域安全策略
域安全策略在域安全策略中的“安全设置”包含了:
1、账户策略
2、本地策略
3、事件日志
4、受限制的组
5、系统服务
6、注册表
7、文件系统
8、无线网络(IEEE 802.11)策略
9、公钥策略
10、软件限制策略
11、IP安全策略,在Active Directory。以下我将介绍比较常用的
一、账户策略
(一)密码策略
1、密码必须符合复杂性要求
|
2、密码长度最小值
3、密码最长使用期限
4、密码最短使用期限
5、强制密码历史
6、用可还原的加密来存储密码
(二)账户多顶策略
1、复位账户锁定计数器
2、账户锁定时间
3、账户锁定阈值
(三)Kerberos策略
1、服务票证最长寿命
2、计算机时钟同步的最大容差
3、强制用户登录限制
4、用户票证续订最长寿命
5、用户票证最长寿命
二、本地策略、
(一)审核策略
1、审核策略更改
2、审核登录事件
3、审核对象访问
4、审核过程跟踪
5、审核目录服务访问
6、审核特权使用
7、审核系统事件
8、审核账户登录事件
9、审核账户管理
(二)用户权限分配
1、备份文件和目录
2、创建标记对象
3、创建全局对象
4、创建页面文件
5、创建永久共享文件
6、从扩展坞中取出计算机
7、从网络访问此计算机
8、从远程系统强制关机
9、调试程序
10、调整进程的内存配额
11、更改系统时间
12、关闭系统
13、管理审核和安全日志
14、还原文件和目录
15、拒绝本地登录
16、拒绝从网络访问这台计算机
17、拒绝作为服务登录
18、拒绝作为批处理作业登录
19、内存中锁定页面
20、配置单一进程
21、配置系统性能
22、取得文件或其他对象的所有权
23、身份验证后模拟客户端
24、生成安全审核
25、替换进程级别标记
26、跳过遍历检查
27、通过终端服务拒绝登录
28、通过终端服务允许登录
29、同步目录服务数据
30、修改固件环境值
31、以操作系统方式操作
32、域中添加工作站
33、允许计算机和用户账户被信任以便用于委任
34、允许在本地登录
35、增加计划优先级
36、执行卷维护任务
37、装载和卸载设备驱动程序
38、作为服务登录
39、作为批处理作业登录
(三)安全选项
1、DCOM在安全描述符定义语言(SDDL)语法中的计算机访问限制
2、DCOM:在安全描述符定义语言(SDDL)语法中的计算机启动限制
3、Microsoft 网络服务器:当登录时间用完时自动注销用户
4、Microsoft 网络服务器:数字签名的通信(若客户端同意)
5、Microsoft 网络服务器:数字签名的通信(总是)
6、Microsoft 网络服务器:在挂起回话之前所需的空闲时间
7、Microsoft 网络客户端:发送未加密的密码到第
组策略设置系列篇之“安全选项”2
组策略设置系列篇之“安全选项”-2 选项, 设置 交互式登录:不显示上次的用户名 此策略设置确定“登录到Windows”对话框是否显示上次登录到该计算机的用户的名称。如果启用此策略设置,不显示上次成功登录的用户的名称。如果禁用此策略设置,则显示上次登录的用户的名称。 “交互式登录:不显示上次的用户名”设置的可能值为: ? 已启用 ? 已禁用 ? 没有定义 漏洞:能够访问控制台的攻击者(例如,能够物理访问的人或者能够通过终端服务连接到服务器的人)可以查看上次登录到服务器的用户的名称。攻击者随后可能尝试猜测密码,使用字典或者依靠强力攻击以试图登录。 对策:将“不显示上次的用户名”设置配置为“已启用”。 潜在影响:用户在登录服务器时,必须始终键入其用户名。 交互式登录:不需要按CTRL+ALT+DEL 此策略设置确定用户在登录前是否必须按Ctrl+Alt+Del。如果启用此策略设置,用户登录时无需按此组合键。如果禁用此策略设置,用户在登录到Windows 之前必须按Ctrl+Alt+Del,除非他们使用智能卡进行Windows 登录。智能卡是一种用来存储安全信息的防篡改设备。 “交互式登录:不需要按CTRL+ALT+DEL”设置的可能值为: ? 已启用 ? 已禁用 ? 没有定义 漏洞:Microsoft 之所以开发此功能,是为了更便于身体有某种残疾的用户登录到运行Windows 的计算机。如果不要求用户按Ctrl+Alt+Del,他们容易受到尝试截获其密码的攻击。如果要求用户在登录之前按Ctrl+Alt+Del,用户密码则会通过受信任路径进行通信。 攻击者可能会安装看似标准Windows 登录对话框的特洛伊木马程序,并捕获用户的密码。攻击者随后将能够使用该用户具有的特权级别登录到被侵入的帐户。 对策:将“不需要按CTRL+ALT+DEL”设置配置为“已禁用”。
域策略
制作网安全策略 应用Win2000 Advanced Server的策略AGDLP原则对网络客户端做安全性设置,可以实现所有站点有统一的界面;可以使用户没有任何设置涉及系统安全性方面的权力,所有对安全性的设置大部分都在服务器端只设置一次,只有很少量的设置需要在各客户端设置 建OU并加入用户和组 其中,yztvuser是OU,即一个域中的组织单位,yzgd是一个用户,即在客户端登陆win 2000的用户名,yztv是一个全局安全组,具体创建过程如下: 开始-程序-管理工具-Active Directory用户和计算机,展开左边树,如图5- 1 Array图5-1 选中https://www.360docs.net/doc/d17842368.html,右键-新建-组织单位,如图5-2
图5-2 输入组织单位名称:yztvuser,确定,创建OU结束。 然后在OU上创建组,在yztvuser-右键-新建-组,如图5-3 图5-3 输入组名:yztv,组作用域:全局,组类型:安全式,确定,创建组完成。 同样,创建用户,在yztvuser-右键-新建-用户,如图5-4
