提升Windows 系统安全性的组策略设置

升W i n d o w s系统安全性的组策略设置

有人将组策略比作深藏在系统中的“大内高手”，笔者觉得这个比喻的非常恰当的。组策略确实有其他第三方安全软件所无法比拟的优势，这不仅是其与Windows系统的密切“关系”，更在于它强大的安全功能。除了可通过其进行系统配置，而且可对系统中几乎所有的软硬件实施管理，全方位地提升系统安全。到目前为止，似乎没有任何一款第三方软件可提供如果多的配置项。何况随着Windows系统的更新换代，组策略也是越来越强大了，比如在Windows 7中就增加了许多Vista没有的安全项。本文就以当前主流的Vista系统为例，就Windows组策略的安全特性进行一番比较深入的解析。

为了便于说明，笔者依据组策略的安全配置功能将其划分为三部分：系统核心安全配置、应用程序和设备限制、Internet Explorer(IE)安全。下面就以此为线索，分别谈谈组策略的安全特性。

1、系统核心安全配置

与系统核心安全相关的组策略设置项主要在“计算机配置→Windows配置→安全配置”节点下。

(1).账户策略

对于组策略的这一部分大家应该非常熟悉，因为在这里可以设置密码和账户的锁定策略。例如，在这部分组策略中，我们可以设置密码最小长度或者密码需要包含复杂字符。如果在链接到域(如默认域策略)的组策略对象(GPO)中定义这些策略，域中的所有域控制器(DC)都会处理密码策略，并且组策略对象会控制域用户账户的密码策略。当在链接到域的组策略对象中定义密码策略时，域中的所有工作站和成员服务器也会进行处理，并为这些系统中定义的本地账户设置账户策略。(图1)

图1 安全设置账户策略

大家知道，通过组策略只能定义一个域密码策略，不过，Windows Server 2008支持一套新的密码策略对象，这些在活动目录(AD)中定义的密码策略对象为单一域提供了更加细化的密码策略控制。

(2).本地策略

“本地策略” 下有三个安全策略项，通过配置可以实现Windows系统的各种安全需求。例如，其中的“审计策略”用于配置服务器的Windows安全事件日志收集哪些事件;“用户权限分配”用于配置哪些用户能通过“远程桌面”访问指定的服务器或工作站;使用“安全选项”配置以确定是否激活指定系统上的“管理员” 账户以及重命名

“管理员”账户。

“审计策略”相当直接，允许我们控制Windows安全事件日志能收集哪些事件类型，在此指定成功或失败的事件，用于审计从活动目录访问到系统对象访问(如文件和注册表键)的各种事件类型。根据组策略对象定义审计事件的链接位置，能激活对域控制器或成员服务器和工作站的审计。例如，如果将包含激活目录服务访问审计的组策略对象链接到“域控制器”组织单元，则域中所有域控制器都将执行该策略，因此，所有对活动目录的访问都会作为访问请求被记录到域控制器的日志中。(图2)

图2 安全设置本地策略

“用户权限分配”是组策略中另一个强大的安全工具，能用于控制谁能在指定系统上做什么事情。用户权限的例子包括“本地登录”权限，用于控制谁能交互式登录服务器或工作站的控制台;“加载和卸载设备驱动”权限，用于赋予组或用户安装设备驱动的权限。例如安装打印机和显示驱动通过创建链接到域级别的组策略对象，并为“认证用户”组赋予“拒绝本地登录”权限，能有效防止活动目录域中的所有用户登录自己的工作站。当然，这个例子不是为了说明如何进行破坏，而是要说明“用户权限分配”是如何强大，并在需要使用时必须小心谨慎。同其它策略设置一样，我们只需确保设置用户权限的组策略对象只被应用到所希望使用的计算机上就可以了，但要针对正确的用户组赋予或撤销权限。需要说明的是，“用户权限分配”的权限列表会因Windows版本的不同而哟变化。有时候，运行在Winctows Vista上的组策略对象定义用户权限，该组策略对象被应用到Windows XP系统上时，由于Windows×P可能并不了解该用户权限，所以将在执行策略时忽略该策略。(图3)

图3 本地策略有户权限分配

“本地策略”的最后一部分是“安全选项”，位于“本地策略安全选项”中，由于这些策略定义了控制与系统安全相关的配置行为，因此与系统安全攸关。比如，在此我们可以配置Windows Vista的“用户账户控制(UAC)”。“安全选项”中最有意思的应该是其中出现的安全选项列表。它是由一个名为sceregvl.inf的文件进行配置的，该文件位于%windir%\inf文件夹中。打开该文件后，可以看到“安全选项”中定义的每一条

图4 增加希望组策略进行控制的设置

策略，并且可以编辑这个文件，增加希望组策略进行控制的设置。(图4)

(3).受限制组的策略

“受限制组”策略的目的是提供一种控制机制，控制成员服务器和工作站上的本地组成员。“受限制组”有两种操作模式：“成员”和“作为成员”。“成员”模式是最严格的模式，只有列出的用户和组是其中的成员，所有其他组或用户都被移除。与之相反，“作为成员”模式允许为其他组添加用户和组，也就是说，我们能在任何计算机上创建一条策略，“总是将桌面管理员组作为本地管理员组的成员”，并加以执行，在这

种情况下，“桌面管理员”会被添加到本地“管理员”组，但是不会影响其他的组成员。

(4).系统服务策略

“系统服务”策略允许我们控制在指定计算机上启动哪些Windows服务，还可以控制服务的权限。例如，能够使用这些策略只允许服务器管理员停止和启动所有作为打印服务器的Windows服务器上的“打印池”服务，并能使用“系统服务”策略赋予指定用户组执行某些任务的权限，而不必需要成为系统的管理员才能进行访问。此外，位于“计算机配置→选项→服务”中的“组策略选项”也提供了控制系统服务的策略。这个功能还提供了对于服务配置的更多控制，包括能够修改一系列系统上的服务账户和服务账户密码。

(5).注册表和文件系统策略

这些策略能够集中分别管理文件系统和注册表键的权限。例如，如果想锁定所有桌面系统中的某个文件或文件夹，比如为了避免恶意软件轻易进行修改，需要锁定工作站的HOSTS文件，在这种情况，可以使用“文件系统”策略集中定义所有计算机上执行该策略的文件权限和权限继承。但是一般来说，文件系统和注册表安全策略作为一种集中管理文件系统和注册表安全的方式并不常用，而且如果误用会造成问题。这些策略对于大型的文件和文件夹树结构或注册表键的重新分配权限并不适用，在组策略处理过程中并不能很好地执行，并且在执行过程中已知会降低系统性能。由于默认情况下，即使没有发生策略变更，安全策略每16个小时也会自动刷新，因此这个问题就更加严重。如果需要加强文件系统或注册表权限，笔者建议使用其他方法，例如脚本、Windows安全模板或是第三方安全工具。也就是说，如果只是修改少量文件、文件夹或注册表键的权限，确保这些关键资源受到保护。

