当前位置：文档库 › 配置本地安全策略精编

配置本地安全策略精编

配置本地安全策略精编 Document number：WTT-LKK-GBB-08921-EIGG-22986

配置本地安全策略———端口的保护

IP安全策略设置方法

一、适用范围：

它适用于2000以上Windows系统的专业版；对家庭版的用户可以看一下是不是能通过：控制台（运行mmc）－文件－添加/删除管理单元－添加－添加独立单元，添加上“IP安全策略管理”，如行的话则可在左边的窗口中看到“IP安全策略，在本地计算机”了，接下来的操作就跟专业版一样了。

二、找到“IP安全策略，在本地计算机”：

“IP安全策略，在本地计算机”选项在“本地安全设置”下，所以要找到它就打开“本地安全设置”的方法，主要采用以下两种方法来打开：1是点“开始”－“运行”－输入，点确定；2是“控制面板”－“管理工具”－“本地安全策略”。打开“本地安全策略”对话框就能在左边的窗口中看到“IP安全策略，在本地计算机”了。右击它，在它的下级菜单中能看到“创建IP安全策略”和“管理IP 筛选器表和筛选器操作”等菜单（也可以在此级菜单中的“所有任务”项的下级菜单中看到上面的两个菜单）。

三、建立新的筛选器：

1、在“IP安全策略，在本地计算机”的下级菜单中选择“管理IP 筛选器和筛选器操作”菜单，打开“管理IP筛选器和筛选器操作”对话框，里面有两个标签：“管理IP 筛选器列表”和“管理筛选器

操作”。选择“管理IP筛选器列表”标签，在“IP筛选器列表”下的文本框下面能看到三个按钮：“添加”、“编辑”和“删除”。 2、点“添加”按钮，打开叫做“IP筛选器列表”的对话框，里面有三个文本框，从上到下分别是：“名称”、“描述”和“筛选器”。在“名称”和“描述”文本框右边，能看到“添加”、“编辑”和“删除”三个按钮（对没有内容的筛选器而言，它的“编辑”和“删除”按钮不可用），在这三个按钮下有一个复选框，复选框后面有“使用‘添加向导’”这样的文本说明。

3、取消默认的对“使用‘添加向导’”的勾选，在“名称”下面的文本框中把默认的“新IP筛选器列表”修改成下面要建立的筛选器列表的名称，我们这里先输入：“病毒常驻端口”，在“描述”下面的空白文本框中输进去“病毒常驻端口”后面的全部端口号（可以用复制、粘贴来操作），主要作用是便于下一步对照着添加作为“筛选器”具体内容的“端口”。

这时可以点“确定”按钮，保存本“筛选器”。但由于它没有任何内容，所以会蹦出来“IP筛选器列表警告”对话框，提示“这个IP 筛选器列表是空的。没有匹配的IP数据包。您想……吗”，因为保存是目的，所以选择“是”。

4、这里我们不点“确定”，不保存空的筛选器，直接向“筛选器”下面的文本框中添加本筛选器要操作的端口。这个文本框中是不能直接用输入法输入、编辑的，具体方法见下一步。

四、添加“筛选器”要操作的端口：

1、点“IP筛选器列表”对话框中的“添加”按钮，打开“筛选器属性”对话框。这个对话框里面有三个标签：“寻址”、“协议”和“描述”。

2、在“寻址”标签下有两个选项框和一个复选框。从上到下是“源地址”选项框、“目标地址”选项框和“镜像。同时与源地址和目标地址……匹配”复选框。因为我们现在要做的是“进入端口”的阻止设置，也就是要阻止病毒、木马从这些端口联系或叫“进入”咱们的系统，所以我们在“源地址”下选择“任何IP地址”，在“目标地址”下选择“我的IP地址”，取消对“镜像……”复选框的勾选；如果是做“出端口”则在“源地址”下选择“我的IP 地址”，在“目标地址”下选择“任何IP地址”，同样不选择“镜像”。

3、在“协议”标签下，默认状态下只有“选择协议类型”选项框可操作。点一下选项框右边的小三角按钮，打开选项列表，根据端口的协议类型来选择（我们可以操作的主要是“TCP”和“UDP”，在下面所列的“要做的筛选器”下要做的筛选器列表如：“病毒常驻端口”、“打印与共享”等，在它们下面所列的端口号前面都用括号把相应的类型做了标记）。选择了类型后，下面的“设置IP协议端口”成为可选状态，因为不允许别人进，所以就在上半部保留默认选择的“从任意端口”，在下半部选择“到此端口”，选择之后它下面的文本框变成可操作状态，在里面输入一个端口。因为每次只能输入一个端口，所以要做多少个端口就得操作多少次。这一步如果是做“出端口”，则应在选择好“协议类型”后在“设置IP协议端口”

