当前位置：文档库 › 设置本地安全策略

设置本地安全策略

v1.0 可编辑可修改

设置本地安全策略。依次单击“开始”—“运行”命令，在弹出的系统运行文本框中，输入组策略编辑命令“”或者输入本地安全设置编辑命令“” 单击“确定”按钮。

1、控制面板—管理工具—本地安全策略—本地策略—用户权利指派里，

在“拒绝从网络访问这台计算机”中删除guest帐户。

在“从网络访问这台计算机”这个项目，在“从网络访问此计算机”中加入guest帐户。

2、控制面板—管理工具—本地安全策略—本地策略—安全选项里，把“网络访问：本地帐户的共享和安全模式”设为“仅来宾—本地用户以来宾的身份验证”（可选，此项设置可去除访问时要求输入密码的对话框，如果要自己输入帐户信息的话，就设为“经典—本地用户以自己的身份验证”）；

3、如果guest不能使用空密码登录的话，那么修改“控制面板—管理工具—本地安全策略”—安全选项里，停用“空密码用户只能进行控制台登陆”；

本地安全策略无法打开

本地安全策略无法打开打开管理工具中[本地安全策略]时出现“管理单元初始化失败”或“创建管理单元失败”的错误提示，然后给了个“ CLSID:{8FC0B734-A0E1-11D1-A7D3- 0000F87571E3} ”的提示, 将位于%windir%\system32\wbem下的framedyn.dll拷贝至%windir%\system32 后，注册regsvr32 gpedit.dll和regsvr32 filemgmt.dll这两个文件如果都成功了，打开本地安全策略试试，如果不行按照下面的方法操作。解决本地安全策略打不开的方法一： 1、解决的前提条件：一是解决好系统的配置环境问题，由于安装软件导致系统环境path被修改，所以需要改回来，方法是，打开系统属性-高级-环境变量-修改path，值得说明的是xp不同版本的稍有不同，大家可以打开相似的按钮看一下就找到了，修改是比较简单的，只要在原来的path路径后面继续增加路径就可以了，先加一分号“;”然后输入引号中的“% systemroot%\system32;%systemroot%;%systemroot% system32%\wbem”,你也可以增加类似的路径，这里就不多说了。二是确保两个文件的存在，如果没有可以拷贝到 windows目录下的system32目录下，这两个文件是

gpedit.msc和secpol.msc 。 2、如何调用，这里是很重要的一步,因为虽然该改的都改了，该加的都加上了，但是目前为止还没有让将它们联系在一起，或者说还没有注册到系统里. 不过不用担心，下面的步骤就可以解决这个难题了。点-开始-运行-输入gpedit.msc-点确定，如果没有执行，那么就直接去windows目录下的system32目录中直接打开它好了。然后，打开[控制面板]中的[本地安全策略]图标，你会发现竟然出现了[计算机配置]，双击[计算机配置]，久违的 [安全设置]下面出现了[本地策略]。如果你喜欢修改下布局，你还可以将右面的策略项排列成列表或详细信息等方式。解决本地安全策略打不开的方法二：运行\ regedit\找到 HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC 将RestrictToPermittedSnapins 的值设置为 0，如果MMC 找不到可以这样：直接将下面内容复制粘贴进入记事本，并保存为后缀名为.reg的文件，双击运行该.reg文件即可。 Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Policies\Microsoft\MMC] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Policies\Microsoft\MMC\{8FC0B734-A0E1-11D1-A7D3-0000F87571E3}] "Restrict_Run"=dword:00000000 [HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC] [-HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC\{8FC0B734-A0E1-11D1-A7D3-0000F87571E3}] "Restrict_Run"=dword:00000000

IP安全策略详细设置

首先,打开"管理工具"中的"本地安全策略",在"IP安全策略"选项上点击右键,如图1: 选择"创建IP安全策略",会弹出向导窗口,单击下一步,在弹出的窗口中,输入此策略的名称,比如这里我们键入"3389过滤"再单击下一步,以后全部默认下一步,其中有一个警告,单击"是"即可这样就完成新策略的添加.如图2: 点击确定后,回到图1界面,选择"管理IP筛选器操作",弹出窗口,如图3

我们先要建立一个筛选器,单击"添加",弹出窗口,在筛选器名称里填入"3389筛选器1",再单击旁边的"添加",会弹出向导窗口,单击"下一步",会出现源地址选项,(你可以按照自己的需要选择),在这里我们选择"任何IP地址",单击下一步,在目的地址中选择"我的IP地址",再单击下一步,选择IP协议,这里我们选择TCP,单击下一步,会出现端口选择,如图4: 我们设置从任何端口到本机的3389端口.单击下一步.就完成了筛选器的建立.如图5:

接着回到图3界面,单击"管理筛选器操作"页栏单击"添加",会弹出筛选器操作向导,单击"下一步",取名为"阻止3389",单击下一步, 在选择操作页面中选择"阻止",单击"下一步",就完成了筛选器的建立.如图6:

