win7安全策略

如何设置Windows系统的防火墙和安全策略Windows操作系统是目前最为广泛使用的操作系统之一，为了保护计算机的安全，设置防火墙和采取适当的安全策略是重要的。

本文将介绍如何设置Windows系统的防火墙和安全策略，以保护计算机免受恶意攻击和未经授权的访问。

一、设置Windows防火墙Windows系统自带了防火墙功能，通过设置防火墙，可以限制计算机与外部网络的连接，防止恶意软件和攻击的入侵。

1. 打开控制面板首先，点击开始菜单，找到控制面板，并打开。

2. 进入Windows防火墙设置在控制面板中，找到Windows防火墙选项，并点击进入。

3. 配置防火墙规则在防火墙设置页面，可以看到当前的防火墙状态。

点击“启用或关闭Windows防火墙”链接，进入防火墙配置页面。

a. 公用网络位置设置根据网络环境的不同，可以选择公用网络、专用网络或域网络位置。

公用网络是指无线网络、公共Wi-Fi等，专用网络是指家庭或办公室网络，域网络是指连接到公司网络的计算机。

b. 配置防火墙规则点击“允许应用或功能通过Windows防火墙”链接，进入防火墙规则配置页面。

在这里，可以允许或禁止特定应用程序或端口通过防火墙。

建议只允许必要的应用程序进行网络连接，以减少安全风险。

4. 保存和应用设置完成防火墙配置后，点击“确定”按钮保存设置，并确保防火墙处于启用状态。

这样就成功设置了Windows防火墙。

二、配置Windows安全策略除了设置防火墙外，采取其他的安全策略也是保护计算机安全的重要措施。

下面介绍几个关键的安全策略配置。

1. 更新操作系统和软件定期更新操作系统和安装的软件是防止安全漏洞和恶意软件攻击的关键。

确保开启Windows自动更新功能，使系统能及时获取最新的安全补丁和修复。

2. 使用可靠的杀软和防病毒软件安装可靠的杀软和防病毒软件能够检测和清除恶意软件。

及时更新病毒库，定期进行全盘扫描，并确保软件实时保护功能开启。

策略一：关闭window2003不必要的服务•tak cheduler 允许程序在指定时间运行•routing and remote acce 在局域网以及广域网环境中为企业提供路由服务•removable torage 管理可移动媒体、驱动程序和库•remote regitry ervice 允许远程注册表操作•PRint pooler 将文件加载到内存中以便以后打印。

•ipec policy agent 管理ip安全策略及启动iakmp/oakleyike)和ip安全驱动程序•ditributed link tracking client 当文件在网络域的ntf卷中移动时发送通知•alerter 通知选定的用户和计算机管理警报•error reporting ervice 收集、存储和向 microoft 报告异常应用程序•meenger 传输客户端和服务器之间的 net end 和警报器服务消息•telnet 允许远程用户登录到此计算机并运行程序策略二：磁盘权限设置c盘只给adminitrator和ytem权限，其他的权限不给，其他的盘也可以这样设置，这里给的ytem权限也不一定需要给，只是由于某些第三方应用程序是以服务形式启动的，需要加上这个用户，否则造成启动不了。

window目录要加上给uer的默认权限，否则ap和ap某等应用程序就无法运行。

策略三：禁止 window 系统进行空连接在注册表中找到相应的键值hkey_local_machine/ytem/currentcontrolet/control/la，将dWord值retrictanonymou的键值改为1策略四：关闭不需要的端口本地连接--属性--internet协议(tcp/ip)--高级--选项--tcp/ip筛选--属性--把勾打上，然后添加你需要的端口即可。

(如:3389、21、1433、3306、80)更改远程连接端口方法开始-->运行-->输入regedit查找3389：请按以下步骤查找:1、hkey_local_machineytemcurrentcontroletcontrol erminal erverwd dpwd d cp下的portnumber=3389改为自宝义的端口号2、hkey_local_machineytemcurrentcontroletcontrol erminal erverwintation dp-tcp 下的portnumber=3389改为自宝义的端口号修改3389为你想要的数字(在十进制下)----再点16进制(系统会自动转换)----最后确定!这样就ok了。