的上半部选择“从此端口”，然后输入一个端口，下半部保留默认选择的“到任意端口”。 4、在“描述”标签下只有一个“描述”文本输入框。可以在里面输入自己心仪的描述。通常只对入端口做描述：阻止任意地址任意端口访问我的***端口。然后点“确定”，完成对这个端口的操作。因为在“描述”标签下只能点“确定”按钮而不能按“回车”键确定，所以想加快速度，可以先做描述，再做协议，端口输入“回车”就“确定”了。也可以不作描述，这样更快。 5、确定后，在“IP筛选器列表”对话框下的“筛选器”下的文本框中就能看到刚才添加的“筛选器”了。这里说的“筛选器”，事实上就是我们刚才添加的“端口”，可以拖动下面的滚动条查看咱们刚才或叫以前输入的内容是否正确，如果有误，可以双击它打开进行修改。也可以选中它后点“编辑”按钮进行修改，当然也可以点“删除”按钮删除它。 6、“病毒常驻端口”后所列的端口添加完后，在“IP筛选器列表”对话框下点“确定”按钮，完成对“病毒常驻端口”的操作。五、如法炮制，完成对全部筛选器的添加：完成对“病毒常驻端口”的操作后，返回到“三”－“2”之步骤，继续添加“打印与共享端口”等，直到把木马入、出端口、以及自己想要添加的任何端口如数添加完成。六、创建“IP 安全策略”并添加“筛选器”和“筛选器操作”： 1、创建“IP安全策略”。在“本地安全设置”对话框中左边的树状图中找到“IP安全策略，在本地计算机”，右击，选择“创建IP安全策略”，出来“IP安全策略向导”对话框；点“下一步”，出现副标题为“IP 安全策略名称命名……”的对话框，下面有两个文本框，自上而下是“名称”和“描述”。这里不用

描述，直接在“名称”下输入自己心仪的名字就行，为表述方便，假定取名为“我的IP安全策略”；点“下一步”，出来副标题为“安全通讯请求指定……”的对话框，只有一个“激活默认响应规则”的复选框，取消对它的默认勾选，点“下一步”，到“完成”对话框，也只有一个“编辑属性”的复选框，取消对它的默认勾选，点“完成”。这样在“本地安全设置”对话框右边的名称标签栏下的列表中就能看到咱们新建的、自己定义的“我的IP安全策略”了。2、选中它，点操作菜单，点“属性”；或右击它点“属性”；或双击打开它，出来“我的IP安全策略属性”对话框。里面有两个标签：“规则”和“常规”。我们只对“规则”做操作。在“规则”下只有一个“IP安全规则”文本框，同样这里不能直接输入，点下面的“添加”按钮，出来“新规则属性”对话框，里面有五个标签，我们需要操作的是“IP筛选器列表”和“筛选器操作”标签。选择“IP筛选器列表”标签，在“IP筛选器列表”文本框中能看到刚才创建“病毒常驻端口”等筛选器了。 3、选择第一个或最后一个（因为每次只能添加一个，这样方便下面依次操作），为方便表述，咱们假设选择“病毒常驻端口”。这里的“选择”，指的是在筛选器前面的复选圈中点上小黑点，这样就“选择”上了。 4、选择上后，不做任何操作，转而选择“筛选器操作”标签，这里有个“筛选器操作”列表框，我们要到这里去选择“阻止”。通常这里没有“阻止”，这就需要添加。点列表框下的“添加”按钮，出来“新筛选器操作属性”对话框，下面有两个标签，“安全措施”和“常规”。在“安全措施”下找到“阻止”，在它前面的复选框中点上黑点，再选择“常

规”标签，把“名称”下文本框中默认的“新筛选器操作”改为“阻止”。点“确定”，自动返回到“筛选器操作”标签，这下在“筛选器操作”列表框中看到“阻止”了，把它前面的复选圈中点上黑点（选中它），点“确定”。 5、点“确定”后，自然返回到“我的

IP安全策略”对话框，这下在“IP安全规则”下的“IP筛选器列表”下就能看到刚才添加上的“筛选器操作”为阻止的筛选器了。七、如法炮制，完成对“IP筛选器列表”中所有筛选器的添加：返回“六”－“2”的步骤，事实上只要不停电，或没有关闭窗口，目前应该就在这一步，点“IP安全规则”列表框下的“添加”按钮，