2、应用程序和设备限制

(1).应用程序限制

应用程序限制相对应组策略来说就是“软件限制策略(SRP)”，这些策略位于“计算机和用户配置→Wind0ws设置安全设置→软件限制策略”节点。

SRP可以有三种不同的运行模式：默认模式允许所有代码执行，管理员只对那些明恶意的程序或脚本进行限制，俗称“黑名单”。这种方式虽然对于管理来说非常容易，但是并不安全，因为对于一些未知的程序或者脚本管理员无法进行判断和处理。第二种模式称为“白名单”，是使用SRP最安全的方式，但是需要管理员做更多的管理工作，因为要创建各种规则。最后一种模式，称为“基本用户”，在Windows Vista中首先出现。，当设置基本用户的默认级别时，管理员运行的所有进程会被剥离管理令牌，强制这些进程作为非管理员用户运行。当我们不希望管理员使用其管理账户运行某些进程时，这种方式非常有用。(图5)

图5 应用程序限制

对于这一部分内容，如果大家感兴趣可以参考《详解Windows 7下的程序运行控制》()。该文以Windows 7系统为例介绍了通过其组策略对应用程序的安装和运行进行限制，策略方法和Vista下的类似，笔者就不赘述了。

(2).设备限制

所谓设备限制，主要指存储限制即对移动存储设备的限制。我们知道，在企业环境中，通过移动设备进行窃密是比较普遍的。从Vista开始，微软在组策略中提供了对移动设备的限制。其组策略项位于“计算机(或用户配置)→管理模板→系统→可移动存储访问”节点下，在此我们可以设置对任何可移动存储设备的拒绝读或写(或可读写)访问，

支持的可移动存储设备包括U盘、可写CD和DVD以及可移动硬盘。此外，与设备限制相关，我们话你可以通过组策略隐藏磁盘或者限制用户对磁盘分区的访问，以保护磁盘数据，其设置项在“本地计算机策略→用户配置→管理模板→Windows组件→Windows 资源管理器”节点下。至于如何设置大家可以参考文章《Vista 组策略深度挖掘实现非常任务》()。(图6)

图6 设备限制

3、IE安全

之所以把IE的组策略项单独拿出来分析，不仅仅因为IE是Windows系统集成的浏览器，更主要是因为它使用最广泛的浏览器软件，同时也是Windows系统中面临安全威胁最大的系统组件。在Vista的组策略中，我们可以在三个不同的组策略节点来配置IE。这三个节点分别是：“用户配置→Windows设置→IE维护策略”即“IE维护策略”;“计算机或用户配置→管理模板→Windows组件→Internet Explorer”即“管理模板策略”;“用户配置→选项→管理控制面板→Internet设置”即“组策略选项”功能。

其实，上述每种方式在配置IE时都各有优缺点。例如，要配置IE代理或者首页，可以使用“IE维护策略”或“组策略选项”。笔者建议大家尽量使用“组策略选项”，因为在域环境下“IE维护”在向客户端分发策略时并不可靠。需要说明的是，通过“组策略选项”或者“IE维护”修改IE配置，并不能防止用户更改。所以，我们一般要使用“管理模板”策略选项禁止用户访问IE设置页面。通常情况下，使用“管理模板”策略锁定某些IE设置，就能够防止用户修改IE配置来绕过限制。

如果我们要设置IE的区域安全或者设置弹出屏蔽网址类表，可以同时使用这三种方式进行控制，因为每一种方式具有不同的行为，支持不同的选项。例如，使用“计算机或用户配置→管理模板→Windows组件→Internet Explorer\Internet控制面板\安全页面”下的策略对每个IE区域进行安全配置，并使用区域站点分配类表为用户在每个安全区域中添加指定网站。使用这种方式，用户就不能自行修改这些IE设置了，但如果使用“IE维护”策略，虽然也可以进行想要的配置，但是用户可以修改配置。使用“组策略选项”，我们能够配置安全区域，但是不能为区域分配站点。不过，“组策略选项”使得我们可以访问IE属性中的“高级”标签页中是所有设置。所以，这三种方式是互补的，在实战中大家要灵活应用。(图7)

图7 本地组策略Windows组件

总结：本文从三个方面解析了Windows组策略的安全特性，希望对大家认识组策略，提升系统安全有所帮助。其实，组策略作为Wndows安全工具并不能代替第三方安全软件，它们之间也是互补的。不过，我们倒可以对Windows的组策略进行一番深入挖掘，在更大程度上提升系统安全。

组策略应用案例探析

组策略应用案例 实验环境 BＥNET公司利用域环境来实现企业网络管理,公司要求企业员工在使用企业计算机的相关设置需统一管理，要求企业管理员按如下要求完成设置 １所有域用户不能随便修改背景，保证公司使用带有公司ＬOGO的统一背景。 ２. 所有域用户不能运行管理员已经限制的程序,比如计算器，画图等。 3 配置域用户所有IE的默认设定为本企业网站，保证员工打开ＩE可以直接访问到公司网站。且用户不能自行更改主页 4 禁止域用户使用运行，管理员除外。防止打开注册表等修改系统配置。只有管理员处于管理方便目的,可以使用运行。 ５保证域用户有关机权限,保证员工下班可以自行关机，节省公司资源。 6 关闭200３的事件跟踪，公司使用其他手段监控用户计算机。 7 隐藏所有用户的C盘，防止用户误删除系统文件，造成系统崩溃。 8 控制面板中隐藏”添加删除windows组件”，防止用户随意添加ｗindoｗｓ组件，造成系统问题。 9取消自动播放,以防止插入U盘有病毒，自动运行病毒 １0 除管理员外的任何域帐号都不可以更改计算机的IP地址设置，防止由于ＩP地址冲突造成网络混乱。

实验目的 １所有域用户不能随便修改背景 2所有域用户只能运行规定的程序 3 所有域用户帐号打开IE默认主页为 ４所有域用户帐号无法使用运行,管理员可以使用运行 5 域用户帐号可以关机 6 域用户帐号关机时没有事件跟踪提示 7 域用户帐号看不到C盘 8 域用户帐号在控制面板中看不到”添加删除ｗiｎｄoｗs组件” 9 取消自动播放 １0 管理员可以使用本地连接-属性,任何域用户帐号不可使用． 实验准备 1 一人一组 2 准备两台Winｄows Serveｒ2003虚拟机(一台DC,一台成员主机） 3 实验网络环境19２.168.８．０/２4

使用windows组策略对计算机进行安全配置.