好了! 我们建立了筛选器和筛选器操作,现在就要建立IP安全规则了.(***)在图1界面中,双击我们刚刚建立的"3389过滤"策略,弹出策略属性窗口,然后单击"添加"弹出向导,单击"下一步",一直单击下一步,其中一个选择"是",直到这里,如图7：这时,我们要选择我们刚才建立的"3389筛选器1",然后再单击下一步.如图8

操作系统的安全策略基本配置原则(正式)

编订：__________________ 单位：__________________ 时间：__________________ 操作系统的安全策略基本配置原则(正式) Standardize The Management Mechanism To Make The Personnel In The Organization Operate According To The Established Standards And Reach The Expected Level. Word格式 / 完整 / 可编辑

文件编号：KG-AO-8263-70 操作系统的安全策略基本配置原则 (正式) 使用备注：本文档可用在日常工作场景，通过对管理机制、管理原则、管理方法以及管理机构进行设置固定的规范，从而使得组织内人员按照既定标准、规范的要求进行操作，使日常工作或活动达到预期的水平。下载后就可自由编辑。安全配置方案中级篇主要介绍操作系统的安全策略配置,包括十条基本配置原则: (1)操作系统安全策略,(2)关闭不必要的服务 (3)关闭不必要的端口, (4)开启审核策略(5)开启密码策略, (6)开启帐户策略,(7)备份敏感文件,(8)不显示上次登陆名,(9)禁止建立空连接(10)下载最新的补丁 1 操作系统安全策略利用Windows 2000的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器的安全策略.在管理工具中可以找到"本地安全策略".可以配置四类安全策略:帐户策略,本地策略,公钥策略和IP安全策略.在默认

的情况下,这些策略都是没有开启的. 2 关闭不必要的服务 Windows 2000的Terminal Services(终端服务)和IIS(Internet 信息服务)等都可能给系统带来安全漏洞.为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果开了,要确认已经正确的配置了终端服务. 有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务.要留意服务器上开启的所有服务并每天检查.Windows2000可禁用的服务服务名说明Computer Browser维护网络上计算机的最新列表以及提供这个列表Task scheduler允许程序在指定时间运行Routing and Remote Access在局域网以及广域网环境中为企业提供路由服务Removable storage管理可移动媒体,驱动程序和库Remote Registry Service允许远程注册表操作Print Spooler将文件加载到内存中以便以后打印.要用打印机的用户不能禁用这项服务IPSEC Policy Agent管

防火墙安全策略配置

防火墙安全策略配置 -标准化文件发布号：（9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII

一、防火墙设置外网不能访问内网的方法： 1、登录到天融信防火墙集中管理器； 2、打开“高级管理”→“网络对象”→“内网”，在右边窗口空白处点击右键，在弹出的快捷菜单中选择“定义新对象”→“子网”，填入子网名称（自己命名），如“120段”，地址范围中，输入能够上网机器的所有IP范围（能够上网的电脑IP 范围）。点击确定。 3、在“网络对象”中选择“外网”，在右边窗口空白处点击右键，在弹出的快捷菜单中选择“定义新对象”“子网”，填入子网名称（自己命名），如“外网IP”，地址范围中，输入所有IP范围。点击确定。

4、访问策略设置 A、在“高级管理”中选择“访问策略”“内网”，在右边的窗口中，点击右键，选择“增加”，点击“下一步”。 B、在“策略源”中选择“外网IP”（刚才设置的外网IP），点击“下一步”。

C、在“策略目的”中选择“内网”和“120段”（刚才设置的上网IP），点击“下一步”。

D、在“策略服务”中，我们不做任何选择，直接点击“下一步”。（因为我们要限制所有外网对我们内网的访问，在此我们要禁用所有服务，因此不做选择） E、在“访问控制”中，“访问权限”选择“禁止”（因为我们上一步没有选择服务，在此我们选择禁止，表示我们将禁止外网对我们的所有服务），“访问时间”选择“任何”，“日志选项”选择“日志会话”，其他的不做修改，点击“下一步”。

F、最后，点击“完成”。 5、至此，我们就完成了对外网访问内网的设置。

本地安全策略

使用本地安全策略加强windows主机的整体防御 1.1学习目的与要求 1.1.1 学习目的学生通过该能力模块的学习,能够独立完成和熟练掌握WindowsXP的本地安全策略设置。 1.1.2 学习要求 1.学习重点 ?禁止枚举账号 ?指派本地用户权利 ?设置IP安全策略 ?配置密码安全策略 2.学习难点 IP安全策略：IP安全策略是一个给予通讯分析的策略，它将通讯内容与设定好的规则进行比较以判断通讯是否与预期相吻合，然后决定是允许还是拒绝通讯的传输，它弥补了传统TCP/IP设计上的"随意信任"重大安全漏洞，可以实现更仔细更精确的TCP/IP安全，也就是说，当我们配置好IP安全策略后，就相当于拥有了一个免费，但功能完善的个人防火墙。 1.2 本能力单元涉及的知识组织 1.2.1本能力单元涉及的主要知识点 1.什么是枚举账号 2.什么事本地安全策略 3.什么是密码安全