把“IP筛选器列表”中所有的，事实上也是我们刚才做的筛选器逐一、全部添加进去。八、指派“我的IP安全策略”：上面的工作完成后，回到“本地安全设置”对话框，在右边的名称标签栏下找到“我的IP安全策略”，选中它，到“操作”菜单或右击它，选择“指派”。

要做的筛选器病毒常驻端口：（UDP） 1026 69 （TCP） 135 443 4444 打印与共享端口：（UDP） 137 138 （TCP） 139 445 木马入端口：木马入1 （TCP） 1433 10067 10167 12345 12346 20034 26274 3129 3389 3700 30100-30102 31337 31785 31787-31789 31791 31792 40421-40425 47262 5321 5400-5402 5569 54320 54321 666 6400 6969 6970 7300 7626 9872-9875 9989 木马入2 （TCP） 143 1001 1011 1025 1033 1170 1234 1243 1429 1600 1807 1981 1999 11000 11223 12076 12223 12361 16969 19191 21 23 25 2000 2001 2003 2115 2140 2583 2801 20000 20001 21554

22222 23456 27374 31 3024 3128 3150 3210 3333 3996 30303 30999 31338 木马入3 （TCP） 31339 31666 33333 34324 456 4060 4092 4321 4590 40412 40426 43210 44445 555 5000 5550 5632 5742 50766 53001 6267 6670 6671 6711 6776 6883 61466 65000 79 7000 7301 7306 7307 7308 7789 80 99 9400 9401 9402 其它入（UDP） 139 1433 445 53（TCP）113 121 1029 1068 1080 1092 2023 20168 23444 23445 30129 4899 4950 43958 45576 53 520 5001 5554 5800 5900 50505 660 6000 6129 6771 6939 707 7511 808 8011 8102 8888 9995 9996 木马出端口：木马出1 （TCP） 1433 10067 10167 12345 12346 20034 26274 3129 3389 3700 30100-30102 31337 31785 31787-31789 31791 31792 40421-40425 47262 5321 5400-5402 5569 54320 54321 666 6400 6969 6970 7300 7626 9872-9875 9989 木马出2 （TCP） 19 143 1001 1011 1025 1033 1170 1234 1243 1429 1600 1807 1981 1999 11000 11223 12076 12223 12361 16969 19191 21 25 2000 2001 2003 2115 2140 2583 2801 20000 20001 21554 22222 23456 27374 31 3024 3128 3150 3210 3333 3996 30303 30999 31338 木马出3 （TCP） 31339 31666 33333 34324 456 4060 4092 4321 4590 40412 40426 43210 44445 555 5000 5550 5632 5742 50766 53001 6267 6670 6671 6711 6776 6883 61466 65000 79 7000 7301 7306 7307 7308 7789 80 99 9400 9401 9402

配置本地安全策略———加密的保护

IP安全策略设置方法

一、适用范围：

二、找到“IP安全策略，在本地计算机”：

三、建立新的筛选器：

1、在“IP安全策略，在本地计算机”的下级菜单中选择“管理IP 筛选器和筛选器操作”菜单，打开“管理IP筛选器和筛选器操作”对话框，里面有两个标签：“管理IP 筛选器列表”和“管理筛选器操作”。选择“管理IP筛选器列表”标签，在“IP筛选器列表”下的文本框下面能看到三个按钮：“添加”、“编辑”和“删除”。

2、点“添加”按钮，打开叫做“IP筛选器列表”的对话框，里面有三个文本框，从上到下分别是：“名称”、“描述”和“筛选

器”。在“名称”和“描述”文本框右边，能看到“添加”、“编辑”和“删除”三个按钮（对没有内容的筛选器而言，它的“编辑”和“删除”按钮不可用），在这三个按钮下有一个复选框，复选框后面有“使用‘添加向导’”这样的文本说明。

四、添加“筛选器”要操作的端口：

1、点“IP筛选器列表”对话框中的“添加”按钮，打开“筛选器属性”对话框。这个对话框里面有三个标签：“寻址”、“协议”和“描述”。

2、在“寻址”标签下有两个选项框和一个复选框。从上到下是“源地址”选项框、“目标地址”选项框和“镜像。同时与源地址和目标

地址……匹配”复选框。因为我们现在要做的是“进入端口”的阻止设置，也就是要阻止病毒、木马从这些端口联系或叫“进入”咱们的系统，所以我们在“源地址”下选择“任何IP地址”，在“目标地址”下选择“我的IP地址”，取消对“镜像……”复选框的勾选；如果是做“出端口”则在“源地址”下选择“我的IP 地址”，在“目标地址”下选择“任何IP地址”，同样不选择“镜像”。