综合性实验项目名称：使用windows组策略对计算机进行安全配置 一、实验目的及要求： 1.组策略是管理员为用户和计算机定义并控制程序，网络资源及操作系统行为的主要工具, 通过使用组策略可以设置各种软件，计算机和用户策略。 2.我们通过实验,学会使用组策略对计算机进行安全配置。 二、实验基本原理： 组策略是管理员为用户和计算机定义并控制程序，网络资源及操作系统行为的主要工具通过使用组策略可以设置各种软件，计算机和用户策略。 三、主要仪器设备及实验耗材： PC机一台,Windows2000系统，具有管理员权限账户登录 四、注意事项 必须以管理员或管理员组成员的身份登录win2000系统 计算机配置中设置的组策略级别要高于用户配置中的级别策略 五、实验内容与步骤 1.在”开始”菜单中,单击”运行”命令项,输入gpedit.msc并确定，即可运行程序。 依次进行以下实验： (1)隐藏驱动器 平时我们隐藏文件夹后，别人只需在文件夹选项里显示所有文件，就可以看见了，我们可以在组策略里删除这个选项。 1.使用策略前,查看”我的电脑”的驱动器,如图6-1所示 图6-1 使用策略前,“我的电脑” 2.选择“用户配置—>管理模板—>windows组件—>windows资源管理器”,如图6-2所示。

图6-2 隐藏驱动器 3.使用策略后,查看”我的电脑”的驱动器,如图6-3所示 图6-3 使用策略后,“我的电脑” (2).禁止来宾账户本机登录 使用电脑时，我们有时要离开座位一段时间，如果有很多正在打开的文档还没有处理完成或者正在使用隐私内容时，为了避免有人动用电脑，我们一般会把电脑锁定。但是在局域网中，为了方便网络登录，我们有时候会建立一些来宾账户，如果对方利用这些账户来注销当前账户并登录到别的账户，就会给正常工作带来影响。我们可以通过“组策略”来禁止一些账户在本机上的登录，让对方只能通过网络登录。 在“组策略”窗口中依次打开“计算机配置—>windows设置—>安全设置—>本地策略—>用户权限分配”，然后双击右侧窗格的”拒绝本地登录”项，在弹出的窗口中添加要禁止的用户或组即可实现,如图6-4所示

WindowsXP组策略修改系统配置

组策略是管理员为计算机和用户定义地，用来控制应用程序、系统设置和管理模板地一种机制.通俗一点说，是介于控制面板和注册表之间地一种修改系统、设置程序地工具.微软自开始便采用了组策略这一机制，经过发展到已相当完善.利用组策略可以修改地桌面、开始菜单、登录方式、组件、网络及浏览器等许多设置. 平时像一些常用地系统、外观、网络设置等我们可通过控制面板修改，但大家对此肯定都有不满意，因为通过控制面板能修改地东西太少；水平稍高点地用户进而使用修改注册表地方法来设置，但注册表涉及内容又太多，修改起来也不方便.组策略正好介于二者之间，涉及地内容比控制面板中地多，安全性和控制面板一样非常高，而条理性、可操作性则比注册表强. 文档来自于网络搜索 本文主要介绍本地组策略地应用.本地计算机组策略主要可进行两个方面地配置：计算机配置和用户配置.其下所有设置项地配置都将保存到注册表地相关项目中.其中计算机配置保存到注册表地子树中，用户配置保存到.文档来自于网络搜索 一、访问组策略 有两种方法可以访问组策略：一是通过命令直接进入组策略窗口；二是打开控制台，将组策略添加进去.文档来自于网络搜索 . 输入命令访问 选择“开始”→“运行”，在弹出窗口中输入“”，回车后进入组策略窗口（图）.组策略窗口地结构和资源管理器相似，左边是树型目录结构，由“计算机配置”、“用户配置”两大节点组成.这两个节点下分别都有“软件设置”、“设置”和“管理模板”三个节点，节点下面还有更多地节点和设置.此时点击右边窗口中地节点或设置，便会出现关于此节点或设置地适用平台和作用描述.“计算机配置”、“用户配置”两大节点下地子节点和设置有很多是相同地，那么我们该改哪一处？“计算机配置”节点中地设置应用到整个计算机策略，在此处修改后地设置将应用到计算机中地所有用户.“用户配置”节点中地设置一般只应用到当前用户，如果你用别地用户名登录计算机，设置就不会管用了.但一般情况下建议在“用户配置”节点下修改，本文也将主要讲解“用户配置”节点地各项设置地修改，附带讲解“计算机配置”节点下地一些设置.其中“管理模板”设置最多、应用最广，因此也是本文地重中之重.文档来自于网络搜索. 通过控制台访问组策略 单击“开始”→“运行”，输入“”，回车后进入控制台窗口.单击控制台窗口地“文件”→“添加删除管理单元”，在弹出窗口单击“添加”（图），之后选择“组策略”并单击“添加”（图），在下一步地“选择组策略对象”对话框中选择对象.由于我们组策略对象就是“本地计算机”，因此不用更改，如果是网络上地另一台计算机，那么单击“浏览”选择此计算机即可.另外，如果你希望保存组策略控制台，并希望能够选择通过命令行在控制台中打开组策略对象，请选中“当从命令行开始时，允许更改‘组策略管理单元’地焦点”复选框（图）.最后添加进来地组策略如图所示. 文档来自于网络搜索 二、任务栏和“开始”菜单项目设置 本节点允许你为开始菜单、任务栏和通知区域添加、删除或禁用某一功能项目.依次展开“用户配置”→“管理模板”→“任务栏和‘开始’菜单”，在右边窗口便能看到“任务栏和‘开始’菜单”节点下地具体设置，其状态都处在“未被配置”（图）.文档来自于网络搜索. 给“开始”菜单减肥 地“开始”菜单地菜单项很多，可通过组策略将不需要地删除掉.以删除开始菜单中地“我地文档”图标为例看看其具体操作方法：在右边窗口中双击“从‘开始’菜单上删除‘我地文档’图标”项，在弹出对话框地“设置”标签中点选“已启用”，然后单击“确定”（图），这样在“开始”菜单中“我地文档”图标将会隐藏.文档来自于网络搜索 . 防止隐私泄漏