图5-4 输入需要创建的用户名登陆名:yzxw,姓名:yzxw 注:目前皆改为yzgd 下一步,如图5-5 图5-5 输入密码,并选中:用户不能更改密码;密码永不过期,下一步,如图5-6
图5-6 创建完成,点击确定。 然后修改用户属性,使其加入到yztv组中,在新建的用户名上右键-属性-成员属于-添加-选中yztv-添加,这样把用户添加到yztv全局安全组。 若需要建立其它帐号,可依上样建立,如yzxw、yzdss、yzgz三个用户。 组策略的设置 组策略使用来设置windows登陆安全的策略,比如屏蔽客户端左面右键,开始菜单,资源管理器等,组策略针对OU,所有设置只涉及“用户配置”中的“windows设置”和“管理模板”。 建立策略组 在组织单位yztvuser上右键-属性-组策略-新建,如图5-7
(完整)域组策略--+域控中组策略基本设置
(完整)域组策略--+域控中组策略基本设置 编辑整理: 尊敬的读者朋友们: 这里是精品文档编辑中心,本文档内容是由我和我的同事精心编辑整理后发布的,发布之前我们对文中内容进行仔细校对,但是难免会有疏漏的地方,但是任然希望((完整)域组策略--+域控中组策略基本设置)的内容能够给您的工作和学习带来便利。同时也真诚的希望收到您的建议和反馈,这将是我们进步的源泉,前进的动力。 本文可编辑可修改,如果觉得对您有帮助请收藏以便随时查阅,最后祝您生活愉快业绩进步,以下为(完整)域组策略--+域控中组策略基本设置的全部内容。
域控中组策略基本设置 计算机配置:要重启生效用户配置:注销生效 策略配置后要刷新:gpupdate /force 组策略编辑工具!—-—-—gpmc.msi (工具) 使用:运行---〉gpmc。msc 如下键面: 文件夹重定向: 1。在域控建立一共享文件夹,权限放到最大(完全控制,无安全隐患!)
2.域账户用户登录任一台机器都能看到我的文档里的自己的东西! 禁止用户安装软件: 1.给域用户基本权限(Domain user),但有时基本应用软件也不能运行! 2.把域用户加入到本地power user 组可以运行软件! 域用户添加Power user组
3.用本地用户登录机器查看! 禁止卸载: 1。权限domain user + 管理模板(相当于改动注册表!!)
2.再把控制面板里的“添加删除程序"禁用
禁止使用USB: 1.工具(程序模板usb.adm),拷到C:\WINDOWS\inf\usb。adm 2. 3。 4。
使用windows组策略对计算机进行安全配置.
综合性实验项目名称:使用windows组策略对计算机进行安全配置 一、实验目的及要求: 1.组策略是管理员为用户和计算机定义并控制程序,网络资源及操作系统行为的主要工具, 通过使用组策略可以设置各种软件,计算机和用户策略。 2.我们通过实验,学会使用组策略对计算机进行安全配置。 二、实验基本原理: 组策略是管理员为用户和计算机定义并控制程序,网络资源及操作系统行为的主要工具通过使用组策略可以设置各种软件,计算机和用户策略。 三、主要仪器设备及实验耗材: PC机一台,Windows2000系统,具有管理员权限账户登录 四、注意事项 必须以管理员或管理员组成员的身份登录win2000系统 计算机配置中设置的组策略级别要高于用户配置中的级别策略 五、实验内容与步骤 1.在”开始”菜单中,单击”运行”命令项,输入gpedit.msc并确定,即可运行程序。 依次进行以下实验: (1)隐藏驱动器 平时我们隐藏文件夹后,别人只需在文件夹选项里显示所有文件,就可以看见了,我们可以在组策略里删除这个选项。 1.使用策略前,查看”我的电脑”的驱动器,如图6-1所示 图6-1 使用策略前,“我的电脑” 2.选择“用户配置—>管理模板—>windows组件—>windows资源管理器”,如图6-2所示。
图6-2 隐藏驱动器 3.使用策略后,查看”我的电脑”的驱动器,如图6-3所示 图6-3 使用策略后,“我的电脑” (2).禁止来宾账户本机登录 使用电脑时,我们有时要离开座位一段时间,如果有很多正在打开的文档还没有处理完成或者正在使用隐私内容时,为了避免有人动用电脑,我们一般会把电脑锁定。但是在局域网中,为了方便网络登录,我们有时候会建立一些来宾账户,如果对方利用这些账户来注销当前账户并登录到别的账户,就会给正常工作带来影响。我们可以通过“组策略”来禁止一些账户在本机上的登录,让对方只能通过网络登录。 在“组策略”窗口中依次打开“计算机配置—>windows设置—>安全设置—>本地策略—>用户权限分配”,然后双击右侧窗格的”拒绝本地登录”项,在弹出的窗口中添加要禁止的用户或组即可实现,如图6-4所示
域组策略域控中组策略基本设置
域控中组策略基本设置 计算机配置:要重启生效用户配置:注销生效 策略配置后要刷新:gpupdate /force 组策略编辑工具!-----gpmc.msi (工具) 使用:运行--->gpmc.msc 如下键面: 文件夹重定向: 1.在域控建立一共享文件夹,权限放到最大(完全控制,无安全隐患!) 2.域账户用户登录任一台机器都能看到我的文档里的自己的东西! 禁止用户安装软件: 1.给域用户基本权限(Domain user),但有时基本应用软件也不能运行! 2.把域用户加入到本地power user 组可以运行软件! 域用户添加Power user组 3.用本地用户登录机器查看! 禁止卸载: 1.权限domain user + 管理模板(相当于改动注册表!!) 2.再把控制面板里的“添加删除程序”禁用 禁止使用USB: 1.工具(程序模板usb.adm),拷到C:\WINDOWS\inf\usb.adm 3. 4. 5. 6. 7.客户端机器重启生效 禁止绿色软件安装,如:迅雷,QQ等--------建立哈希规则: 建立了哈希规则后不论此软件放在机器的任何路径,都将被禁止! GPO软件分发: 1.工具:Advanced Installer 制作MSI格式文件 2.在DC上建立一共享文件夹。把*.MSI格式文件放入,附Authenticated 可读,Admini 完 全控制 3.编辑组策略-→用户配置-→软件安装-右击→\\(DC的IP\共享名) 4.软件安装右击→程序包-→*.MSI →已发布\已指派 停止域客户端的防火墙: 右击,域→计算机-→Windows-设置→安全设置-→系统服务→windows firewall 漫游: 1.账号在客户机上登录 2.在server上建议账号空间