4、在“描述”标签下只有一个“描述”文本输入框。可以在里面输入自己心仪的描述。通常只对入端口做描述：阻止任意地址任意端口访问我的***端口。然后点“确定”，完成对这个端口的操作。因为在“描述”标签下只能点“确定”按钮而不能按“回车”键确定，所

以想加快速度，可以先做描述，再做协议，端口输入“回车”就“确定”了。也可以不作描述，这样更快。

5、确定后，在“IP筛选器列表”对话框下的“筛选器”下的文本框中就能看到刚才添加的“筛选器”了。这里说的“筛选器”，事实上就是我们刚才添加的“端口”，可以拖动下面的滚动条查看咱们刚才或叫以前输入的内容是否正确，如果有误，可以双击它打开进行修改。也可以选中它后点“编辑”按钮进行修改，当然也可以点“删除”按钮删除它。

6、“病毒常驻端口”后所列的端口添加完后，在“IP筛选器列表”对话框下点“确定”按钮，完成对“病毒常驻端口”的操作。五、如法炮制，完成对全部筛选器的添加：

完成对“病毒常驻端口”的操作后，返回到“三”－“2”之步骤，继续添加“打印与共享端口”等，直到把木马入、出端口、以及自己想要添加的任何端口如数添加完成。

六、创建“IP 安全策略”并添加“筛选器”和“筛选器操作”：

1、创建“IP安全策略”。在“本地安全设置”对话框中左边的树状图中找到“IP安全策略，在本地计算机”，右击，选择“创建IP 安全策略”，出来“IP安全策略向导”对话框；点“下一步”，出现副标题为“IP 安全策略名称命名……”的对话框，下面有两个文本框，自上而下是“名称”和“描述”。这里不用描述，直接在“名称”下输入自己心仪的名字就行，为表述方便，假定取名为“我的IP安全策略”；点“下一步”，出来副标题为“安全通讯请求指定……”的对话框，只有一个“激活默认响应规则”的复选框，取

消对它的默认勾选，点“下一步”，到“完成”对话框，也只有一个“编辑属性”的复选框，取消对它的默认勾选，点“完成”。这样在“本地安全设置”对话框右边的名称标签栏下的列表中就能看到咱们新建的、自己定义的“我的IP安全策略”了。

2、选中它，点操作菜单，点“属性”；或右击它点“属性”；或双击打开它，出来“我的IP安全策略属性”对话框。里面有两个标签：“规则”和“常规”。我们只对“规则”做操作。在“规则”下只有一个“IP安全规则”文本框，同样这里不能直接输入，点下面的“添加”按钮，出来“新规则属性”对话框，里面有五个标签，我们需要操作的是“IP筛选器列表”和“筛选器操作”标签。选择“IP筛选器列表”标签，在“IP筛选器列表”文本框中能看到刚才创建“病毒常驻端口”等筛选器了。

3、选择第一个或最后一个（因为每次只能添加一个，这样方便下面依次操作），为方便表述，咱们假设选择“病毒常驻端口”。这里的“选择”，指的是在筛选器前面的复选圈中点上小黑点，这样就“选择”上了。

4、选择上后，不做任何操作，转而选择“筛选器操作”标签，这里有个“筛选器操作”列表框，我们要到这里去选择“

协商安全”。点列表框下的“添加”按钮，出来“新增安全属性”对话框，下面有三个标签，“加密并保持完整性”、“仅保持完整性”、“自定义”。选择“仅保持完整性”点“确定”，自动返回到“新筛选器操作属性”标签，单击“关闭”回到“新规则属性”。确保不选择“允许和不支持IPSec的计算机进行不安全的通信”项，单

击“确定”回到“筛选器操作”对话框。单击新添加的筛选器操作旁边的单行按钮激活设置的筛选器操作。

5、在“新规则属性”中选择身份验证方法。单击“添加”打开“新身份验证方法属性”，选择“此字符串用来保护密钥交换”，并输入共享密钥字符串。单击“确定”回到“身份验证方法”。选择“上移”使“预先共享的密钥”在为首选。

6、指派“我的IP安全策略”：上面的工作完成后，回到“本地安全设置”对话框，在右边的名称标签栏下找到“我的IP安全策略”，选中它，到“操作”菜单或右击它，选择“指派”。

IP安全策略详细设置

首先,打开"管理工具"中的"本地安全策略",在"IP安全策略"选项上点击右键,如图1: 选择"创建IP安全策略",会弹出向导窗口,单击下一步,在弹出的窗口中,输入此策略的名称,比如这里我们键入"3389过滤"再单击下一步,以后全部默认下一步,其中有一个警告,单击"是"即可这样就完成新策略的添加.如图2: 点击确定后,回到图1界面,选择"管理IP筛选器操作",弹出窗口,如图3