如何设置Windows系统中的防火墙和安全策略在Windows系统中，防火墙和安全策略的设置是确保计算机安全和网络安全的重要措施。

正确设置防火墙和安全策略可以阻止恶意软件的入侵，保护个人隐私和敏感数据的安全。

下面将介绍如何设置Windows系统中的防火墙和安全策略。

一、配置防火墙设置Windows系统自带了一个防火墙程序，可以帮助过滤传入和传出的网络流量，保护计算机免受网络攻击。

下面是配置防火墙的步骤：1. 打开控制面板：点击Windows开始菜单，选择“控制面板”。

2. 进入系统和安全设置：在控制面板中，找到并点击“系统和安全”。

3. 打开Windows防火墙：在“系统和安全”页面中，点击“Windows Defender防火墙”或“Windows防火墙”。

4. 配置入站规则：在Windows防火墙窗口中，选择“高级设置”。

5. 添加入站规则：在高级安全设置窗口中，点击“入站规则”选项，然后选择“新建规则”。

6. 设置规则类型：根据实际需要，选择“程序”、“端口”、“预定义”等规则类型，并按照向导提示进行设置。

7. 配置规则动作：根据需要，选择允许或阻止该规则的动作，并根据规则类型进行进一步的设置。

8. 配置规则范围：根据需要，指定规则适用的IP地址范围、端口范围等细节。

9. 完成配置：按照向导的提示完成规则的配置。

10. 配置出站规则：重复步骤5-9，将规则类型设置为“出站规则”，按照需要进行配置。

二、设置安全策略除了防火墙外，Windows系统还提供了安全策略设置，可以进一步保护计算机和网络的安全。

下面是设置安全策略的步骤：1. 打开本地安全策略编辑器：点击Windows开始菜单，输入“secpol.msc”并回车，打开本地安全策略编辑器。

2. 设置密码策略：在本地安全策略编辑器中，展开“帐户策略”>“密码策略”选项。

3. 配置密码复杂度：双击“密码必须符合复杂性要求”策略，并将其设置为“已启用”。

组策略安全选项对应注册表项汇总在组策略中的位置:计算机设置->Windows设置->安全设置->本地策略->安全选项详细列表:[MACHINE\System\CurrentControlSet\Control\Lsa] 值名:AuditBaseObjects含义:对全局系统对象的访问进行审计类型:REG_DWORD数据:0=停用1=启用值名:CrashOnAuditFail含义:如果无法纪录安全审计则立即关闭系统类型:REG_DWORD数据:0=停用1=启用值名:FullPrivilegeAuditing含义:对备份和还原权限的使用进行审计类型:REG_BINARY数据:0=停用1=启用值名:LmCompatibilityLevel含义:LAN Manager身份验证级别类型:REG_DWORD数据:0=发送LM &NTLM响应1=发送LM & NTLM -若协商使用NTLMv2安全2=仅发送NTLM响应3=仅发送NTLMv2响应4=仅发送NTLMv2响应\拒绝LM5=仅发送NTLMv2响应\拒绝LM &NTLM值名:RestrictAnonymous含义:对匿名连接的额外限制(通常用于限制IPC$空连接)类型:REG_DWORD数据:0=无.依赖于默认许可权限1=不允许枚举SAM账号和共享2=没有显式匿名权限就无法访问值名ubmitControl含义:允许服务器操作员计划任务(仅用于域控制器)类型:REG_DWORD数据:0=停用1=启用[MACHINE\System\CurrentControlSet\Control\Print\Providers\LanMan PrintServices\Servers]值名:AddPrinterDrivers含义:防止用户安装打印机驱动程序类型:REG_DWORD数据:0=停用1=启用[MACHINE\System\CurrentControlSet\Control\SessionManager\MemoryManagement]值名:ClearPage含义:在关机时清理虚拟内存页面交换文件类型:REG_DWORD数据:0=停用1=启用[MACHINE\System\CurrentControlSet\Control\SessionManager]值名rotectionMode含义:增强全局系统对象的默认权限 (例如 SymbolicLinks)类型:REG_DWORD数据:0=停用1=启用[MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters]值名:EnableSecuritySignature含义:对服务器通讯进行数字签名(如果可能)类型:REG_DWORD数据:0=停用1=启用值名:RequireSecuritySignature含义:对服务器通讯进行数字签名(总是)类型:REG_DWORD数据:0=停用1=启用值名:EnableForcedLogOff含义:当登录时间用完时自动注销用户(本地)类型:REG_DWORD数据:0=停用1=启用值名:AutoDisconnect含义:在断开会话产所需要的空闲时间类型:REG_DWORD数据:分钟数[MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Paramet ers]值名:EnableSecuritySignature含义:对客户端通讯进行数字签名(如果可能)类型:REG_DWORD数据:0=停用1=启用值名:RequireSecuritySignature含义:对客户端通讯进行数字签名(总是)类型:REG_DWORD数据:0=停用1=启用值名:EnablePlainTextPassword含义:发送未加密的密码以连接到第三方SMB服务器类型:REG_DWORD数据:0=停用1=启用[MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters] 