1.2.2本能力单元需要解决的问题 1.按照项目的需求，重点针对WindowsXP的本地安全策略进行设置，达到对本地安全策略的进行深入的理解。 1.3 知识准备 1.3.1 本地安全策略安全策略是影响计算机安全性的安全设置的组合。可以利用本地安全策略来编辑本地计算机上的帐户策略和本地策略。通过本地安全策略可以控制： ?访问计算机的用户。 ?授权用户使用计算机上的哪些资源。 ?是否在事件日志中记录用户或组的操作。 1.3.2 枚举账号禁用枚举账号的意义一般来说，黑客攻击入侵，大部分利用漏洞，然后提升权限，成为管理员，这一切都跟用户帐号紧密相连。一般的黑客要攻击Windows 2000/XP等系统，必须要知道账号和密码。而账号更为关键，那么如何来避免这种情况的发生呢？我们可以利用禁止枚举帐号来限制黑客攻击我们的账户和密码。由于Windows 2000/XP的默认安装允许任何用户通过空用户得到系统所有账号和共享列表，但是，任何一个远程用户通过同样的方法都能得到账户列表，使用暴力法破解账户密码后，对我们的电脑进行攻击，所以有必要禁止枚举帐号，我们可以通过修改注册表和设置本地安全策略来禁止。

配置本地安全策略

配置本地安全策略端口的保护 IP 安全策略设置方法一、适用范围：它适用于2000以上Windows系统的专业版；对家庭版的用户可以看一下是不是能通过：控制台（运行mm）-文件-添加/删除管理单元-添加-添加独立单元，添加上“ IP 安全策略管理”，如行的话则可在左边的窗口中看到“ IP 安全策略，在本地计算机”了，接下来的操作就跟专业版一样了。二、找到“ IP 安全策略，在本地计算机”： “IP 安全策略，在本地计算机”选项在“本地安全设置”下，所以要找到它就打开“本地安全设置”的方法，主要采用以下两种方法来打开：1是点“开始”-“运行” -输入 secpol.msc ，点确定；2 是“控制面板”-“管理工具”-“本地安全策略”。打开“本地安全策略”对话框就能在左边的窗口中看到“ IP 安全策略，在本地计算机”了。右击它，在它的下级菜单中能看到“创建IP 安全策略”和“管理IP 筛选器表和筛选器操作”等菜单（也可以在此级菜单中的“所有任务”项的下级菜单中看到上面的两个菜单）。三、建立新的筛选器： 1、在“ IP 安全策略，在本地计算机”的下级菜单中选择“管理IP 筛选器和筛选器操作”菜单，打开“管理IP 筛选器和筛选器操作”对话框，里面有两个标签：“管理IP 筛选器列表”和“管理筛选器操作”。选择“管理IP 筛选器列表”标签，在“ IP 筛选器列表”下的文本框下面能看到三个按钮：“添加”、“编辑”和“删除”。 2、点“添加”按钮，打开叫做“ IP筛选器列表”的对话框，里面有三个文本框，从上到下分别是：“名称”、“描述”和“筛选器”。在“名称”和“描述”文本框右边，能看到“添加”、“编辑”和“删除”三个按钮（对没有内容的筛选器而言，它的 “编辑”和“删除”按钮不可用），在这三个按钮下有一个复选框，复选框后面有“使用‘添加向导'”这样的文本说明。 3、取消默认的对“使用‘添加向导'”的勾选，在“名称”下面的文本框中把默认的“新IP 筛选器列表”修改成下面要建立的筛选器列表的名称，我们这里先输入： “病毒常驻端口”，在“描述”下面的空白文本框中输进去“病毒常驻端口”后面的全部

Windows 安全配置规范

Windows 安全配置规范 2010年11月

第1章概述 1.1适用范围本规范明确了Windows操作系统在安全配置方面的基本要求，可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。适用于中国电信所有运行的Windows操作系统，包括Windows 2000、Windows XP、Windows2003, Windows7 , Windows 2008以及各版本中的Sever、Professional版本。第2章安全配置要求 2.1账号编号：1 要求内容应按照不同的用户分配不同的账号，避免不同用户间共享账号，避免用户账号和设备间通信使用的账号共享。操作指南1、参考配置操作进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”：根据系统的要求，设定不同的账户和账户组。检测方法1、判定条件结合要求和实际业务情况判断符合要求，根据系统的要求，设定不同的账户和账户组 2、检测操作进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”：

查看根据系统的要求，设定不同的账户和账户组编号：2 要求内容应删除与运行、维护等工作无关的账号。操作指南1．参考配置操作 A）可使用用户管理工具：开始-运行-compmgmt.msc-本地用户和组-用户B）也可以通过net命令：删除账号：net user account/de1 停用账号：net user account/active:no 检测方法1.判定条件结合要求和实际业务情况判断符合要求，删除或锁定与设备运行、维护等与工作无关的账号。注：主要指测试帐户、共享帐号、已经不用账号等 2.检测操作开始-运行-compmgmt.msc-本地用户和组-用户编号：3 要求内容重命名Administrator；禁用guest（来宾）帐号。操作指南1、参考配置操作进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”： Administrator－>属性－> 更改名称 Guest帐号->属性－> 已停用检测方法1、判定条件缺省账户Administrator名称已更改。 Guest帐号已停用。 2、检测操作进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”：缺省帐户－>属性－> 更改名称