用组策略从十大方面保护Windows安全
用组策略从十大方面保护Windows安全 Windows操作系统中组策略的应用无处不在,如何让系统更安全,也是一个常论不休的话题,下面就让我们一起来看看通过组策略如何给Windows系统练就一身金钟罩。 一、给我们的IP添加安全策略? 在“计算机配置”→“Windows设置”→“安全设置”→“IP 安全策略,在本地计算机”下与有与网络有关的几个设置项目(如图1)。如果大家对Internet较为熟悉,那也可以通过它来添加或修改更多的网络安全设置,这样在Windows上运行网络程序或者畅游Internet时将会更加安全。? 图 1 小提示由于此项较为专业,其间会涉及到很多的专业概念,一般用户用不到,在这里只是给网络管理员们提个醒,因此在此略过。 二、隐藏驱动器 平时我们隐藏文件夹后,别人只需在文件夹选项里显示所有文件,就可以看见了,我们可以在组策略里删除这个选项:选择“用户配置→管理模板→Windows组件→Windows 资源管理器”(如图2)。
图 2 三、禁用指定的文件类型 在“组策略”中,我们可以禁用SHS、MSI、BAT、CMD、COM、EXE等程序文件类型,而且不影响系统的正常运行。这里假设我们要禁用注册表的REG文件,不让系统运行 REG文件,具体操作方法如下: 1.打开组策略,点击“计算机配置→Windows设置→安全设置→软件限制策略”,在弹出的右键菜单上选择“创建软件限制策略”,即生成“安全级别”、“其他规则”及“强制”、“指
派的文件类型”、“受信任的出版商”项(图3)。 图 3 2.双击“指派的文件类型”打开“指派的文件类型属性”窗口,只留下REG文件类型,将其他的文件全部删除,如果还有其他的文件类型要禁用,可以再次打开这个窗口,在“文件扩展名”空白栏里输入要禁用的文件类型,将它添加上去。 3.双击“安全级别→不允许的”项,点击“设为默认”按钮。然后注销系统或者重新启动系统,此策略即生效,运行REG文件时,会提示“由于一个软件限制策略的阻止,Windows 无法打开此程序”。 4.要取消此软件限制策略的话,双击“安全级别→不受限的”,打开“不受限的?属性”窗口,按“设为默认值”即可。 如果你鼠标右键点击“计算机配置→Windows设置→安全设置→软件限制策略→其他规则”,你会看到它可以建立哈希规则、Internet?区域规则、路径规则等策略,利用这些规则我们可以让系统更加安全,比如利用“路径规则”可以为电子邮件程序用来运行附件的
公司企业内部局域网软件部署安全策略及准则
XX有限公司 企业内部局域网软件部署安全策略及准则 (第一版) 2014年9月 XX有限集团公司 xx公司
xx有限公司 企业内部局域网软件部署安全策略及准则 (第一版) 为确保公司企业内部局域网安全有效运行,依据《xx公司非涉密计算机及网络管理办法》及国家相关管理规定,特制定本《企业内部局域网软件部署安全策略及准则》,本策略为公司局域网软件部署的安全性指导性文件。本安全策略及准则由以下几个部分组成: 1、公司https://www.360docs.net/doc/d17842368.html,局域网概况 2、软件使用范围及规则 3、公司内部局域网使用安全准则 4、电子数据交换安全准则 5、病毒防护策略及准则 6、https://www.360docs.net/doc/d17842368.html,域安全策略 7、域计算机及域用户登录脚本 一、公司https://www.360docs.net/doc/d17842368.html,局域网概况: 公司根据信息化建设规划需要,经数年努力,逐步建成了https://www.360docs.net/doc/d17842368.html,局域网络,该网络覆盖了102工房、104工房、203工房、205工房、702工房、401大楼等物理区域,为了保障网络的可靠性,整个网络由CISCO核心可管交换机及CISCO主干网络交换机控制,整个网络采用VLAN技术划分为10个网段:(170.16.70、72、74、76、78、80、82、84、86、88)。在硬件层面,https://www.360docs.net/doc/d17842368.html, 局域网中运行服务器11台(含虚拟服务器)、台式计算机498台、笔记本电脑33台、交换机21台、路由器2台;在操作系统OS层面,所有服务器操作系统OS均运行WINDOWS2012R2操作系统,410台计算机运行WINDOWS7X64操作系统,88台