值名isablePasswordChange含义:防止计算机帐户密码的系统维护类型:REG_DWORD数据:0=停用1=启用值名ignSecureChannel含义:安全通道: 对安全通道数据进行数字签名(如果可能)类型:REG_DWORD数据:0=停用1=启用值名ealSecureChannel含义:安全通道: 对安全通道数据进行数字加密(如果可能)类型:REG_DWORD数据:0=停用1=启用值名:RequireSignOrSeal含义:安全通道: 对安全通道数据进行数字加密或签名(总是)类型:REG_DWORD数据:0=停用1=启用值名:RequireStrongKey含义:安全通道: 需要强 (Windows 2000 或以上版本)会话密钥类型:REG_DWORD数据:0=停用1=启用[MACHINE\Software\[M$]\DriverSigning]值名olicy含义:未签名驱动程序的安装操作类型:REG_BINARY数据:0=默认安装1=允许安装但发出警告2=禁止安装[MACHINE\Software\[M$]\Non-DriverSigning]值名olicy含义:未签名非驱动程序的安装操作类型:REG_BINARY数据:0=默认安装1=允许安装但发出警告2=禁止安装[MACHINE\Software\[M$]\Windows\CurrentVersion\Policies\System] 值名isableCAD含义:禁用按CTRL+ALT+DEL进行登录的设置类型:REG_DWORD数据:0=停用1=启用值名ontDisplayLastUserName含义:登录屏幕上不要显示上次登录的用户名类型:REG_DWORD数据:0=停用1=启用值名:LegalNoticeCaption含义:用户试图登录时消息标题类型:REG_SZ数据:标题文本值名:LegalNoticeText含义:用户试图登录时消息文字类型:REG_SZ数据:消息文字值名hutdownWithoutLogon含义:登录屏幕上不要显示上次登录的用户名类型:REG_DWORD数据:0=停用1=启用[MACHINE\Software\[M$]\WindowsNT\CurrentVersion\Setup\RecoveryConsole] 值名ecurityLevel含义:故障恢复控制台:允许自动系统管理级登录类型:REG_DWORD数据:0=停用1=启用值名etCommand含义:故障恢复控制台:允许对所有驱动器和文件夹进行软盘复制和访问类型:REG_DWORD数据:0=停用1=启用[MACHINE\Software\[M$]\WindowsNT\CurrentVersion\Winlogon]值名:AllocateCDRoms含义:只有本地登录的用户才能访问CD-ROM类型:REG_SZ数据:0=停用1=启用值名:AllocateDASD含义:允许弹出可移动 NTFS媒体类型:REG_SZ数据:0=Administrators1=Administrators 和 Power users2=Administrators 和 Interactiveusers值名:AllocateFloppies含义:只有本地登录的用户才能访问软盘类型:REG_SZ数据:0=停用1=启用值名:CachedLogonsCount含义:可被缓冲保存的前次登录个数(在域控制器不可用的情况下)类型:REG_SZ数据:次数,如10次值名asswordExpiryWarning含义:在密码到期前提示用户更改密码类型:REG_DWORD数据:天数,缺省是14天值名cRemoveOption含义:智能卡移除操作类型:REG_SZ数据:0=无操作1=锁定工作站2=强制注销==================================================================== ===========组策略用户配置管理模板与注册表对应键值一.组策略用户配置管理模板Windows组件《Windows Update》[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesWind owsUpdate]"DisableWindowsUpdateAccess"=dword:00000001（删除使用所有Windows Update功能的访问）（至少WINXP）《组策略用户配置管理模板任务栏和开始菜单》[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExpl orer]"NoSimpleStartMenu"=dword:00000001（强制典型菜单）（至少WINXP）"NoCommonGroups"=dword:00000001（从开始->程序菜单删除公共程序组）（至少WIN2000）"NoSMMyDocs"=dword:00000001（从开始->文档菜单删除我的文档图标）（至少WIN2000）"NoNetworkConnections"=dword:00000001（从开始->设置菜单删除网络连接）（至少WIN2000）"NoSMMyPictures"=dword:00000001（从开始菜单中删除"图片收藏"图标）（至少WINXP）"ForceStartMenuLogOff"=dword:00000001（强制开始菜单显示注销）（至少WIN2000）"Intellimenus"=dword:00000001（禁止个性化菜单）（至少WIN2000）"NoInstrumentation"=dword:00000001（关闭用户跟踪）（至少WIN2000）[注]这个设置防止系统跟踪用户使用的程序、用户导航的路径和用户打开的文档。