Windows XP系统的安全配置方案

Windows XP系统的安全配置方案 1.关闭常见危险端口 (1)135端口 主要用于使用RPC（Remote Procedure Call，远程过程调用）协议并提供DCOM（分布式组件对象模型）服务。 关闭135端口： 1. 单击“开始”——“运行”，输入“dcomcnfg”，单击“确定”，打开组件服务。 2. 在弹出的“组件服务”对话框中，选择“计算机”选项。 3. 在“计算机”选项右边，右键单击“我的电脑”，选择“属性”。 4. 在出现的“我的电脑属性”对话框“默认属性”选项卡中，去掉“在此计算机上启用分布式COM”前的勾。 5. 选择“默认协议”选项卡，选中“面向连接的TCP/IP”，单击“删除”按钮。 6. 单击“确定”按钮，设置完成，重新启动后即可关闭135端口。 (2) 139端口 IPC$漏洞使用的是139，445端口。IPC$漏洞其实就是指微软为了方便管理员而安置的后门-空会话。 关闭139端口： 本地连接—>Internet协议（TCP/IP）—>右击—>属性—>选择“TCP/IP”，单击“高级”—>在“WINS”选项卡中选择禁用“TCP/IP的NetBLOS”。 (3) 445端口 和139端口一起是IPC$入侵的主要通道。有了它就可以在局域网中轻松访问各种共享文件夹或共享打印机。黑客们能通过该端口共享硬盘，甚至硬盘格式化。 关闭445端口： 运行-> regedit -> HKEY_LOCAL_MACHINE\ System\CurrentControlSet\Services\NetBT\Parameters 建一个名为SMBDeviceEnabled 的REG-DWORD类型的子键，键值为0。 (4) 3389端口 远程桌面的服务端口，可以通过这个端口，用“远程桌面”等连接工具来连接到远程的服务器。 关闭445端口： 我的电脑—>右击—>属性—>去掉“远程协助”和“远程桌面”前的勾。 2. 删除IPC$空连接 运行—>regedit—>HKEY-LOCAL_MACHINE\ SYSTEM\CurrentControSet\Control\LSA 将数值名称RestrictAnonymous的数值数据由0改为1。 3. 账号密码的安全原则 禁用guest账号，将系统内置的Administrator账号改名（越复杂越好，最好是中文的），设置密码最好为8位以上的字母+数字+符号的组合。 4. 删除共享

用组策略从十大方面保护Windows安全

用组策略从十大方面保护Windows安全 Windows操作系统中组策略的应用无处不在，如何让系统更安全，也是一个常论不休的话题，下面就让我们一起来看看通过组策略如何给Windows系统练就一身金钟罩。 一、给我们的IP添加安全策略? 在“计算机配置”→“Windows设置”→“安全设置”→“IP 安全策略，在本地计算机”下与有与网络有关的几个设置项目(如图1)。如果大家对Internet较为熟悉，那也可以通过它来添加或修改更多的网络安全设置，这样在Windows上运行网络程序或者畅游Internet时将会更加安全。? 图 1 小提示由于此项较为专业，其间会涉及到很多的专业概念，一般用户用不到，在这里只是给网络管理员们提个醒，因此在此略过。 二、隐藏驱动器 平时我们隐藏文件夹后，别人只需在文件夹选项里显示所有文件，就可以看见了，我们可以在组策略里删除这个选项：选择“用户配置→管理模板→Windows组件→Windows 资源管理器”（如图2）。

图 2 三、禁用指定的文件类型 在“组策略”中，我们可以禁用SHS、MSI、BAT、CMD、COM、EXE等程序文件类型，而且不影响系统的正常运行。这里假设我们要禁用注册表的REG文件，不让系统运行 REG文件，具体操作方法如下： 1.打开组策略，点击“计算机配置→Windows设置→安全设置→软件限制策略”，在弹出的右键菜单上选择“创建软件限制策略”，即生成“安全级别”、“其他规则”及“强制”、“指

派的文件类型”、“受信任的出版商”项(图3)。 图 3 2.双击“指派的文件类型”打开“指派的文件类型属性”窗口，只留下REG文件类型，将其他的文件全部删除，如果还有其他的文件类型要禁用，可以再次打开这个窗口，在“文件扩展名”空白栏里输入要禁用的文件类型，将它添加上去。 3.双击“安全级别→不允许的”项，点击“设为默认”按钮。然后注销系统或者重新启动系统，此策略即生效，运行REG文件时，会提示“由于一个软件限制策略的阻止，Windows 无法打开此程序”。 4.要取消此软件限制策略的话，双击“安全级别→不受限的”，打开“不受限的?属性”窗口，按“设为默认值”即可。 如果你鼠标右键点击“计算机配置→Windows设置→安全设置→软件限制策略→其他规则”，你会看到它可以建立哈希规则、Internet?区域规则、路径规则等策略，利用这些规则我们可以让系统更加安全，比如利用“路径规则”可以为电子邮件程序用来运行附件的

Windows操作系统安全配置方案

Windows操作系统安全配置方案 一、物理安全 服务器应当放置在安装了监视器的隔离房间内，并且监视器应当保留１５天以内的录像记录。另外，机箱、键盘、抽屉等要上锁，以保证旁人即使在无人值守时也无法使用此计算机，钥匙要放在安全的地方。 二、停止Guest帐号 在［计算机管理］中将Guest帐号停止掉，任何时候不允许Guest帐号登录系统。为了保险起见，最好给Guest帐号加上一个复杂的密码，并且修改Guest帐号属性，设置拒绝远程访问。 三、限制用户数量 去掉所有的测试帐户、共享帐号和普通部门帐号，等等。用户组策略设置相应权限、并且经常检查系统的帐号，删除已经不适用的帐号。 很多帐号不利于管理员管理，而黑客在帐号多的系统中可利用的帐号也就更多，所以合理规划系统中的帐号分配。 四、多个管理员帐号 管理员不应该经常使用管理者帐号登录系统，这样有可能被一些能够察看Winlogon进程中密码的软件所窥探到，应该为自己建立普通帐号来进行日常工作。 同时，为了防止管理员帐号一旦被入侵者得到，管理员拥有备份的管理员帐号还可以有机会得到系统管理员权限，不过因此也带来了多个帐号的潜在安全问题。 五、管理员帐号改名 在Windows 2000系统中管理员Administrator帐号是不能被停用的，这意味着攻击者可以一再尝试猜测此帐户的密码。把管理员帐户改名可以有效防止这一点。 不要将名称改为类似Admin之类，而是尽量将其伪装为普通用户。 六、陷阱帐号 和第五点类似、在更改了管理员的名称后，可以建立一个Administrator的普通用户，将其权限设置为最低，并且加上一个10位以上的复杂密码，借此花费入侵者的大量时间，并且发现其入侵企图。