涉密计算机安全策略配置完整版

涉密计算机安全策略配置 HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】

涉密计算机安全策略配置一、物理安全防护 1、安装防盗铁门 2、安装红外报警器 3、放置密码文件柜 4、涉密电脑实行物理隔离二、硬件相关设置 1、禁止使用无线设备（无线键盘、鼠标、网卡、红外、蓝牙、modem等）； 2、未经许可不得使用视频、音频输入设备、读卡器设备、刻录设备; 3、接入红黑电源隔离插座； 4、与非密设备间隔一米以上。三、主板BIOS相关设置 1、设置BIOS系统密码，该密码由安全保密管理员掌握； 2、设置BIOS开机密码，该密码由用户掌握； 3、BIOS最优先启动设置为硬盘启动，其余优先启动全部关闭；四、操作系统 1、禁止安装番茄花园、雨林木风等经处理的操作系统，禁止安装Ghost版操作系统； 2、更改A d m i n i s t r a t o r用户名并设置密码，禁用Guest帐户，删除多余帐户； 3、关闭操作系统的默认共享，同时禁止设置其它共享； 4、设置屏保时间10分钟，屏保恢复需用密码； 5、不得安装《软件白名单》外的软件； 6、对操作系统与数据库进行补丁升级（每季度一次〉； 7、定期输出安全审计记录报告（每月一次） 8、清理一切私人信息：私人照片、mp3、电影等等。 9、根据规定设置系统策略，关闭非必要服务；〔见后）五、安全保密防护软件的部署 1、安装正版杀毒软件，涉密计算机（瑞星杀毒软件），涉密中间机、非涉密中间机（瑞星杀毒软件)；杀毒软件每半个月更新一次病毒库并全盘扫描； 2、安装主机监控审计软件与介质绑定系统；六、关闭计算机不必要的应用服务原则：在没有特殊情况下应当关闭不必要的服务。如果有特殊需求，应当主动申请提出。详细配置说明

操作系统的安全策略基本配置原则

操作系统的安全策略基本配置原则集团企业公司编码：（LL3698-KKI1269-TM2483-LUI12689-ITT289-

操作系统的安全策略基本配置原则安全配置方案中级篇主要介绍操作系统的安全策略配置,包括十条基本配置原则: (1)操作系统安全策略,(2)关闭不必要的服务(3)关闭不必要的端口,(4)开启审核策略(5)开启密码策略,(6)开启帐户策略,(7)备份敏感文件,(8)不显示上次登陆名,(9)禁止建立空连接(10)下载最新的补丁 1操作系统安全策略利用Windows2000的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器的安全策略.在管理工具中可以找到"本地安全策略".可以配置四类安全策略:帐户策略,本地策略,公钥策略和IP安全策略.在默认的情况下,这些策略都是没有开启的. 2关闭不必要的服务 Windows2000的TerminalServices(终端服务)和IIS(Internet信息服务)等都可能给系统带来安全漏洞.为了能够在远程方便的管理服务器,

很多机器的终端服务都是开着的,如果开了,要确认已经正确的配置了终端服务. 有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务.要留意服务器上开启的所有服务并每天检查.Windows2000可禁用的服务服务名说明 ComputerBrowser维护网络上计算机的最新列表以及提供这个列表Taskscheduler允许程序在指定时间运行RoutingandRemoteAccess在局域网以及广域网环境中为企业提供路由服务Removablestorage管理可移动媒体,驱动程序和库RemoteRegistryService允许远程注册表操作PrintSpooler将文件加载到内存中以便以后打印.要用打印机的用户不能禁用这项服务IPSECPolicyAgent管理IP安全策略以及启动 ISAKMP/Oakley(IKE)和IP安全驱动程序DistributedLinkTrackingClient当文件在网络域的NTFS卷中移动时发送通知Com+EventSystem提供事件的自动发布到订阅COM组件。 3关闭不必要的端口关闭端口意味着减少功能,如果服务器安装在防火墙的后面,被入侵的机会就会少一些,但是不可以认为高枕无忧了.用端口扫描器扫描系统