我们先要建立一个筛选器,单击"添加",弹出窗口,在筛选器名称里填入"3389筛选器1",再单击旁边的"添加",会弹出向导窗口,单击"下一步",会出现源地址选项,(你可以按照自己的需要选择),在这里我们选择"任何IP地址",单击下一步,在目的地址中选择"我的IP地址",再单击下一步,选择IP协议,这里我们选择TCP,单击下一步,会出现端口选择,如图4: 我们设置从任何端口到本机的3389端口.单击下一步.就完成了筛选器的建立.如图5:

接着回到图3界面,单击"管理筛选器操作"页栏单击"添加",会弹出筛选器操作向导,单击"下一步",取名为"阻止3389",单击下一步, 在选择操作页面中选择"阻止",单击"下一步",就完成了筛选器的建立.如图6:

好了! 我们建立了筛选器和筛选器操作,现在就要建立IP安全规则了.(***)在图1界面中,双击我们刚刚建立的"3389过滤"策略,弹出策略属性窗口,然后单击"添加"弹出向导,单击"下一步",一直单击下一步,其中一个选择"是",直到这里,如图7：这时,我们要选择我们刚才建立的"3389筛选器1",然后再单击下一步.如图8

操作系统的安全策略基本配置原则(最新版)

操作系统的安全策略基本配置原则(最新版) Safety management is an important part of enterprise production management. The object is the state management and control of all people, objects and environments in production. ( 安全管理 ) 单位：______________________ 姓名：______________________ 日期：______________________ 编号：AQ-SN-0307

操作系统的安全策略基本配置原则(最新版) 安全配置方案中级篇主要介绍操作系统的安全策略配置,包括十条基本配置原则: (1)操作系统安全策略,(2)关闭不必要的服务(3)关闭不必要的端口,(4)开启审核策略(5)开启密码策略,(6)开启帐户策略,(7)备份敏感文件,(8)不显示上次登陆名,(9)禁止建立空连接(10)下载最新的补丁 1操作系统安全策略利用Windows2000的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器的安全策略.在管理工具中可以找到"本地安全策略".可以配置四类安

全策略:帐户策略,本地策略,公钥策略和IP安全策略.在默认的情况下,这些策略都是没有开启的. 2关闭不必要的服务 Windows2000的TerminalServices(终端服务)和IIS(Internet 信息服务)等都可能给系统带来安全漏洞.为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果开了,要确认已经正确的配置了终端服务. 有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务.要留意服务器上开启的所有服务并每天检查.Windows2000可禁用的服务服务名说明 ComputerBrowser维护网络上计算机的最新列表以及提供这个列表Taskscheduler允许程序在指定时间运行RoutingandRemoteAccess在局域网以及广域网环境中为企业提供路由服务Removablestorage管理可移动媒体,驱动程序和库RemoteRegistryService允许远程注册表操作PrintSpooler将文件加载到内存中以便以后打印.要用打印机的用户不能禁用这项服务

操作系统的安全策略基本配置原则(正式)

编订：__________________ 单位：__________________ 时间：__________________ 操作系统的安全策略基本配置原则(正式) Standardize The Management Mechanism To Make The Personnel In The Organization Operate According To The Established Standards And Reach The Expected Level. Word格式 / 完整 / 可编辑

文件编号：KG-AO-8263-70 操作系统的安全策略基本配置原则 (正式) 使用备注：本文档可用在日常工作场景，通过对管理机制、管理原则、管理方法以及管理机构进行设置固定的规范，从而使得组织内人员按照既定标准、规范的要求进行操作，使日常工作或活动达到预期的水平。下载后就可自由编辑。安全配置方案中级篇主要介绍操作系统的安全策略配置,包括十条基本配置原则: (1)操作系统安全策略,(2)关闭不必要的服务 (3)关闭不必要的端口, (4)开启审核策略(5)开启密码策略, (6)开启帐户策略,(7)备份敏感文件,(8)不显示上次登陆名,(9)禁止建立空连接(10)下载最新的补丁 1 操作系统安全策略利用Windows 2000的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器的安全策略.在管理工具中可以找到"本地安全策略".可以配置四类安全策略:帐户策略,本地策略,公钥策略和IP安全策略.在默认