组策略设置系列篇之“安全选项”2

组策略设置系列篇之“安全选项”-2 选项, 设置 交互式登录：不显示上次的用户名 此策略设置确定“登录到Windows”对话框是否显示上次登录到该计算机的用户的名称。如果启用此策略设置，不显示上次成功登录的用户的名称。如果禁用此策略设置，则显示上次登录的用户的名称。 “交互式登录：不显示上次的用户名”设置的可能值为： ? 已启用 ? 已禁用 ? 没有定义 漏洞：能够访问控制台的攻击者（例如，能够物理访问的人或者能够通过终端服务连接到服务器的人）可以查看上次登录到服务器的用户的名称。攻击者随后可能尝试猜测密码，使用字典或者依靠强力攻击以试图登录。 对策：将“不显示上次的用户名”设置配置为“已启用”。 潜在影响：用户在登录服务器时，必须始终键入其用户名。 交互式登录：不需要按CTRL+ALT+DEL 此策略设置确定用户在登录前是否必须按Ctrl+Alt+Del。如果启用此策略设置，用户登录时无需按此组合键。如果禁用此策略设置，用户在登录到Windows 之前必须按Ctrl+Alt+Del，除非他们使用智能卡进行Windows 登录。智能卡是一种用来存储安全信息的防篡改设备。 “交互式登录：不需要按CTRL+ALT+DEL”设置的可能值为： ? 已启用 ? 已禁用 ? 没有定义 漏洞：Microsoft 之所以开发此功能，是为了更便于身体有某种残疾的用户登录到运行Windows 的计算机。如果不要求用户按Ctrl+Alt+Del，他们容易受到尝试截获其密码的攻击。如果要求用户在登录之前按Ctrl+Alt+Del，用户密码则会通过受信任路径进行通信。 攻击者可能会安装看似标准Windows 登录对话框的特洛伊木马程序，并捕获用户的密码。攻击者随后将能够使用该用户具有的特权级别登录到被侵入的帐户。 对策：将“不需要按CTRL+ALT+DEL”设置配置为“已禁用”。

Windows环境中组策略处理优先级详解

Windows环境中组策略处理优先级详解 组策略处理和优先级 应用于某个用户（或计算机）的组策略对象(GPO) 并非全部具有相同的优先级。以后应用的设置可以覆盖以前应用的设置。 处理设置的顺序 本节提供有关用户和计算机组策略设置处理顺序的详细信息。有关策略设置处理适合计算机启动和用户登录框架的位置的信息，请参阅以下主题启动和登录中的第3 步和第8 步。 组策略设置是按下列顺序进行处理的： 1.本地组策略对象—每台计算机都只有一个在本地存储的组策略对象。对于计算机或用户策略处理，都会处 理该内容。 2.站点—接下来要处理任何已经链接到计算机所属站点的GPO。处理的顺序是由管理员在组策略管理控制台 (GPMC) 中该站点的“链接的组策略对象”选项卡内指定的。“链接顺序”最低的GPO 最后处理，因此具有最高的优先级。o 3.域—多个域链接GPO 的处理顺序是由管理员在GPMC 中该域的“链接的组策略对象”选项卡内指定的。 “链接顺序”最低的GPO 最后处理，因此具有最高的优先级。 4.组织单位—链接到Active Directory 层次结构中最高层组织单位的GPO 最先处理，然后是链接到其子 组织单位的GPO，依此类推。最后处理的是链接到包含该用户或计算机的组织单位的GPO。 wu 在Active Directory 层次结构的每一级组织单位中，可以链接一个、多个或不链接GPO。如果一个组织单位链接了几个GPO，它们的处理顺序则由管理员在GPMC 中该组织单位的“链接的组策略对象”选项卡内指定。“链接顺序”最低的GPO 最后处理，因此具有最高的优先级。 该顺序意味着首先会处理本地GPO，最后处理链接到计算机或用户直接所属的组织单位的GPO，它会覆盖以前GPO 中与之冲突的设置。（如果不存在冲突，则只是将以前的设置和以后的设置进行结合。） 设置默认处理顺序的例外 设置的默认处理顺序受下列例外情况的影响： GPO 链接可以“强制”，也可以“禁用”，或者同时设置两者。默认情况下，GPO 链接既不强制也不禁用。

Windows2008安装完系统后安全设置

Windows2008系统安全设置 编写：技术支持李岩伟 1、密码设置复杂一些，例如：******** 2、更改administrator账户名称，例如：南关区社管服务器administrator更改为 *******，更改方法： 开始—运行：gpedit.msc---计算机配置--- Windows设置--安全设置---本地策略---安全选项---帐户：重命名系统管理员---右键---属性---更改名称；

3、更改guest账户名称，例如更改为********，更改方法： 开始—运行：gpedit.msc---计算机配置--- Windows设置--安全设置---本地策略---安全选项---帐户：重命名来宾帐户---右键---属性---更改名称； 4、新建一无任何权限的假Administrator账户 管理工具→计算机管理→系统工具→本地用户和组→用户 新建一个Administrator帐户作为陷阱帐户，设置超长密码（例如：*********），并去掉所有用户组 更改描述：管理计算机(域)的内置帐户 5、更改远程桌面端口： 开始—运行：regedit，单击“确定”按钮后，打开注册表编辑窗口; 找到： [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] 双击右边PortNumber——点十进制——更改值为：XXX（例如22）——点确定。 然后找到： [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] 双击右边PortNumber——点十进制——更改值为：XXX（例如22）——点确定。 6、设置不显示最后的用户名，设置方法： 开始—运行：gpedit.msc---计算机配置--- Windows设置--安全设置---本地策略---安全选项---交互式登录：不显示最后的用户名---右键---属性---已启用---应用

Windows 操作系统安全防护强制性要求

Windows 操作系统安全防护 强制性要求 二〇一四年五月

目录 1.系统用户口令及策略加固1 1.1.系统用户口令策略加固 1 1.2.用户权限设置 1 1.3.禁用Guest（来宾）帐户 2 1.4.禁止使用超级管理员帐号 3 1.5.删除多余的账号 4 2.日志审核策略配置4 2.1.设置主机审核策略 4 2.2.调整事件日志的大小及覆盖策略 5 2.3.启用系统失败日志记录功能 5 3.安全选项策略配置6 3.1.设置挂起会话的空闲时间 6 3.2.禁止发送未加密的密码到第三方SMB 服务器

6 3.3.禁用对所有驱动器和文件夹进行软盘复制和访问 7 3.4.禁止故障恢复控制台自动登录 7 3.5.关机时清除虚拟内存页面文件 7 3.6.禁止系统在未登录前关机 8 3.7.不显示上次登录的用户名 8 3.8.登录时需要按CTRL+ALT+DEL 8 3.9.可被缓存的前次登录个数 9 3.10. 不允许SAM 帐户和共享的匿名枚举 (9) 3.11.不允许为网络身份验证储存凭证或.NET Passports 9 3.12. 如果无法记录安全审核则立即关闭系统 (10) 3.13. 禁止从本机发送远程协助邀请 (10) 3.14. 关闭故障恢复自动重新启动 (11) 4.用户权限策略配置11 4.1.禁止用户组通过终端服务登录 11 4.2.只允许管理组通过终端服务登录 11

4.3.限制从网络访问此计算机 12 5.用户权限策略配置12 5.1.禁止自动登录 12 5.2.禁止光驱自动运行 12 5.3.启用源路由欺骗保护 13 5.4.删除IPC 共享 13 6.网络与服务加固14 6.1.卸载、禁用、停止不需要的服务 14 6.2.禁用不必要进程，防止病毒程序运行 15 6.3.关闭不必要启动项，防止病毒程序开机启动 24 6.4.检查是否开启不必要的端口 34 6.5.修改默认的远程桌面端口 34 6.6.启用客户端自带防火墙 35 6.7.检测DDOS 攻击保护设置