计算机运行WINDOWXP-X32操作系统。在软件运用层面,整个网络在AD主域集中控制、CAPP、数字化档案信息系统、MRPII、MES、CAQ、内部邮件系统、文件集约存储系统、财务系统、DNC系统、INTERNET接入及控制、WSUS补丁升级、病毒防护、OA系统等方面均有重要应用,支撑整个企业在信息化模式下快速、有效运维。 二、软件使用范围及规则: 公司对非涉密计算机及网络软件进行白名单准入制,白名单内的软件在计算机上进行安装使用可不经过审批,采用文件服务器进行统一发布,不在白名单列表内的软件,需由使用人及使用单位写出软件安装使用申请,经主管部门测试审批、公司领导批准后方可安装使用。未经批准擅自安装软件的,按《xxxx非涉密计算机及网络管理考核办法》相关条款进行考核。 《xxxx公司非涉密计算机及网络软件白名单》: (具体安装位置为:\\SVMC2F\软件发布,\\SVMC2F\UPDATE) ACDSEE12、ADOBE_READER、ADOBE_PDF、PHOTOSHOP媒体工具 DOTNET3.5、DOTNET4.5基础框架 IE11、IE8 FOR WINDOWSXP浏览器 xx公司集团OA办公软件 OFFICE2007办公软件 好压、暴风影音、金山词霸2011 百度拼音、小鸭五笔输入法 微软MSE杀毒软件 NERO、ULTRAISO光盘刻录工具 AIDA64、3DMARK硬件检测工具 AUTOCAD2004_X32、AUTOCAD2010_X64、AUTOCAD2015_X64设计软件
Windows环境中组策略处理优先级详解
Windows环境中组策略处理优先级详解 组策略处理和优先级 应用于某个用户(或计算机)的组策略对象(GPO) 并非全部具有相同的优先级。以后应用的设置可以覆盖以前应用的设置。 处理设置的顺序 本节提供有关用户和计算机组策略设置处理顺序的详细信息。有关策略设置处理适合计算机启动和用户登录框架的位置的信息,请参阅以下主题启动和登录中的第3 步和第8 步。 组策略设置是按下列顺序进行处理的: 1.本地组策略对象—每台计算机都只有一个在本地存储的组策略对象。对于计算机或用户策略处理,都会处 理该内容。 2.站点—接下来要处理任何已经链接到计算机所属站点的GPO。处理的顺序是由管理员在组策略管理控制台 (GPMC) 中该站点的“链接的组策略对象”选项卡内指定的。“链接顺序”最低的GPO 最后处理,因此具有最高的优先级。o 3.域—多个域链接GPO 的处理顺序是由管理员在GPMC 中该域的“链接的组策略对象”选项卡内指定的。 “链接顺序”最低的GPO 最后处理,因此具有最高的优先级。 4.组织单位—链接到Active Directory 层次结构中最高层组织单位的GPO 最先处理,然后是链接到其子 组织单位的GPO,依此类推。最后处理的是链接到包含该用户或计算机的组织单位的GPO。 wu 在Active Directory 层次结构的每一级组织单位中,可以链接一个、多个或不链接GPO。如果一个组织单位链接了几个GPO,它们的处理顺序则由管理员在GPMC 中该组织单位的“链接的组策略对象”选项卡内指定。“链接顺序”最低的GPO 最后处理,因此具有最高的优先级。 该顺序意味着首先会处理本地GPO,最后处理链接到计算机或用户直接所属的组织单位的GPO,它会覆盖以前GPO 中与之冲突的设置。(如果不存在冲突,则只是将以前的设置和以后的设置进行结合。) 设置默认处理顺序的例外 设置的默认处理顺序受下列例外情况的影响: GPO 链接可以“强制”,也可以“禁用”,或者同时设置两者。默认情况下,GPO 链接既不强制也不禁用。
管理员操作手册 AD域控及组策略管理 CTO
AD域控及组策略管理 目录一、Active Directory(AD)活动目录简介 1、工作组与域的区别........................................ 2、公司采用域管理的好处.................................... 3、Active Directory(AD)活动目录的功能...................... 二、AD域控(DC)基本操作.................................... 1、登陆AD域控............................................. 2、新建组织单位(OU)...................................... 3、新建用户................................................ 4、调整用户................................................ 5、调整计算机.............................................. 三、AD域控常用命令.......................................... 1、创建组织单位:(dsadd)................................... 2、创建域用户帐户(dsadd)................................... 3、创建计算机帐户(dsadd)................................... 4、创建联系人(dsadd)....................................... 5、修改活动目录对象(dsmod)............................... 6、其他命令(dsquery、dsmove、dsrm)....................... 四、组策略管理 .............................................. 1、打开组策略管理器........................................ 2、受信任的根证书办法机构组策略设置........................ 3、IE安全及隐私组策略设置 .................................
