钮，如图 2008112621所示管理单元 Y 元携监祝器 屈性能日志箱警报 ，希远程息面 句证书 密j 证书跌机构 闻征书模模 梁拦端熊务配置静担伸服务供应商Microsoft Ccrpwra... F5i craioft Cflrp&rA .. Microsoft Corpora..Murotftft Carport... Microsoft Cflrp&ra... Mi erasoftCflrpar*...Mi cr»io£t Ccrp&r * Mierasof tCorpora..Mierotfift Cflrpftr*..."Sji此管理单元允许摩疆辑貌策Directory 中的站点、主域览对象可同Active招梃疆或Hf 存在计算机上-曜器配■困g美闭©图2008112621 “选择组策略对象”对话框第5步，打开“选择计算机”对话框，通过高级查找功能在域中找到并选中目标计算机。

本文档以window server 2003 详细说明组策略禁止端口连接的方法。

本文档以禁止windows远程端口3389为例。

(类似于linux的iptable策略)
1. 开始运行gpedit. Msc打开组策略。

2.在IP安全策略中，右键选择“管理IP筛选器和筛选器操作”
3.在筛选器列表上点击“添加”：
4 在添加界面，编辑名称和描述等，点“添加”进入添加筛选器向导
5.点击“下一步”，在“源地址”类别中选择“所有IP地址”，在“目标地址”类别中选择“我的IP地址”，下一步协议类型(S): 把"任意"选改为"tcp" 下一步，
，添加完成后，确定。

6。

在“管理筛选器操作”中，点击“添加”。

按照向导，填写“名称描述”，点击“下一步”，选择“阻止”。

完成后关闭窗口。

7.回到“IP安全策略”，右键点击“创建IP安全策略”，并点击下一步，填写“描述信息”。

8. 按照向导完成，并编辑属性。

点击“下一步”，并“完成”向导。

9.在右边安全策略列表中，选择刚建好的策略，点击右键“指派”使该安全策略生效。

win2003server组策略设计方案-回复Win2003Server组策略设计方案引言组策略是Windows操作系统中一种非常强大的管理工具，它可以通过统一的方式集中管理网络中的计算机和用户。

在Win2003Server中，组策略可以应用于域中所有计算机和用户，通过定义和配置适当的组策略对象（GPO），管理员可以实现对不同用户、计算机和组织单元（OU）的灵活控制。

本文将详细介绍Win2003Server组策略设计方案，并提供一步一步的指导。

一、环境设计在开始组策略设计之前，我们需要考虑和了解现有的环境和需求。

以下是一些需要考虑的方面：1.1 网络拓扑了解网络拓扑对组策略设计非常重要。

网络拓扑可以包括域林的结构、域的数量和位置、域之间的信任关系等。

1.2 用户需求根据不同用户的角色和需求，我们可以对他们应用不同的组策略。

例如，可以设置某些用户只能使用特定的应用程序，而其他用户则可以使用更多的应用程序。

1.3 安全需求了解安全需求可以让我们根据实际需要设计合适的组策略。

例如，对于具有更高权限的管理员账户，可以设置更严格的安全策略，如密码复杂度要求和账户锁定策略。

二、设计和配置组策略在了解环境和需求之后，我们可以开始设计和配置组策略。

以下是一些重要的步骤和注意事项。

2.1 基于角色和需求的策略设计根据用户角色和需求，我们可以将用户分组，并为每个组应用适当的组策略。

例如，可以创建一个"销售"组，为该组用户应用一组与销售相关的策略，如设置销售软件的访问权限和设置销售人员的桌面背景。

2.2 配置组策略可以通过组策略管理工具（GPMC）来配置组策略。

打开GPMC，展开"域"节点，右键单击"组策略对象"，并选择"新建"。

根据需要，可以创建多个组策略对象，并将它们链接到相应的域、OU或站点。

2.3 设置组策略设置对于每个组策略对象，可以设置多个组策略设置。

windows 2003 域密码策略设置在域控制器上的开始菜单中打开“运行”，输入DSA.MSC后回车，即打开活动目录的用户和计算机管理控制台。

在域节点右键，进入属性，打开组策略选项卡，在里边找到Default Domain policy这个GPO选中他，点击下面的编辑，现在就会打开组策略编辑器，在这个组策略编辑器中找到一下路径：计算机配置-WINDOWS设置-安全设置-帐户策略-密码策略。