Windows7本地安全策略

广东XXXX职业学院计算机工程技术学院(软件学院) 实验报告专业计算机网络技术班级XXX 成绩评定______ 学号XX 姓名XXX (合作者____号____) 教师签名XX 实验八题目本地安全策略第九周星期二第节一、实验目的与要求（此栏实验前由老师填写） ◆创建和验证多重本地组策略的设置； ◆配置本地安全策略设置。二、实验环境及方案（此栏实验前由老师填写）实验环境：主机硬件配置至少1G内存，15G以上的空余硬盘空间，然后要求在主机上安装Oracle VM VirtualBox 4.1.8，利用它配置至少一台虚拟机，安装windows 7企业版客户机，并准备好相应的windows 7安装盘或对应ISO文件。实验说明： 1.计算机启动时所启动的操作系统称为主机，在虚拟机上安装的操作系统称为客户机； 2.启动客户机后，如果想操作客户机，只需用鼠标点击客户机桌面就可以；如果要回到主机操作，可以按下键盘右边ctrl键。 3.也可以通过安装增强功能来实现在主机与客户机之间自由地切换 4.客户机的管理员kgy帐号的登录密码：P@ssw0rd 5.实验所需的各种资料在共享文件夹中找

6.请把实验过程的关键操作屏幕的图片剪切下来，贴在相应实验内容后面，以备检查。（截屏方法：如果要截全屏，直接按屏幕打印键；如果只截当前屏幕，请按Alt+屏幕打印键） 7.完成后，请将实验结果文件命名为：“班内序号_姓名_第几次实验”，如张三班内序号为18号、实验一的结果文件可命名为：“18_张三_1.doc” ；再如李四班内序号为8号、实验六的结果文件可命名为：“08_李四_6.doc” 三、实验内容（将每项实验内容的具体操作步骤及相关截图存放于实验结果栏中）（一）创建和验证多重本地组策略的设置 1、以administrator登录计算机，创建自定义管理控制台，分别选择本地计算机、Administrators和非管理员为组策略对象，保存到桌面并命名为Multiple Local Group Policy Editor； 2、配置本地计算机策略 ●在本地计算机策略中配置windows登录脚本，添加一个登录脚本文件，脚本文件名称为computerscript.vbs，脚本内容为msgbox “Default Computer Policy”； 3、配置本地计算机管理员策略 ●在本地计算机\Administrators策略中配置windows登录脚本，添加一个登录脚本文件，脚本文件名称为administratorscript.vbs，脚本内容为msgbox “Default Administrator’s Policy”； 4、配置本地计算机非管理员策略 ●在本地计算机\非管理员策略中配置windows登录脚本，添加一个登录

操作系统的安全策略基本配置原则通用版

管理制度编号：YTO-FS-PD674 操作系统的安全策略基本配置原则通用版 In Order T o Standardize The Management Of Daily Behavior, The Activities And T asks Are Controlled By The Determined Terms, So As T o Achieve The Effect Of Safe Production And Reduce Hidden Dangers. 标准/ 权威/ 规范/ 实用 Authoritative And Practical Standards

操作系统的安全策略基本配置原则通用版使用提示：本管理制度文件可用于工作中为规范日常行为与作业运行过程的管理，通过对确定的条款对活动和任务实施控制,使活动和任务在受控状态，从而达到安全生产和减少隐患的效果。文件下载后可定制修改，请根据实际需要进行调整和使用。安全配置方案中级篇主要介绍操作系统的安全策略配置,包括十条基本配置原则: (1)操作系统安全策略,(2)关闭不必要的服务(3)关闭不必要的端口, (4)开启审核策略(5)开启密码策略, (6)开启帐户策略,(7)备份敏感文件,(8)不显示上次登陆名,(9)禁止建立空连接(10)下载最新的补丁 1 操作系统安全策略利用Windows 2000的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器的安全策略.在管理工具中可以找到"本地安全策略".可以配置四类安全策略:帐户策略,本地策略,公钥策略和IP安全策略.在默认的情况下,这些策略都是没有开启的. 2 关闭不必要的服务 Windows 2000的Terminal Services(终端服务)和IIS(Internet 信息服务)等都可能给系统带来安全漏洞.为了

本地安全策略

本地安全策略任务: 基于服务器安全要求,做为网络管理员,进行安全策略设置。任务目的： 1．掌握Windows Server 2003账户策略使用方法。 2．掌握Windows Server 2003审核策略的使用方法。 3．掌握本地策略的使用方法。任务要求: 根据安全策略特性,制定本地安全策略, 写出方案,并进行实施,实施步骤进行抓屏做为作业上交。任务具体内容：一、备份本地安全策略依次打开“开始”、“程序”、“管理工具”、“本地安全策略”，右键“安全设置”，“导出策略”，输入文件名bak.inf，确定。文件名可以任选，只要你知道是它是最原始的安全策略便可。二、恢复本地安全策略 1．在做恢复本地安全策略以前，先建立一个用户，不给口令，应该顺利建成。 2．进入本地安全策略，右键“安全设置”，“导入策略”可以看到许多安全模板，包括你上面备份的那一个，这些安全模板是 Server 2003自带的几套，系统管理员可以不作任何更改将其