组策略安全选项对应注册表项汇总

组策略安全选项对应注册表项汇总 在组策略中的位置:计算机设置->Windows设置->安全设置->本地策略->安全选项 详细列表: [MACHINE\System\CurrentControlSet\Control\Lsa] : : ::值名:含义:类型:数据:值名:含义:类型:数 据:0=停用1=启用值名:含义:类型:数据:值 名:RestrictAnonymous含义:对匿名连接的额外限制(通常用于限制IPC$空连接)类型:REG_DWORD数据:0=无.依赖于默认许可权限1=不允许枚举SAM账号和共享2=没有显式匿名权限就无法访问值名ubmitControl含义:允许服务器操作员计划任务(仅用于域控制器)类型:REG_DWORD数据:0=停用1=启用[MACHINE\System\CurrentControlSet\Control\Print\Providers\LanMan Print Services\Servers]值名:AddPrinterDrivers含义:防止用户安装打印机驱动程序类型:REG_DWORD数据:0=停用1=启用 [MACHINE\System\CurrentControlSet\Control\Session Manager\Memory Management]值名:ClearPageFileAtShutdown含义:在关机时清理虚拟内存页面交换文件类型:REG_DWORD数据:0=停用1=启用 [MACHINE\System\CurrentControlSet\Control\Session Manager]值名

rotectionMode含义:增强全局系统对象的默认权限(例如Symbolic Links) 类型:REG_DWORD数据:0=停用1=启用 [MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters]值 名:EnableSecuritySignature含义:对服务器通讯进行数字签名(如果可能)类型:REG_DWORD数据:0=停用1=启用值名:RequireSecuritySignature 含义:对服务器通讯进行数字签名(总是)类型:REG_DWORD数据:0=停用 1=启用值名:EnableForcedLogOff含义:当登录时间用完时自动注销用户 (本地)类型:REG_DWORD数据:0=停用1=启用值名:AutoDisconnect 含义:在断开会话产所需要的空闲时间类型:REG_DWORD数据:分钟数[MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters]值 名:EnableSecuritySignature含义:对客户端通讯进行数字签名(如果可能)类型:REG_DWORD数据:0=停用1=启用值名:RequireSecuritySignature 含义:对客户端通讯进行数字签名(总是)类型:REG_DWORD数据:0=停用 1=启用值名:EnablePlainTextPassword含义:发送未加密的密码以连接到第三方SMB服务器类型:REG_DWORD数据:0=停用1=启用 [MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters]值名isablePasswordChange含义:防止计算机帐户密码的系统维护类型:REG_DWORD 数据:0=停用1=启用值名ignSecureChannel含义:安全通道: 对安全通道数据进行数字签名(如果可能)类型:REG_DWORD数据:0=停用 1=启用值名ealSecureChannel含义:安全通道: 对安全通道数据进行数字加密(如果可能)类型:REG_DWORD数据:0=停用1=启用值 名:RequireSignOrSeal含义:安全通道: 对安全通道数据进行数字加密或签名(总是)类型:REG_DWORD数据:0=停用1=启用值名:RequireStrongKey 含义:安全通道: 需要强(Windows 2000 或以上版本)会话密钥类 型:REG_DWORD数据:0=停用1=启用[MACHINE\Software\[M$]\Driver Signing]值名olicy含义:未签名驱动程序的安装操作类型:REG_BINARY数据:0=默认安装1=允许安装但发出警告2=禁止安装 [MACHINE\Software\[M$]\Non-Driver Signing]值名olicy含义:未签名非驱动程序的安装操作类型:REG_BINARY 数据:0=默认安装1=允许安装但发出警告2=禁止安装 [MACHINE\Software\[M$]\Windows\CurrentVersion\Policies\System]值名isableCAD 含义:禁用按CTRL ALT DEL进行登录的设置类型:REG_DWORD数据:0=停用1=启用值名ontDisplayLastUserName含义:登录屏幕上不要显示上次登录的用户名类型:REG_DWORD数据:0=停用1=启用值名:LegalNoticeCaption含义:用户试图登录时消息标题类型:REG_SZ数据:标题文本值名:LegalNoticeText含义:用户试图登录时消息文字类型:REG_SZ数据:消息文字值名hutdownWithoutLogon含义:登录屏幕上不要显示上次登录的用户名类型:REG_DWORD数据:0=停用1=启用 [MACHINE\Software\[M$]\Windows NT\CurrentVersion\Setup\RecoveryConsole] 值名ecurityLevel含义:故障恢复控制台:允许自动系统管理级登录类 型:REG_DWORD数据:0=停用1=启用值名etCommand含义:故障恢复控制台:允许对所有驱动器和文件夹进行软盘复制和访问类型:REG_DWORD 数据:0=停用1=启用[MACHINE\Software\[M$]\Windows NT\CurrentVersion\Winlogon]值名:AllocateCDRoms含义:只有本地登录的用户才能访

组策略对windows7的安全性设置(陈琪) - 修改

组策略对windows7的安全性设置 陈琪 （重庆市商务学校重庆市大渡口区400080） 【摘要】：现在Win7系统已成为电脑市场的主流，大量企业和家庭个人都选择使用Win7系统，主要是Win7系统设计具有人性化、操作非常的简单，更重要的是Win7安全性非常高。同时针对Win7的安全性设置方法也层出不穷，用户往往是通过第三方软件来实现，但是这些方法往往不具有个性化的设置，而且这些方法效果到底如何也无从知晓。其实利用Win7的系统组策略功能，就可以简单轻松的实现Win7的系统的安全性设置。 【关键词】：组策略点击用户配置驱动器木马权限哈希值【引言】：在我们使用电脑的过程中系统、用户的数据都是保存在电脑的驱动器中的。因此，限制驱动器的使用可以有效防止重要和机密的信息外泄。而且现在的电脑大多数时间都是联网的，有效的阻击病毒和木马的入侵是确保电脑安全稳定运行的必要措施。 【正文】： 1.驱动器访问权限的设置 驱动器主要包括硬盘、光驱和移动设备等。驱动器不同限制方法也不同，而且同一种驱动器也有不同的限制级别。就说硬盘吧，一般有隐藏和禁止访问两种级别。隐藏级别比较初级，只是让驱动器不可见，一般用于防范小孩和初级用户，而禁止访问则可彻底阻止驱动器的访问。对于移动设备，可以选择设置读、写和执行权限，不过病毒和木马一般通过执行恶意程序来传播，因此禁止执行权限才最有效。