2003系统域的组策略应用详解_
域网络构建教程(4)组策略 古人云:运筹帷幄之中,决胜千里之外。这大概就是用兵的最高境界了吧!作为一个生于和平年代的网络管理人员,这辈子带兵是没戏了。不过在域环境的帮助下,这个决胜千里的最高境界努力一下倒是可以体会体会的。所借助的神兵利器就是——组策略。实际上组策略的设置工具在我们常用的 XP 系统上一直存在,通过在运行栏中输入 gpedit.msc 就可以启动本地计算机的组策略编辑器。截图如下: 马马虎虎的讲我们可以把组策略编辑器看作是微软提供的一个图形化的注册表编辑器,所见即所得一直都是微软的看家本领啊。有了域环境之后,通过使用相关管理工具在域控制器上设置组策略就可以实现对所有加入域中的用户和计算机的管理与控制。在实际使用中,我感觉这种管理与控制几乎覆盖了使用中的方方面面,反正现在我只要在域控制器上动动手指头,就可以让全校的网络环境产生天翻地覆的变化——比如让所有人都无法使用计算机。理论上这是完全可以实现的,有兴趣的可以在看完本文后自己实践一下(后果自负 哈)。
闲话少说,书归正传。按前文所讲我们已经具备了使用组策略统一管控用户和计算机的域环境。现在在域控制器上打开组策略编辑器,注意这里不能使用gpedit.msc(那是编辑本机策略的),而要打开“开始——程序——管理工具——Active Directory 用户和计算机”。 截图如下: 在打开的窗口中选择你的域名,并在其上右击选择属性,然后在弹出的属性对话框中选择组
策略。现在你就会看到默认域策略——Default Domain Policy,截图如下: 单击编辑按钮就可以打开组策略编辑器。更改其中的选项就会对所有加入域中的用户和计算机产生影响。这是因为计算机启动以及用户登录时都会查询域控制器并使用这里的组策略设置。不过建议大家一般不要改动默认域策略——Default Domain Policy,这样便于我们随时恢复到系统默认的设置。呵呵,留条出迷宫的路,是所有操作前的必修课。 默认的不让动,那我们怎么编辑组策略呢?答案就是通过组织单位上次我们在建立用户和计算机时就已经新建了两个组织单位——全部用户和全部计算机,注意组织单位将是一个我们经常使用的划分方式,组策略可以按层次模式很好的在其上运行,这样也便于对今后一定会日趋复杂的组策略进行有效的管理。注意这里我提到了层次模式,组策略是可以按层次逐级继承的。这不但可以使策略设置简洁明了,出了问题还便于排查错误。为了演示这种层次模式,我新建一个名为“用户和计算机”的组织单位,并将原来的两个组
组策略安全选项对应注册表项汇总
组策略安全选项对应注册表项汇总 在组策略中的位置:计算机设置->Windows设置->安全设置->本地策略->安全选项 详细列表: [MACHINE\System\CurrentControlSet\Control\Lsa] : : ::值名:含义:类型:数据:值名:含义:类型:数 据:0=停用1=启用值名:含义:类型:数据:值 名:RestrictAnonymous含义:对匿名连接的额外限制(通常用于限制IPC$空连接)类型:REG_DWORD数据:0=无.依赖于默认许可权限1=不允许枚举SAM账号和共享2=没有显式匿名权限就无法访问值名ubmitControl含义:允许服务器操作员计划任务(仅用于域控制器)类型:REG_DWORD数据:0=停用1=启用[MACHINE\System\CurrentControlSet\Control\Print\Providers\LanMan Print Services\Servers]值名:AddPrinterDrivers含义:防止用户安装打印机驱动程序类型:REG_DWORD数据:0=停用1=启用 [MACHINE\System\CurrentControlSet\Control\Session Manager\Memory Management]值名:ClearPageFileAtShutdown含义:在关机时清理虚拟内存页面交换文件类型:REG_DWORD数据:0=停用1=启用 [MACHINE\System\CurrentControlSet\Control\Session Manager]值名
rotectionMode含义:增强全局系统对象的默认权限(例如Symbolic Links) 类型:REG_DWORD数据:0=停用1=启用 [MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters]值 名:EnableSecuritySignature含义:对服务器通讯进行数字签名(如果可能)类型:REG_DWORD数据:0=停用1=启用值名:RequireSecuritySignature 含义:对服务器通讯进行数字签名(总是)类型:REG_DWORD数据:0=停用 1=启用值名:EnableForcedLogOff含义:当登录时间用完时自动注销用户 (本地)类型:REG_DWORD数据:0=停用1=启用值名:AutoDisconnect 含义:在断开会话产所需要的空闲时间类型:REG_DWORD数据:分钟数[MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters]值 名:EnableSecuritySignature含义:对客户端通讯进行数字签名(如果可能)类型:REG_DWORD数据:0=停用1=启用值名:RequireSecuritySignature 含义:对客户端通讯进行数字签名(总是)类型:REG_DWORD数据:0=停用 1=启用值名:EnablePlainTextPassword含义:发送未加密的密码以连接到第三方SMB服务器类型:REG_DWORD数据:0=停用1=启用 [MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters]值名isablePasswordChange含义:防止计算机帐户密码的系统维护类型:REG_DWORD 数据:0=停用1=启用值名ignSecureChannel含义:安全通道: 对安全通道数据进行数字签名(如果可能)类型:REG_DWORD数据:0=停用 1=启用值名ealSecureChannel含义:安全通道: 对安全通道数据进行数字加密(如果可能)类型:REG_DWORD数据:0=停用1=启用值 名:RequireSignOrSeal含义:安全通道: 对安全通道数据进行数字加密或签名(总是)类型:REG_DWORD数据:0=停用1=启用值名:RequireStrongKey 含义:安全通道: 需要强(Windows 2000 或以上版本)会话密钥类 型:REG_DWORD数据:0=停用1=启用[MACHINE\Software\[M$]\Driver Signing]值名olicy含义:未签名驱动程序的安装操作类型:REG_BINARY数据:0=默认安装1=允许安装但发出警告2=禁止安装 [MACHINE\Software\[M$]\Non-Driver Signing]值名olicy含义:未签名非驱动程序的安装操作类型:REG_BINARY 数据:0=默认安装1=允许安装但发出警告2=禁止安装 [MACHINE\Software\[M$]\Windows\CurrentVersion\Policies\System]值名isableCAD 含义:禁用按CTRL ALT DEL进行登录的设置类型:REG_DWORD数据:0=停用1=启用值名ontDisplayLastUserName含义:登录屏幕上不要显示上次登录的用户名类型:REG_DWORD数据:0=停用1=启用值名:LegalNoticeCaption含义:用户试图登录时消息标题类型:REG_SZ数据:标题文本值名:LegalNoticeText含义:用户试图登录时消息文字类型:REG_SZ数据:消息文字值名hutdownWithoutLogon含义:登录屏幕上不要显示上次登录的用户名类型:REG_DWORD数据:0=停用1=启用 [MACHINE\Software\[M$]\Windows NT\CurrentVersion\Setup\RecoveryConsole] 值名ecurityLevel含义:故障恢复控制台:允许自动系统管理级登录类 型:REG_DWORD数据:0=停用1=启用值名etCommand含义:故障恢复控制台:允许对所有驱动器和文件夹进行软盘复制和访问类型:REG_DWORD 数据:0=停用1=启用[MACHINE\Software\[M$]\Windows NT\CurrentVersion\Winlogon]值名:AllocateCDRoms含义:只有本地登录的用户才能访
服务器备份与域安全策略(最全)个人收集
服务器备份与域安全策略 实验目标 1) 熟悉企业搭建Windows网络环境的基本需求 2) 掌握域环境的规划 3) 掌握附助的域控制器的安装 4) 掌握OU的管理 5) 掌握用户帐户和组的管理掌握windows环境下的安全策略管理 6) 掌握文件服务器及打印服务器的配置 7) 掌握企业网络的Internet接入 准备环境 1) 准备4台真机,安装2台域控制器,安装2台打印服务器,安装1台文件服务器,安装1台代理服务器。(具体参照以上TOP图)。 2) 规划IP地址。 3) 创建5个部门OU。 4) 创建部门全局组,总经理域帐户,部门经理域帐户,员工域帐户。 5) 配置文件服务器 6) 配置打印服务器 7) 代理服务器,客户机必须走代理才能上网 实验步骤及参考 步骤一:修改计算机名称并设置IP地址
1) 把计算机名称修改为PCXX(XX为机器号) 2) 所有真机IP地址不修改, DNS均为PDC的IP地址。 3) 3台服务器网关均填写为教师机IP地址。 4) 客户机的网关可以不用填写。 步骤二:配置代理服务器,并测试代理服务器是否能上网。 1) 设置代理服务器的网关和DNS为教师机IP地址 2) 保证代理服务器必须能上网(测试) 3) 安装ccproxy代理软件,并开启。
步骤三:安装PDC 1) 设置PDC的网关为教师机IP地址,DNS为自己的IP地址。 2) 给PDC设置密码为abc123,
3) 在计算机PDC上,单击“开始”---“运行”,输入“dcpromo”,按Active Directory 安装向导进行。 4) 在“域控制器类型”中选择“新域的域控制器”。 5) 在“创建一个新域”中选择“在新林中的域”。 6) 输入新域的DNS全名“https://www.360docs.net/doc/d17842368.html,”。(X为自己的小组号)
组策略对windows7的安全性设置(陈琪) - 修改
组策略对windows7的安全性设置 陈琪 (重庆市商务学校重庆市大渡口区400080) 【摘要】:现在Win7系统已成为电脑市场的主流,大量企业和家庭个人都选择使用Win7系统,主要是Win7系统设计具有人性化、操作非常的简单,更重要的是Win7安全性非常高。同时针对Win7的安全性设置方法也层出不穷,用户往往是通过第三方软件来实现,但是这些方法往往不具有个性化的设置,而且这些方法效果到底如何也无从知晓。其实利用Win7的系统组策略功能,就可以简单轻松的实现Win7的系统的安全性设置。 【关键词】:组策略点击用户配置驱动器木马权限哈希值【引言】:在我们使用电脑的过程中系统、用户的数据都是保存在电脑的驱动器中的。因此,限制驱动器的使用可以有效防止重要和机密的信息外泄。而且现在的电脑大多数时间都是联网的,有效的阻击病毒和木马的入侵是确保电脑安全稳定运行的必要措施。 【正文】: 1.驱动器访问权限的设置 驱动器主要包括硬盘、光驱和移动设备等。驱动器不同限制方法也不同,而且同一种驱动器也有不同的限制级别。就说硬盘吧,一般有隐藏和禁止访问两种级别。隐藏级别比较初级,只是让驱动器不可见,一般用于防范小孩和初级用户,而禁止访问则可彻底阻止驱动器的访问。对于移动设备,可以选择设置读、写和执行权限,不过病毒和木马一般通过执行恶意程序来传播,因此禁止执行权限才最有效。