应用到系统中来，不同模板安全级别不同，作用网管员应该熟悉这些模板，在具体工作时，你可以在这些模板的基础上，自定义出适合具体工作场合的模板。 3．导入hisecde.inf策略，重新建一个用户，如同（1）一样，不给口令，结果？不能建用户，原因：因为本地安全策略与原来的不同了，它使用了另外一个系统已经设置好的要求用户口令的安全策略。 4．导入备份的本地安全策略bak.inf，导入结束后，你再从新建一个用户，结果？说明了什么？三、帐户策略 1.用管理员登录，新建一个user1用户，不输入密码，是否能建成？进入本地安全策略，再进入帐户策略，再进入密码策略，双击密码长度最小值，输入4，退出。这时新建一个用户user2，不输入密码，是否能建成？有什么提示？输入3位密码，结果如何？输入4 位密码，结果如何？再进入本地策略中的帐户策略，双击密码必须符合复杂性要求，先已启用，退出。这时再新建一个用户user3，输入密码abcd，1234，a1b2，a1b:，哪个能建成用户？从而说明密码必须符合复杂性要求是指：该密码必须由字母、数字、符号三种组成，缺一不可。最后复原：取消密码必须符合复杂性要求和把密码长度最小值设为0。 2.用管理员登录，新建一个user4用户，只选下次登录时改变密码，再建一个用户user5，输入密码：user5，只选用户不能修改密码。分别用user4和user5登录，是否都能登录？用管理员登录，进入安全策略，再进入密码策略，把密码最长保存期改为30天，再修改系统时间，向后延长30天，分别用user4和user5登录，有什么提示？能否登录？为什么？用user4用户登录，能否自己修改密码？用管理员登录，进入安全策略，再进入密码策略，把密码最短存留期改为60天，用user4用户登录，能否自己修改密码？用管

组策略教程

一、访问组策略 1.输入gpedit.msc命令访问: 选择“开始”→“运行”(或快捷方式：Win+R)，在弹出窗口中输入“gpedit.msc”，回车后进入组策略窗口。组策略窗口的结构和资源管理器相似，左边是树型目录结构，由“计算机配置”、“用户配置”两大节点组成。这两个节点下分别都有“软件设置”、“Windows设置”和“管理模板”三个节点（如图一），节点下面还有更多的节点和设置。此时点击右边窗口中的节点或设置，便会出现关于此节点或设置的适用平台和作用描述。“计算机配置”、“用户配置”两大节点下的子节点和设置有很多是相同的，那么我们该改哪一处？“计算机配置”节点中的设置应用到整个计算机策略，在此处修改后的设置将应用到计算机中的所有用户。“用户配置”节点中的设置一般只应用到当前用户，如果你用别的用户名登录计算机，设置就不会管用了。但一般情况下建议在“用户配置”节点下修改，本文也将主要讲解“用户配置”节点的各项设置的修改，附带讲解“计算机配置”节点下的一些设置。其中“管理模板”设置最多、应用最广，因此也是本文的重中之重。图一：

下面我们就进入“用户配置”，去细细探测它的奥秘： 1、在软件设置里面没有什么重要内容，我们省去介绍吧（不信你看看）； 2、那我们先看看“windows设置”里的内容（如图二全结构图：）：在“windows设置”的节点下有“脚本”、“安全设置”和“IE维护”三个节点，其中“脚本”下包含“登录”和“注销”两个脚本，其功能（属性）是设置“登录”和“注销”时的桌面背景！在“安全设置”里面没有什么实质内容，现我们就忽略它吧！《而对于“计算机配置”的“安全设置”的下节点里，多了三个小节点，其一是“密码策略”，它可以设置我们对用户的密码要求及密码保留时间等，因此，当你设置后，你的密码设置就必须符合这要求。。。。。。其二是“帐号锁定策略”，它可以设置帐号无效登录系

本地安全策略设置

实验本地安全策略设置【实验目的】 1)掌握帐户策略的设置。 2)掌握本地策略的设置。【实验环境】具有Windows xp的计算机、局域网环境。【实验重点及难点】重点：掌握帐户策略、本地策略的设置。难点：实验过程中，切实理学会如何实际应用XP本地安全策略。【实验内容】一、帐户策略的设置。 1、设置密码策略（使我们的系统密码相对安全，不易破解）。 1)打开”开始”菜单→”程序”→”管理工具”→”本地安全策略”→”帐户策略”→”密码策略”(截图),设置密码长度最小值为2个字符，密码最短存留期为2天，密码最长存留期为50天。启用密码必须符合复杂性要求(截图)。更改密码，设置Administrator帐号密码为空，或者设置密码为单一数字，则弹出如下对话框（截图）。 1）完成。 2、设置帐户锁定策略（可以抵御网络用户通过枚举入侵自己计算机）。 1）打开”开始”菜单→”程序”→”管理工具”→”本地安全策略”→”帐户策略”→”帐户锁定策略”(截图)。 2）设置”复位账户锁定计数器”为2分钟之后，“账户锁定时间”为2分钟，”账户锁定阈值”为5次无效登陆。（截图）。 3)此时，注销自己计算机，连续5次输入密码错误，此时自己电脑被锁定，禁止输入密码，并且锁定时间为2分钟。 4）完成。二、本地策略的设置。 1、设置审核策略（可以获取用户对本计算机的操作历史进行审核）。审核登陆事件：用户在本机的登陆。审核对象访问：用户对对象的访问（如文件、文件夹控制面板等）。审核系统事件：系统的启动、注销和关机，以及涉及到安全性的一些事件。审核帐户登陆事件：用户在其他计算机上登陆，在本计算机上进行验证。审核帐户管理：涉及到帐户的管理，如新建用户和组，修改密码、重命名用户和组等。 1）打开”开始”菜单→”程序”→”管理工具”→”本地安全策略”→”本地策略”→”审核策略”(截图)。 2）设置审核登陆事件和审核系统事件都为成功和失败（截图）。