win7电脑提示此程序被组策略阻止的解决方法
win7电脑提示此程序被组策略阻止的解决方法。

此程序被组策略阻止解决方法：
1、使用Win+E快捷键，调出资源管理器→打开控制面板;如图所示：
2、控制面板→系统和安全;如图所示：
3、系统和安全→管理工具;如图所示：
4、管理工具→本地安全策略;如图所示：
5、右键点击软件限制策略→删除软件限制策略;如图所示：
6、在弹出的警告提示（删除在该组策略对象应以的所有限制策略吗？）→点击是;如图所示：
7、之后就会出现这样的提示：没有定义软件限制策略，如果一开始就是这个提示也没关系，右键点击软件限制策略→创建软件限制策略;如图所示：
8、这样就还原到软件限制的初始状态（无任何限制规则）。

如图所示：
以上内容就是有关于win7电脑提示此程序被组策略阻止的解决方法了，对于那些遇到相同问题的用户们来说，只要按照上述的方法步骤进行操作，那么就可以轻松解决这个问题了。

组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。

通过使用组策略可以设置各种软件、计算机和用户策略。

考虑到安全方面的原因，Windows 7已经开发了许多新的和增强的组策略功能和服务，帮助您更好地保护计算机上驻留的数据、功能和服务。

这些功能的配置取决于您的具体要求和使用环境，本文将主要介绍Windows 7组策略的安全使用技巧，介绍如何配置组策略功能和服务来更好地满足您的系统安全、网络安全、数据保护及个性化需求。

一、系统设置安全篇1. 禁止运行指定程序系统启动时一些程序会在后台启动，这些程序通过“系统配置实用程序”(msconfig)的启动项无法阻止，操作起来非常不便，通过组策略则非常方便，这对减少系统资源占用非常有效。

通过启用该策略并添加相应的应用程序，就可以限制用户运行这些应用程序。

具体步骤如下：(1)打开「开始」菜单，在“搜索程序和文件”搜索框中输入“gpedit.msc”并回车，打开组策略对象编辑器。

(2)在左边的窗格依次单击“用户配置→管理模板→系统”，然后在右边的窗格双击“不要运行指定的Windows应用程序”(如图1所示)。

图1 双击“不要运行指定的Windows应用程序”(3)选中“已启用”，单击“显示”按钮(如图2所示)，添加要阻止的程序如“Wgatray.exe”即可。

图2 添加要阻止的程序当用户试图运行包含在不允许运行程序列表中的应用程序时，系统会提示警告信息。

把不允许运行的应用程序复制到其他的目录和分区中，仍然是不能运行的。

要恢复指定的受限程序的运行能力，可以将“不要运行指定的Windows应用程序”策略设置为“未配置”或“已禁用”，或者将指定的应用程序从不允许运行列表中删除（这要求删除后列表不会成为空白的）。