1.1隐藏驱动器 那么我们首先来实现如何让初级普通用户看不到驱动器:点击“开始”,在搜索框中输入“gpedit.msc”,确认后即打开了组策略编辑器,依次展开“用户配置→管理模板→Windows组件→Windows资源管理器”,在右边设置窗口中,进入“隐藏‘我的电脑’中这些指定的驱动器”,选择“已启用”,在下面的下拉列表中选择需要隐藏的驱动器,然后确定。再进入“计算机”,刚才选择的驱动器图标就不见了。提示:这个方法只是隐藏驱动器图标,用户仍可使用其他方法访问驱动器的内容,如在地址栏中直接键入驱动器上的目录路径。 1.2移动存储设备读写权限的设置 移动设备(例如闪存、移动硬盘等)已经成为不少用户的标准配置,使用也最为广泛。正因如此,它也成了病毒和木马传播的主要途径。而普通的限制读写权限并不能阻止病毒和木马入侵,因为病毒传播都是通过执行病毒和木马程序来实现的,因此禁用执行权限就能切断病毒传播途径。依次展开“计算机配置→管理模板→系统→可移动存储访问”,进入“可移动磁盘:拒绝执行权限”,选择“已启用”,确定后设置生效。移动设备上的可执行文件将不能执行,计算机也就不会再被病毒感染。而如果需要执行,只需要拷贝到硬盘当中即可。 2.网络安全性设置 电脑最重要的用途之一就是上网,可是说实话,现在上网一点也不省心,病毒、木马和流氓软件横行,连不少大网站都会被挂一些别有用心的软件,用户真是防不胜防。所以网络安全性的设置相当重要。
组策略与安全设置
组策略与安全设置 系统管理员可以通过组策略的强大功能,来充分管理网络用户与计算机的工作环境,从而减轻网络管理的负担。 组策略概述 组策略是一个能够让系统管理员充分管理用户工作环境的功能,通过它来确保用户拥有应有的工作环境,也通过他来限制用户。因此,不但可以让用户拥有适当的环境,也可以减轻系统管理员的管理负担。 组策略包含计算机配置与用户配置两部分。计算机配置仅对计算机环境产生影响,而用户设置只对用户环境有影响。可以通过以下两个方法来设置组策略。 ●本地计算机策略:可以用来设置单一计算机的策略,这个策略内的计算机配置只会背 应用到这台计算机,而用户设置会被应用到在此计算机登陆的所有用户。 ●域的组策略:在域内可以针对站点,域或组织单位来设置组策略,其中,域组策略内 的设置会被应用到域内的所有计算机与用户,而组织单位的组策略会被应用到该组织单位内的所有计算机与用户。 对添加域的计算机来说,如果其本地计算机策略的设置与域或组织单位的组策略设置发生冲突,则以域或组织单位组策略的设置优先,也就是此时本地计算机策略的设置值无效。 本地计算机策略实例演示 以下利用未加入域的计算机来练习本地计算机策略,以免受到域策略的干扰,造成本地计算机策略的设置无效,因而影响到验证实验结果。 计算机配置实例演示 当我们要将Windows Server2012计算机关机时,系统会要求我们提供关机的理由,以下实例完成后,系统就不会在要求你说明关机理由了。
开始运行中输入gpedit.msc-计算机配置-管理模板-系统-显示“关闭事件跟踪程序“-单击已禁用 以后关机或重启计算机时,系统都不会再询问了。 注:请不要随意更改计算机配置,以免更改可能影响系统正常运行的设置值。 用户配置实例演示 以下通过本地计算机策略来限制用户工作环境:删除客户端浏览器IE内Internet选项的安全和连接标签。也就是经过以下设置后,浏览器内的安全和连接标签消失了。 用户配置-管理模板-windows组件-IE-ie控制面板-禁用连接页和禁用安全页设置为启用,此设置会立即应用到所有用户。
组策略的管理(账户锁定策略)
组策略的管理(账户锁定策略) 2. 账户锁定策略 账户锁定策略用于域账户或本地用户账户,用来确定某个账户被系统锁定的情况和时间长短。要设置“账户锁定策略”,可打开组策略控制台,依次展开“计算机配置”→“Windows设置”→“安全设置”→“账户策略”→“账户锁定策略”。 (1)账户锁定阈值 该安全设置确定造成用户账户被锁定的登录失败尝试的次数。无法使用锁定的账户,除非管理员进行了重新设置或该账户的锁定时间已过期。登录尝试失败的范围可设置为0~999之间。如果将此值设为0,则将无法锁定账户。 对于使用Ctrl+Alt+Delete或带有密码保护的屏幕保护程序锁定的计算机上,失败的密码尝试计入失败的登录尝试次数中。 在组策略窗口中,双击“账户锁定阈值”选项,显示“账户锁定阈值属性”对话框,选中“定义这个策略设置”复选框,在“账户不锁定”文本框中输入无效登录的次数,例如3,则表示3次无效登录后,锁定登录所使用的账户。 建议启用该策略,并设置为至少3次,以避免非法用户登录。 (2)账户锁定时间 该安全设置确定锁定的账户在自动解锁前保持锁定状态的分钟数。有效范围从0~ 99 999分钟。如果将账户锁定时间设置为0,那么在管理员明确将其解锁前,该账户将被锁定。