在这个路径下找到“密码必须符合复杂性要求”设置为禁用，“密码长度最小值”设置为0。

这样你就可以创建空密码的用户帐户了（当然在这里你也可以为你的域设置你自己需要的密码策略），完成了以上设置后并没有完，还有最后一步，就是在开始菜单的运行中输入“GPUPDATE /FORCE”这个命令。

另：1、如何在WIN2003中添加用户？每次添加用户时总是提示我不符合密码策略，怎么办？问：如何在WIN2003中添加用户？我将公司的主域服务器改成win2003，但是win2003却不让我添加用户，每次添加用户是总是提示我不符合密码策略，怎么办？答：对于2003域，默认域的安全策略与2000域不同。

要求域用户的口令必须符合复杂性要求，且密码最小长度为7。

口令的复杂性包括三条：一是大写字母、小写字母、数字、符号四种中必须有3种，二是密码最小长度为6，三是口令中不得包括全部或部分用户名。

当然也可以重新设默认域的安全策略来解决。

操作如下：开始/程序/管理工具/域安全策略/帐户策略/密码策略：密码必须符合复杂性要求：由“已启用”改为“已禁用”；密码长度最小值：由“7个字符”改为“0个字符”。

使此策略修改生效有如下方法：1、等待系统自动刷新组策略，约5分钟~15分钟2、重启域控制器（若是修改的用户策略，注销即可）3、使用gpupdate命令。

（推荐使用这个）说明：2000中使用的刷新组策略命令secedit /refreshpolicy machine(或user)_policy /enforce 命令在03中已由gpupdate取代。

Windows 2003服务器安全配置终极技巧1、安装系统补丁。

扫描漏洞全面杀毒2、3、NTFS系统权限设置在使用之前将每个硬盘根加上 Administrators 用户为全部权限(可选加入SYSTEM用户)删除其它用户，进入系统盘:权限如下∙C:\WINDOWS Administrators SYSTEM用户全部权限, Users 用户默认权限不作修改,否则ASP和ASPX 等应用程序就无法运行。

∙其它目录删除Everyone用户，切记C:\Documents and Settings下All Users\Default User目录及其子目录如C:\Documents and Settings\All Users\Application Data 目录默认配置保留了Everyone用户权限C:\WINDOWS 目录下面的权限也得注意,如 C:\WINDOWS\PCHealth、C:\windows\Installer也是保留了Everyone权限.∙删除C:\WINDOWS\Web\printers目录，此目录的存在会造成IIS里加入一个.printers的扩展名，可溢出攻击∙默认IIS错误页面已基本上没多少人使用了。

建议删除C:\WINDOWS\Help\iisHelp目录∙删除C:\WINDOWS\system32\inetsrv\iisadmpwd，此目录为管理IIS密码之用，如一些因密码不同步造成500 错误的时候使用 OWA 或 Iisadmpwd 修改同步密码，但在这里可以删掉，下面讲到的设置将会杜绝因系统设置造成的密码不同步问题。

打开C:\Windows 搜索net.exe;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;;re gsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;ftp.exe;telnet.exe;arp.exe;edlin.exe;ping.exe ;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;runonce.exe;syskey.exe修改权限，删除所有的用户只保存Administrators 和SYSTEM为所有权限其它盘，有安装程序运行的(我的sql server 2000 在D盘)给Administrators 和SYSTEM 权限，无只给Administrators 权限。