的情况下,这些策略都是没有开启的. 2 关闭不必要的服务 Windows 2000的Terminal Services(终端服务)和IIS(Internet 信息服务)等都可能给系统带来安全漏洞.为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果开了,要确认已经正确的配置了终端服务. 有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务.要留意服务器上开启的所有服务并每天检查.Windows2000可禁用的服务服务名说明Computer Browser维护网络上计算机的最新列表以及提供这个列表Task scheduler允许程序在指定时间运行Routing and Remote Access在局域网以及广域网环境中为企业提供路由服务Removable storage管理可移动媒体,驱动程序和库Remote Registry Service允许远程注册表操作Print Spooler将文件加载到内存中以便以后打印.要用打印机的用户不能禁用这项服务IPSEC Policy Agent管

防火墙安全策略配置

防火墙安全策略配置 -标准化文件发布号：（9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII

一、防火墙设置外网不能访问内网的方法： 1、登录到天融信防火墙集中管理器； 2、打开“高级管理”→“网络对象”→“内网”，在右边窗口空白处点击右键，在弹出的快捷菜单中选择“定义新对象”→“子网”，填入子网名称（自己命名），如“120段”，地址范围中，输入能够上网机器的所有IP范围（能够上网的电脑IP 范围）。点击确定。 3、在“网络对象”中选择“外网”，在右边窗口空白处点击右键，在弹出的快捷菜单中选择“定义新对象”“子网”，填入子网名称（自己命名），如“外网IP”，地址范围中，输入所有IP范围。点击确定。

4、访问策略设置 A、在“高级管理”中选择“访问策略”“内网”，在右边的窗口中，点击右键，选择“增加”，点击“下一步”。 B、在“策略源”中选择“外网IP”（刚才设置的外网IP），点击“下一步”。

C、在“策略目的”中选择“内网”和“120段”（刚才设置的上网IP），点击“下一步”。

D、在“策略服务”中，我们不做任何选择，直接点击“下一步”。（因为我们要限制所有外网对我们内网的访问，在此我们要禁用所有服务，因此不做选择） E、在“访问控制”中，“访问权限”选择“禁止”（因为我们上一步没有选择服务，在此我们选择禁止，表示我们将禁止外网对我们的所有服务），“访问时间”选择“任何”，“日志选项”选择“日志会话”，其他的不做修改，点击“下一步”。

F、最后，点击“完成”。 5、至此，我们就完成了对外网访问内网的设置。

Windows 安全配置规范

Windows 安全配置规范 2010年11月

第1章概述 1.1适用范围本规范明确了Windows操作系统在安全配置方面的基本要求，可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。适用于中国电信所有运行的Windows操作系统，包括Windows 2000、Windows XP、Windows2003, Windows7 , Windows 2008以及各版本中的Sever、Professional版本。第2章安全配置要求 2.1账号编号：1 要求内容应按照不同的用户分配不同的账号，避免不同用户间共享账号，避免用户账号和设备间通信使用的账号共享。操作指南1、参考配置操作进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”：根据系统的要求，设定不同的账户和账户组。检测方法1、判定条件结合要求和实际业务情况判断符合要求，根据系统的要求，设定不同的账户和账户组 2、检测操作进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”：

查看根据系统的要求，设定不同的账户和账户组编号：2 要求内容应删除与运行、维护等工作无关的账号。操作指南1．参考配置操作 A）可使用用户管理工具：开始-运行-compmgmt.msc-本地用户和组-用户B）也可以通过net命令：删除账号：net user account/de1 停用账号：net user account/active:no 检测方法1.判定条件结合要求和实际业务情况判断符合要求，删除或锁定与设备运行、维护等与工作无关的账号。注：主要指测试帐户、共享帐号、已经不用账号等 2.检测操作开始-运行-compmgmt.msc-本地用户和组-用户编号：3 要求内容重命名Administrator；禁用guest（来宾）帐号。操作指南1、参考配置操作进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”： Administrator－>属性－> 更改名称 Guest帐号->属性－> 已停用检测方法1、判定条件缺省账户Administrator名称已更改。 Guest帐号已停用。 2、检测操作进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”：缺省帐户－>属性－> 更改名称