这种方式只阻止用户运行从Windows资源管理器中启动的程序，对于由系统过程或其他过程启动的程序并不能禁止其运行。

该方式禁止应用程序的运行，其用户对象的作用范围是所有的用户，不仅仅是受限用户，Administrators组中的账户甚至是内建的administrator帐户都将受到限制，因此给管理员带来了一定的不便。

Window7系统消除SMB漏洞方法
（不含Windows 7Starter（简易版）、Windows 7HomeBasic（家庭普通版）、Windows
7HomePremium(家庭高级版)）
1、打开“开始”-〉“控制面板”，如下图所示：
2、在右上方“搜索控制面板”中输入“管理工具”进行搜索，或者选择“查看方式”为“大图标”，找到“管理工具”，如下图所示：
3、点击“管理工具”，打开里面的“本地安全策略”：
4、在“本地安全策略”页面下，点击左侧“本地策略”：
5、点击“本地策略”下面的“安全选项”：
6、找到“网络访问：不允许SAM帐户和共享的匿名枚举”：
7、鼠标右键点击“网络访问：不允许SAM帐户和共享的匿名枚举”，选择“属性”：
8、在打开的属性页面中，将“已禁用”改选为“已启用”：
9、点击“确定”，在弹出的“确认设置修改”对话框中，点击“是”：
10、确定“网络访问：不允许SAM帐户和共享的匿名枚举”的安全设置已经变更为“已启用”：
机！。

Win7系统终端安全加固Win7系统在终端安全方面存在着一些漏洞，这些漏洞可能会被黑客利用，从而对系统和数据造成危害。

因此，了解 Win7 系统终端安全加固是十分必要的。

开启 UAC用户帐户控制 (UAC) 是 Windows Vista 和后续的操作系统中引入的一项重要安全功能。

它会提示用户确认更改，以便您控制应用程序是否可以更改您计算机上的设置。

因此，用户应该开启 UAC 功能，以增强 Win7 系统的安全性。

使用强密码强密码是保护计算机和网络不受攻击的最基本和最有效的措施之一。

在 Win7 系统中设置强密码是应该做的第一步。

强密码应该包含字母、数字、符号和大小写字母，并且应该至少包含8个字符。

此外，用户还应该定期更换密码，以确保安全性。

禁用过期账户Win7 系统中的账户和密码都有过期期限。

为了保护系统，我们应该定期检查并禁用已过期的账户。

禁用过期账户可以防止黑客利用已过期的账户来攻击系统。

此外，建议用户不要共享自己的账户和密码给他人，以保护账户的安全性。

启用防病毒软件Win7 系统中的防病毒软件可以帮助用户避免许多安全威胁。

因此，用户应该启用防病毒软件，并及时更新病毒库。

此外，建议用户不要从不可信来源下载软件或文件，以避免下载有害的程序。

禁用远程桌面和文件共享Win7 系统中的远程桌面和文件共享功能是方便用户互相交流和共享文件的功能。

然而，这些功能同时也会增加系统和数据的风险。

因此，如果用户不需要使用远程桌面和文件共享功能，建议禁用这些功能，以提高系统安全性。

关闭不必要的服务Win7 系统中有很多服务，一些服务不是每个用户都必须使用的。

因此，用户应该在不影响系统正常运行的情况下，关闭不必要的服务。

关闭不必要的服务不仅可以提高系统性能，而且还可以减少系统被攻击的风险。

更新安全补丁Win7 系统中的安全补丁可以修补已知的安全漏洞，以提高系统的安全性。

因此，用户应该及时更新系统中的安全补丁，以保证系统的安全性。