涉密计算机安全策略配置

涉密计算机安全策略配置一、物理安全防护 1、安装防盗铁门 2、安装红外报警器 3、放置密码文件柜 4、涉密电脑实行物理隔离二、硬件相关设置 1、禁止使用无线设备（无线键盘、鼠标、网卡、红外、蓝牙、moden等）； 2、未经许可不得使用视频、音频输入设备、读卡器设备、刻录设备; 3、接入红黑电源隔离插座； 4、与非密设备间隔一米以上。三、主板BIOS相关设置 1、设置BIOS系统密码，该密码由安全保密管理员掌握； 2、设置BIOS 开机密码，该密码由用户掌握； 3、B IOS最优先启动设置为硬盘启动，其余优先启动全部关闭; 四、操作系统 1、禁止安装番茄花园、雨林木风等经处理的操作系统，禁止安装Ghost 版操作系统； 2、更改Admi ni st rat or 用户名并设置密码，禁用Guest 帐户，删除多余帐户； 3、关闭操作系统的默认共享，同时禁止设置其它共享； 4、设置屏保时间10分钟，屏保恢复需用密码； 5、不得安装《软件白名单》外的软件； 6、对操作系统与数据库进行补丁升级（每季度一次〉； 7、定期输出安全审计记录报告（每月一次） &清理一切私人信息：私人照片、mp3电影等等。 9、根据规定设置系统策略，关闭非必要服务；〔见后）五、安全保密防护软件的部署 1 、安装正版杀毒软件，涉密计算机（瑞星杀毒软件），涉密中间机、非涉密中间机（瑞星杀毒软件）；杀毒软件每半个月更新一次病毒库并全盘扫描；2、安装主机监控审计软件与介质绑定系统；六、关闭计算机不必要的应用服务原则：在没有特殊情况下应当关闭不必要的服务。如果有特殊需求，应当主动申请提出。详细配置说明

本地安全策略修复方法

解决：方法一、1、点击『开始』菜单 2、点击“运行” 3、键入"regedit"（不包括感叹号） 4、在注册表键值HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC 请将 RestrictToPermittedSnapins 的值设置为 0 方法二、1、点击『开始』菜单 2、点击“运行” 3、键入"regedit"（不包括感叹号） 4、在注册表键值 HKEY_CURRENT_USER\Software\Policies\Microsoft\Mmc\{8FC0B734-A0E1-11D1-A7D3-000 0F87571E3}\Restrict_Run 和 HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC\{0F6B957E-509E-11D1-A7CC-000 0F87571E3}\Restrict_Run 请将 Restrict_Run 的值设置为 0 5、修改完毕后重启。方法三、1、点击『开始』菜单 2、点击“运行” 3、键入"regedit"（不包括感叹号） 4、在注册表键值 HKEY_CLASSES_ROOT\CLSID\{8FC0B734-A0E1-11D1-A7D3-0000F87571E3}\InProcServer32 把其中的default改成： %SystemRoot%\System32\GPEdit.dll 5、修改完毕后重启。方法四、检查环境变量： a、点击『开始』菜单 b、点击“控制面板” c、在“控制面板”中打开“系统” d、在“系统属性”中点击“高级”标签 e、在“高级”标签页中点击“环境变量”按钮 f、在“环境变量”中的“系统变量”框中的变量名为Path中修改变量值为： %Systemroot%\System32;%Systemroot%;%Systemroot%\system32\WBEM 方法五、运行regsvr32 filemgmt.dll a、点击『开始』菜单 b、点击“运行”