涉密计算机安全策略配置完整版

涉密计算机安全策略配置 HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】

涉密计算机安全策略配置一、物理安全防护 1、安装防盗铁门 2、安装红外报警器 3、放置密码文件柜 4、涉密电脑实行物理隔离二、硬件相关设置 1、禁止使用无线设备（无线键盘、鼠标、网卡、红外、蓝牙、modem等）； 2、未经许可不得使用视频、音频输入设备、读卡器设备、刻录设备; 3、接入红黑电源隔离插座； 4、与非密设备间隔一米以上。三、主板BIOS相关设置 1、设置BIOS系统密码，该密码由安全保密管理员掌握； 2、设置BIOS开机密码，该密码由用户掌握； 3、BIOS最优先启动设置为硬盘启动，其余优先启动全部关闭；四、操作系统 1、禁止安装番茄花园、雨林木风等经处理的操作系统，禁止安装Ghost版操作系统； 2、更改A d m i n i s t r a t o r用户名并设置密码，禁用Guest帐户，删除多余帐户； 3、关闭操作系统的默认共享，同时禁止设置其它共享； 4、设置屏保时间10分钟，屏保恢复需用密码； 5、不得安装《软件白名单》外的软件； 6、对操作系统与数据库进行补丁升级（每季度一次〉； 7、定期输出安全审计记录报告（每月一次） 8、清理一切私人信息：私人照片、mp3、电影等等。 9、根据规定设置系统策略，关闭非必要服务；〔见后）五、安全保密防护软件的部署 1、安装正版杀毒软件，涉密计算机（瑞星杀毒软件），涉密中间机、非涉密中间机（瑞星杀毒软件)；杀毒软件每半个月更新一次病毒库并全盘扫描； 2、安装主机监控审计软件与介质绑定系统；六、关闭计算机不必要的应用服务原则：在没有特殊情况下应当关闭不必要的服务。如果有特殊需求，应当主动申请提出。详细配置说明

操作系统的安全策略基本配置原则

操作系统的安全策略基本配置原则集团企业公司编码：（LL3698-KKI1269-TM2483-LUI12689-ITT289-

操作系统的安全策略基本配置原则安全配置方案中级篇主要介绍操作系统的安全策略配置,包括十条基本配置原则: (1)操作系统安全策略,(2)关闭不必要的服务(3)关闭不必要的端口,(4)开启审核策略(5)开启密码策略,(6)开启帐户策略,(7)备份敏感文件,(8)不显示上次登陆名,(9)禁止建立空连接(10)下载最新的补丁 1操作系统安全策略利用Windows2000的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器的安全策略.在管理工具中可以找到"本地安全策略".可以配置四类安全策略:帐户策略,本地策略,公钥策略和IP安全策略.在默认的情况下,这些策略都是没有开启的. 2关闭不必要的服务 Windows2000的TerminalServices(终端服务)和IIS(Internet信息服务)等都可能给系统带来安全漏洞.为了能够在远程方便的管理服务器,

很多机器的终端服务都是开着的,如果开了,要确认已经正确的配置了终端服务. 有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务.要留意服务器上开启的所有服务并每天检查.Windows2000可禁用的服务服务名说明 ComputerBrowser维护网络上计算机的最新列表以及提供这个列表Taskscheduler允许程序在指定时间运行RoutingandRemoteAccess在局域网以及广域网环境中为企业提供路由服务Removablestorage管理可移动媒体,驱动程序和库RemoteRegistryService允许远程注册表操作PrintSpooler将文件加载到内存中以便以后打印.要用打印机的用户不能禁用这项服务IPSECPolicyAgent管理IP安全策略以及启动 ISAKMP/Oakley(IKE)和IP安全驱动程序DistributedLinkTrackingClient当文件在网络域的NTFS卷中移动时发送通知Com+EventSystem提供事件的自动发布到订阅COM组件。 3关闭不必要的端口关闭端口意味着减少功能,如果服务器安装在防火墙的后面,被入侵的机会就会少一些,但是不可以认为高枕无忧了.用端口扫描器扫描系统

操作系统的安全策略基本配置原则通用版

管理制度编号：YTO-FS-PD674 操作系统的安全策略基本配置原则通用版 In Order T o Standardize The Management Of Daily Behavior, The Activities And T asks Are Controlled By The Determined Terms, So As T o Achieve The Effect Of Safe Production And Reduce Hidden Dangers. 标准/ 权威/ 规范/ 实用 Authoritative And Practical Standards

操作系统的安全策略基本配置原则通用版使用提示：本管理制度文件可用于工作中为规范日常行为与作业运行过程的管理，通过对确定的条款对活动和任务实施控制,使活动和任务在受控状态，从而达到安全生产和减少隐患的效果。文件下载后可定制修改，请根据实际需要进行调整和使用。安全配置方案中级篇主要介绍操作系统的安全策略配置,包括十条基本配置原则: (1)操作系统安全策略,(2)关闭不必要的服务(3)关闭不必要的端口, (4)开启审核策略(5)开启密码策略, (6)开启帐户策略,(7)备份敏感文件,(8)不显示上次登陆名,(9)禁止建立空连接(10)下载最新的补丁 1 操作系统安全策略利用Windows 2000的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器的安全策略.在管理工具中可以找到"本地安全策略".可以配置四类安全策略:帐户策略,本地策略,公钥策略和IP安全策略.在默认的情况下,这些策略都是没有开启的. 2 关闭不必要的服务 Windows 2000的Terminal Services(终端服务)和IIS(Internet 信息服务)等都可能给系统带来安全漏洞.为了