1.1隐藏驱动器 那么我们首先来实现如何让初级普通用户看不到驱动器：点击“开始”，在搜索框中输入“gpedit.msc”，确认后即打开了组策略编辑器，依次展开“用户配置→管理模板→Windows组件→Windows资源管理器”，在右边设置窗口中，进入“隐藏‘我的电脑’中这些指定的驱动器”，选择“已启用”，在下面的下拉列表中选择需要隐藏的驱动器，然后确定。再进入“计算机”，刚才选择的驱动器图标就不见了。提示：这个方法只是隐藏驱动器图标，用户仍可使用其他方法访问驱动器的内容，如在地址栏中直接键入驱动器上的目录路径。 1.2移动存储设备读写权限的设置 移动设备（例如闪存、移动硬盘等）已经成为不少用户的标准配置，使用也最为广泛。正因如此，它也成了病毒和木马传播的主要途径。而普通的限制读写权限并不能阻止病毒和木马入侵，因为病毒传播都是通过执行病毒和木马程序来实现的，因此禁用执行权限就能切断病毒传播途径。依次展开“计算机配置→管理模板→系统→可移动存储访问”，进入“可移动磁盘：拒绝执行权限”，选择“已启用”，确定后设置生效。移动设备上的可执行文件将不能执行，计算机也就不会再被病毒感染。而如果需要执行，只需要拷贝到硬盘当中即可。 2.网络安全性设置 电脑最重要的用途之一就是上网，可是说实话，现在上网一点也不省心，病毒、木马和流氓软件横行，连不少大网站都会被挂一些别有用心的软件，用户真是防不胜防。所以网络安全性的设置相当重要。

组策略应用大全

组策略应用大全集团档案编码：[YTTR-YTPT28-YTNTL98-UYTYNN08]

组策略应用大全专题 先给初学的扫扫盲：说到组策略，就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库，随着Windows功能的越来越丰富，注册表里的配置项目也越来越多。很多配置都是可以自定义设置的，但这些配置发布在注册表的各个角落，如果是手工配置，可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。 简单点说，组策略就是修改注册表中的配置。当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。 运行组策略的方法：在“开始”菜单中，单击“运行”命令项，输入并确定，即可运行组策略。先看看组策略的全貌，如图。 安全设置包括：，，，，。 ：在Windows Server 2003系统的“帐户和本地策略”中包括“帐户策略”和“本地策略”两个方面，而其中的“帐户策略”又包括：密码策略、帐户锁定策略和Kerberos策略三个方面；另外的“本地策略”也包括：审核策略、用户权限分配和安全选项三部分。 ： 倘若在Win98工作站中通过“网上邻居”窗口，来访问WinXP操作系统的话，你会发现WinXP工作站会拒绝你的共享请求，这是怎么回事呢原来WinXP系统在默认状态下是不允许以guest方式登录系统的，那么是不是将WinXP系统下的guest帐号“激活”，就能让WinXP工作站被随意共享了呢其实不然，除了要将guest帐号启用起来，还需要指定guest帐号可以通过网络访

(2)组策略的配置及使用

一、实验名称 组策略的配置及使用 二、实验类型 验证性实验 三、实验目的 通过对服务器进行本地安全策略的配置，使学生掌握组策略的概念，配置组策略的方法，及使用组策略配置用户、配置计算机及配置软件的具体实例操作。 四、实验内容 （1）通过控制台访问组策略 （2）对用户设置密码策略 （3）对用户设置登录策略 （4）退出系统时清除最近打开的文件的历史 五、相关知识 1、组策略对象的类型 组策略对象有两种类型：本地和非本地。 本地组策略对象：对于每台运行Windows 2000以上操作系统的计算机，无论该计算机是否连接在网络上，或者是否是Active directory环境的一部分，它都存储着一个本地组策略对象。然而，若计算机处在Active directory的网络中，那么非本地组策略对象将覆盖本地组策略对象，从而将本地组策略对象对系统的影响降到最小。在非网络环境中，或非Active directory中，由于本地组策略对象的设置并没有被非本地组策略对象覆盖，所以仍然可以发挥作用。 非本地组策略对象：非本地组策略对象是与Active directory对象联系起来使用的。非本地组策略对象也可以应用于用户或计算机。如果要使用非本地组策略对象，那么必须在网络中安装一台域控制器。根据Active directory服务的属性，系统会分层次地应用非本地组策略对象中的策略。 2、组策略模板 组策略模板（GPT）是域控制器上SYSVOL文件夹中的一个目录层次结构。该文件夹是一个共享文件夹，其中存储着域中公共文件的服务器拷贝，这些拷贝来自域中所有的域控制器。当创建一个组策略对象时，服务器会创建一个相应的组策略模板文件夹层次结构。组策略模板包含了所有的组策略设置和信息，包括管理模板、安全设置、软件安装、脚本和文件夹重

组策略与安全设置

组策略与安全设置 系统管理员可以通过组策略的强大功能，来充分管理网络用户与计算机的工作环境，从而减轻网络管理的负担。 组策略概述 组策略是一个能够让系统管理员充分管理用户工作环境的功能，通过它来确保用户拥有应有的工作环境，也通过他来限制用户。因此，不但可以让用户拥有适当的环境，也可以减轻系统管理员的管理负担。 组策略包含计算机配置与用户配置两部分。计算机配置仅对计算机环境产生影响，而用户设置只对用户环境有影响。可以通过以下两个方法来设置组策略。 ●本地计算机策略:可以用来设置单一计算机的策略，这个策略内的计算机配置只会背 应用到这台计算机，而用户设置会被应用到在此计算机登陆的所有用户。 ●域的组策略:在域内可以针对站点，域或组织单位来设置组策略，其中，域组策略内 的设置会被应用到域内的所有计算机与用户，而组织单位的组策略会被应用到该组织单位内的所有计算机与用户。 对添加域的计算机来说，如果其本地计算机策略的设置与域或组织单位的组策略设置发生冲突，则以域或组织单位组策略的设置优先，也就是此时本地计算机策略的设置值无效。 本地计算机策略实例演示 以下利用未加入域的计算机来练习本地计算机策略，以免受到域策略的干扰，造成本地计算机策略的设置无效，因而影响到验证实验结果。 计算机配置实例演示 当我们要将Windows Server2012计算机关机时，系统会要求我们提供关机的理由，以下实例完成后，系统就不会在要求你说明关机理由了。

开始运行中输入gpedit.msc-计算机配置-管理模板-系统-显示“关闭事件跟踪程序“-单击已禁用 以后关机或重启计算机时，系统都不会再询问了。 注：请不要随意更改计算机配置，以免更改可能影响系统正常运行的设置值。 用户配置实例演示 以下通过本地计算机策略来限制用户工作环境：删除客户端浏览器IE内Internet选项的安全和连接标签。也就是经过以下设置后，浏览器内的安全和连接标签消失了。 用户配置-管理模板-windows组件-IE-ie控制面板-禁用连接页和禁用安全页设置为启用，此设置会立即应用到所有用户。