设置安全策略步骤

实验七设置安全策略实验背景某公司所有员工的初始密码为benet2!。管理员担心公司员工更改的密码过于简单，容易被扫描软件扫描扫到，同时管理员担心用户长久不更改密码影响安全性。对于公司域控制器，管理员需要验证都有谁在什么时候登录。有人反应公司的文件服务器上的资料有丢失现象，管理员需要查找是否有人有意的删除文件。由于域用户帐号一旦登录域内成员主机成功，访问文件服务器不在需要做身份验证，为了放置有人恶意尝试用户密码，公司要求所有员工有三次输入密码机会，三次输入错误自动锁定帐号。试行一段时间后很多人帐号经常锁定，不得不频繁找管理员，管理员需设定用户帐号的30分钟自动解锁。公司有人反应访问加入域后，用域用户帐号登录后不能自动关机，公司要求所有员工下班必须关机离开，管理员解决这个问题。有部分输入domain users组的员工需要登录域控制器，可这些员工反应他们无法登录域控制器，管理员解决这个问题文件服务器公司要求所有员工可以网络访问，但不可以对文件服务器本地登录，公司要求管理员完成，并对文件服务器做登录审核。对于文件服务器，公司要求本地登录成功后需要提示：标题：重要警告，内容：服务器重地，请不要做任何删除和剪切。实验目标 1 所有域用户帐号在设置密码时，必须符合复杂密码要求，密码长度至少7位，密码必须每60天更新一次 2 设置三次密码锁定，设置锁定复位时间30分钟。 3 为域控制器启动帐号的登录审核，对文件服务器启动对象审核 4 把域用户帐号加入关闭系统，保证可以下班关机 5 把域用户帐号加入本地登录安全策略 6 文件服务器上把所有的用户帐号加入拒绝网络访问，对文件服务器启动审核 7 对文件服务器设置登录提示实验环境 1 一人一组 2 准备2台Windows Server 200 3 虚拟机（1台域控制器，1台成员主机）实验步骤： 1 在域控制器上完成以域管理员登录域控制器，设置域安全策略

配置本地安全策略

配置本地安全策略 Revised as of 23 November 2020

配置本地安全策略———端口的保护IP安全策略设置方法一、适用范围：它适用于2000以上Windows系统的专业版；对家庭版的用户可以看一下是不是能通过：控制台（运行mmc）－文件－添加/删除管理单元－添加－添加独立单元，添加上“IP安全策略管理”，如行的话则可在左边的窗口中看到“IP安全策略，在本地计算机”了，接下来的操作就跟专业版一样了。二、找到“IP安全策略，在本地计算机”： “IP安全策略，在本地计算机”选项在“本地安全设置”下，所以要找到它就打开“本地安全设置”的方法，主要采用以下两种方法来打开：1是点“开始”－“运行”－输入，点确定；2是“控制面板”－“管理工具”－“本地安全策略”。打开“本地安全策略”对话框就能在左边的窗口中看到“IP安全策略，在本地计算机”了。右击它，在它的下级菜单中能看到“创建IP安全策略”和“管理IP筛选器表和筛选器操作”等菜单（也可以在此级菜单中的“所有任务”项的下级菜单中看到上面的两个菜单）。三、建立新的筛选器： 1、在“IP安全策略，在本地计算机”的下级菜单中选择“管理IP筛选器和筛选器操作”菜单，打开“管理IP筛选器和筛选器操作”对话框，里面有两个标签：“管理IP 筛选器列表”和“管理筛选器操作”。选择“管理IP筛选器列表”标签，在“IP筛选器列表”下的文本框下面能看到三个按钮：“添加”、“编辑”和“删除”。

2、点“添加”按钮，打开叫做“IP筛选器列表”的对话框，里面有三个文本框，从上到下分别是：“名称”、“描述”和“筛选器”。在“名称”和“描述”文本框右边，能看到“添加”、“编辑”和“删除”三个按钮（对没有内容的筛选器而言，它的“编辑”和“删除”按钮不可用），在这三个按钮下有一个复选框，复选框后面有“使用 ‘添加向导’”这样的文本说明。 3、取消默认的对“使用‘添加向导’”的勾选，在“名称”下面的文本框中把默认的“新IP筛选器列表”修改成下面要建立的筛选器列表的名称，我们这里先输入：“病毒常驻端口”，在“描述”下面的空白文本框中输进去“病毒常驻端口”后面的全部端口号（可以用复制、粘贴来操作），主要作用是便于下一步对照着添加作为“筛选器”具体内容的“端口”。这时可以点“确定”按钮，保存本“筛选器”。但由于它没有任何内容，所以会蹦出来“IP筛选器列表警告”对话框，提示“这个IP筛选器列表是空的。没有匹配的IP数据包。您想……吗”，因为保存是目的，所以选择“是”。 4、这里我们不点“确定”，不保存空的筛选器，直接向“筛选器”下面的文本框中添加本筛选器要操作的端口。这个文本框中是不能直接用输入法输入、编辑的，具体方法见下一步。四、添加“筛选器”要操作的端口： 1、点“IP筛选器列表”对话框中的“添加”按钮，打开“筛选器属性”对话框。这个对话框里面有三个标签：“寻址”、“协议”和“描述”。 2、在“寻址”标签下有两个选项框和一个复选框。从上到下是“源地址”选项框、“目标地址”选项框和“镜像。同时与源地址和目标地址……匹配”复选框。因为我们

设置本地安全策略

本地安全策略无法打开

IP安全策略详细设置

操作系统的安全策略基本配置原则(正式)

防火墙安全策略配置

本地安全策略

配置本地安全策略

Windows 安全配置规范

涉密计算机安全策略配置完整版

操作系统的安全策略基本配置原则

Windows7本地安全策略

操作系统的安全策略基本配置原则通用版

本地安全策略

组策略教程

本地安全策略设置

涉密计算机安全策略配置

本地安全策略修复方法

设置安全策略步骤

配置本地安全策略

最新最全USG6000安全策略配置(DOC41页)