如果定义了账户锁定阈值,则账户锁定时间必须大于或等于重置时间。 打开“账户锁定时间”的属性对话框,选中“定义这个策略设置”复选框,在“账户锁定时间”文本框中输入账户锁定时间,例如30,则表示账户被锁定的时间为30分钟,30分钟后方可使用再次使用被锁定的账户。 默认值为无,因为只有当指定了账户锁定阈值时,该策略设置才有意义。 (3)复位账户锁定计数器 该安全设置确定在登录尝试失败计数器被复位为0(即0次失败登录尝试)之前,尝试登录失败之后所需的分钟数,有效范围为1~99 999分钟之间。 如果定义了账户锁定阈值,则该复位时间必须小于或等于账户锁定时间。 打开“复位账户锁定计数器”的属性对话框,选中“定义这个策略设置”复选框,在“复位账户锁定计数器”文本框中输入账户锁定复位的时间,例如30,表示30分钟后复位被锁定的账户。 只有当指定了账户锁定阈值时,该策略设置才有意义。
域安全策略和域控制器安全策略的区别
域安全策略和域控制器安全策略的区别 域控制器安全策略仅更改域控制器的本地用户 而域安全策略控制整个域的用户 正如你说的“域控制器安全策略”优先于“域安全策略”,所以同时设置了两个策略的则域控制器将优先使用域控制器安全策略,而域中的其他的计算机还将继续使用域安全策略的设置项 因为很长时间没有设置带有域的网络了,所以可能我说的可能也有不对的地方,你还是把各种组合试一下来看看规律的好 策略大体上分为4类,即本地策略,域策略,站点策略,ou策略,他们的作用顺序:local policy——〉site policy——〉domain policy——〉ou policy 本地安全策略是本地策略的一部分,在开机的时后就会被执行,无论你是否处于工作组模式还是域模式. 域安全策略是domain policy的一部分,domain policy的作用范围是整个域,因此一台计算机只要处于域模式,就会采用域策略 site的策略一般只在site之间有慢速连接的时候才会使用它,所以微软没有内置站点策略,需要管理员手工设置. DC安全策略是OU策略的一种,ou策略仅作用在ou下,因为dc安全策略是作用在domain controller这个ou上,所以把他们称作dc安全策略,而domain controller这个ou下默认存储的就是域内的所有dc,因此dc安全策略仅作用在dc之上,当然,如果你手工将一个计算机账号移入dc ou,则那台计算机也会执行dc安全策略。 也就是说,一台处于工作组模式的计算机只会执行本地安全策略,而dc则至少要执行本地安全策略,域安全策略,域控制器安全策略三个策略,换言之,处于域模式的计算机要执行多条策略,那么就要有相应的措施保证策略不冲突。默认情况下,当多条策略之间不产生冲突的时候,多条策略之间是merge的关系,即和并执行;但当产生冲突的时候,后执行的策略会替代先执行的策略。也就是说无论在何种情况下,ou设置的策略都会生效 一条策略又可以分为计算机策略和用户策略,计算机策略作用在计算机上,用户策略作用在用户对象上,当同一条策略的计算机策略和用户策略产生冲突的时
(战略管理)部署基本域隔离策略
部署基本域隔离策略 更新时间2009年8月 应用到:Windows7,WindowsServer2000,WindowsServer2003,WindowsServer2003R2,WindowsServer2003withSP1,WindowsServer2003withSP2,WindowsServer2008,WindowsServer2008R2,WindowsVista 通过使用高级安全Windows防火墙,您可以创建用来指定必须通过IPSec的一个或多个功能保护流量的连接安全规则。在域隔离中,使用IPsec身份验证要求连接所涉及的每台域成员计算机正确建立其他计算机的标识。 通过创建要求域成员进行身份验证的规则,可有效地将域成员计算机与不属于域的计算机隔离。 域隔离环境中的计算机要求对入站连接进行身份验证。对于出站连接,通常使用该选项来请求而非要求IPsec保护。这样,计算机便可在与其他同样可以使用IPSec的计算机通信时保护流量,但在与无法使用IPSec的计算机通信时,将恢复使用纯文本。在WindowsXP和早期版本的Windows中,如果启用了恢复使用纯文本,则将在尝试使用IPsec三秒后使用纯文本。但是,某些服务的响应超时时间小于三秒,这导致其失败。在以上早期版本的Windows中,这意味着必须创建(有时为大量的)出站豁免规则,以支持这些无法进行身份验证的服务器或服务。为解决此问题,Microsoft发布了WindowsServer2003和WindowsXP的简单策略更新。此更新会在受IPSec保护的客户端和未受IPSec保护的客户端之间的尝试延迟缩短到半秒。有关WindowsServer2003和WindowsXP的简单策略更新的详细信息,请参阅使用简单策略更新简化IPSec策略。 较新版本的Windows进一步改进了这一点,不再需要更新。当在WindowsVista和较新版本的Windows中使用请求模式时,Windows同时发送两种连接尝试。如果远程主机使用IPSec响应,则将放弃非IPSec尝试。如果IPSec请求不生成响应,则非IPSec尝试将继续。 延迟缩短或消除后,解决了大多数程序的超时失败问题。但是,有时仍希望确保计算机不使用IPSec来尝试与网络上的某些主机通信。在这些情况下,可为客户端创建身份验证豁免规则,它们不再使用IPSec与豁免列表中的计算机通信。有关域隔离的详细信息,请参阅WindowsServer技术库中“服务器和域隔离简介和使用MicrosoftWindows的域隔离说明。 创建连接安全规则以强制执行域隔离的步骤 在此部分中,创建连接安全规则指定域中的计算机要求对入站网络流量进行身份验证并对出站流量请求身份验证。 重要事项 步骤1:创建请求身份验证的连接安全规则 步骤2:部署并测试连接安全规则 步骤3:将隔离规则更改为要求身份验证 步骤4:使用不具有域隔离规则的计算机测试隔离 步骤5:为不是域成员的计算机创建豁免规则 步骤1:创建请求身份验证的连接安全规则