如何设置常用组策略

如何设置常用组策略 故障现象: 组策略应用设置大全一、桌面项目设置 1. 隐藏不必要的桌面图标 2. 禁止对桌面的改动 3. 启用或禁止活动桌面 4. 给开始菜单减肥5. 保护好任务栏和开始菜单的设置二、隐藏或禁止控制面板项目 1. 禁止访问控制面板 2. 隐藏或禁止添加/删除程序项 3. 隐藏或禁止显示项三、系统项目设置 1. 登录时不显示欢迎屏幕界面 2. 禁用注册表编辑器 3. 关闭系统自动播放功能 4. 关闭Windows自动更新 5. 删除任务管理器四、隐藏或删除Windows XP资源管理器中的项目 1. 删除文件夹选项 2. 隐藏管理菜单项 五、IE浏览器项目设置 1. 限制IE浏览器的保存功能 2. 给工具栏减肥 3. 在IE工具栏添加快捷方式 4. 让IE插件不再骚扰你 5. 保护好你的个人隐私 6. 禁止修改IE浏览器的主页 7. 禁用导入和导出收藏夹 六、系统安全/共享/权限设置 1. 密码策略 2. 用户权利指派 3. 文件和文件夹设置审核 4. Windows 98访问Windows XP共享目录被拒绝的问题解决 5. 阻止访问命令提示符 6. 阻止访问注册表编辑工具 解决方案: 一、桌面项目设置 在组策略的左窗口依次展开用户配置---管理模板---桌面节点，便能看到有关桌面的所有设置。此节点主要作用在于管理用户使用桌面的权利和隐藏桌面图标。 1. 隐藏不必要的桌面图标 桌面上的一些快捷方式我们可以轻而易举地删除，但要删除我的电脑、回收站、网上邻居等默认图标，就需要依靠组策略了。例如要删除我的文档，只需在删除桌面上的‘我的文档’图标一项中设置即可。若要隐藏桌面上的网上邻居和Internet Explorer图标，只要在右侧窗格中将隐藏桌面上‘网上邻居’图标和隐藏桌面上的Internet Explorer图标两个策略选项启用即可;如果隐藏桌面上的所有图标，只要将隐藏

组策略的管理(账户锁定策略)

组策略的管理（账户锁定策略） 2. 账户锁定策略 账户锁定策略用于域账户或本地用户账户，用来确定某个账户被系统锁定的情况和时间长短。要设置“账户锁定策略”，可打开组策略控制台，依次展开“计算机配置”→“Windows设置”→“安全设置”→“账户策略”→“账户锁定策略”。 （1）账户锁定阈值 该安全设置确定造成用户账户被锁定的登录失败尝试的次数。无法使用锁定的账户，除非管理员进行了重新设置或该账户的锁定时间已过期。登录尝试失败的范围可设置为0~999之间。如果将此值设为0，则将无法锁定账户。 对于使用Ctrl+Alt+Delete或带有密码保护的屏幕保护程序锁定的计算机上，失败的密码尝试计入失败的登录尝试次数中。 在组策略窗口中，双击“账户锁定阈值”选项，显示“账户锁定阈值属性”对话框，选中“定义这个策略设置”复选框，在“账户不锁定”文本框中输入无效登录的次数，例如3，则表示3次无效登录后，锁定登录所使用的账户。 建议启用该策略，并设置为至少3次，以避免非法用户登录。 （2）账户锁定时间 该安全设置确定锁定的账户在自动解锁前保持锁定状态的分钟数。有效范围从0~ 99 999分钟。如果将账户锁定时间设置为0，那么在管理员明确将其解锁前，该账户将被锁定。

如果定义了账户锁定阈值，则账户锁定时间必须大于或等于重置时间。 打开“账户锁定时间”的属性对话框，选中“定义这个策略设置”复选框，在“账户锁定时间”文本框中输入账户锁定时间，例如30，则表示账户被锁定的时间为30分钟，30分钟后方可使用再次使用被锁定的账户。 默认值为无，因为只有当指定了账户锁定阈值时，该策略设置才有意义。 （3）复位账户锁定计数器 该安全设置确定在登录尝试失败计数器被复位为0（即0次失败登录尝试）之前，尝试登录失败之后所需的分钟数，有效范围为1~99 999分钟之间。 如果定义了账户锁定阈值，则该复位时间必须小于或等于账户锁定时间。 打开“复位账户锁定计数器”的属性对话框，选中“定义这个策略设置”复选框，在“复位账户锁定计数器”文本框中输入账户锁定复位的时间，例如30，表示30分钟后复位被锁定的账户。 只有当指定了账户锁定阈值时，该策略设置才有意义。

Windows操作系统组策略应用全攻略

W i n d o w s操作系统组策略应用全攻略 公司内部编号：（GOOD-TMMT-MMUT-UUPTY-UUYY-DTTI-

Windows操作系统组策略应用全攻略 一、什么是组策略 (一)组策略有什么用 说到组策略，就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库，随着Windows功能的越来越丰富，注册表里的配置项目也越来越多。很多配置都是可以自定义设置的，但这些配置发布在注册表的各个角落，如果是手工配置，可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。 简单点说，组策略就是修改注册表中的配置。当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。 (二)组策略的版本 大部分Windows 9X/NT用户可能听过“系统策略”的概念，而我们现在大部分听到的则是“组策略”这个名字。其实组策略是系统策略的更高级扩展，它是由Windows 9X/NT的“系统策略”发展而来的，具有更多的管理模板和更灵活的设置对象及更多的功能，目前主要应用于Windows 2000/XP/2003系统。 早期系统策略的运行机制是通过策略管理模板，定义特定的.POL(通常是文件。当用户登录的时候，它会重写注册表中的设置值。当然，系统策略编辑器也

支持对当前注册表的修改，另外也支持连接网络计算机并对其注册表进行设置。而组策略及其工具，则是对当前注册表进行直接修改。显然，Windows 2000/XP/2003系统的网络功能是其最大的特色之处，其网络功能自然是不可少的，因此组策略工具还可以打开网络上的计算机进行配置，甚至可以打开某个Active Directory 对象(即站点、域或组织单位)并对它进行设置。这是以前“系统策略编辑器”工具无法做到的。 无论是系统策略还是组策略，它们的基本原理都是修改注册表中相应的配置项目，从而达到配置计算机的目的，只是它们的一些运行机制发生了变化和扩展而已。 二、组策略中的管理模板 在Windows 2000/XP/2003目录中包含了几个 .adm 文件。这些文件是文本文件，称为“管理模板”，它们为组策略管理模板项目提供策略信息。 在Windows 9X系统中，默认的管理模板即保存在策略编辑器同一个文件夹中。而在Windows 2000/XP/2003的系统文件夹的inf文件夹中，包含了默认安装下的4个模板文件，分别为： 1)：默认情况下安装在“组策略”中，用于系统设置。 2)：默认情况下安装在“组策略”中;用于Internet Explorer策略设置。 3)：用于Windows Media Player 设置。 4)：用于NetMeeting 设置。