本地安全策略

本地安全策略任务: 基于服务器安全要求,做为网络管理员,进行安全策略设置。任务目的： 1．掌握Windows Server 2003账户策略使用方法。 2．掌握Windows Server 2003审核策略的使用方法。 3．掌握本地策略的使用方法。任务要求: 根据安全策略特性,制定本地安全策略, 写出方案,并进行实施,实施步骤进行抓屏做为作业上交。任务具体内容：一、备份本地安全策略依次打开“开始”、“程序”、“管理工具”、“本地安全策略”，右键“安全设置”，“导出策略”，输入文件名bak.inf，确定。文件名可以任选，只要你知道是它是最原始的安全策略便可。二、恢复本地安全策略 1．在做恢复本地安全策略以前，先建立一个用户，不给口令，应该顺利建成。 2．进入本地安全策略，右键“安全设置”，“导入策略”可以看到许多安全模板，包括你上面备份的那一个，这些安全模板是 Server 2003自带的几套，系统管理员可以不作任何更改将其

应用到系统中来，不同模板安全级别不同，作用网管员应该熟悉这些模板，在具体工作时，你可以在这些模板的基础上，自定义出适合具体工作场合的模板。 3．导入hisecde.inf策略，重新建一个用户，如同（1）一样，不给口令，结果？不能建用户，原因：因为本地安全策略与原来的不同了，它使用了另外一个系统已经设置好的要求用户口令的安全策略。 4．导入备份的本地安全策略bak.inf，导入结束后，你再从新建一个用户，结果？说明了什么？三、帐户策略 1.用管理员登录，新建一个user1用户，不输入密码，是否能建成？进入本地安全策略，再进入帐户策略，再进入密码策略，双击密码长度最小值，输入4，退出。这时新建一个用户user2，不输入密码，是否能建成？有什么提示？输入3位密码，结果如何？输入4 位密码，结果如何？再进入本地策略中的帐户策略，双击密码必须符合复杂性要求，先已启用，退出。这时再新建一个用户user3，输入密码abcd，1234，a1b2，a1b:，哪个能建成用户？从而说明密码必须符合复杂性要求是指：该密码必须由字母、数字、符号三种组成，缺一不可。最后复原：取消密码必须符合复杂性要求和把密码长度最小值设为0。 2.用管理员登录，新建一个user4用户，只选下次登录时改变密码，再建一个用户user5，输入密码：user5，只选用户不能修改密码。分别用user4和user5登录，是否都能登录？用管理员登录，进入安全策略，再进入密码策略，把密码最长保存期改为30天，再修改系统时间，向后延长30天，分别用user4和user5登录，有什么提示？能否登录？为什么？用user4用户登录，能否自己修改密码？用管理员登录，进入安全策略，再进入密码策略，把密码最短存留期改为60天，用user4用户登录，能否自己修改密码？用管

涉密计算机安全策略配置

涉密计算机安全策略配置一、物理安全防护 1、安装防盗铁门 2、安装红外报警器 3、放置密码文件柜 4、涉密电脑实行物理隔离二、硬件相关设置 1、禁止使用无线设备（无线键盘、鼠标、网卡、红外、蓝牙、moden等）； 2、未经许可不得使用视频、音频输入设备、读卡器设备、刻录设备; 3、接入红黑电源隔离插座； 4、与非密设备间隔一米以上。三、主板BIOS相关设置 1、设置BIOS系统密码，该密码由安全保密管理员掌握； 2、设置BIOS 开机密码，该密码由用户掌握； 3、B IOS最优先启动设置为硬盘启动，其余优先启动全部关闭; 四、操作系统 1、禁止安装番茄花园、雨林木风等经处理的操作系统，禁止安装Ghost 版操作系统； 2、更改Admi ni st rat or 用户名并设置密码，禁用Guest 帐户，删除多余帐户； 3、关闭操作系统的默认共享，同时禁止设置其它共享； 4、设置屏保时间10分钟，屏保恢复需用密码； 5、不得安装《软件白名单》外的软件； 6、对操作系统与数据库进行补丁升级（每季度一次〉； 7、定期输出安全审计记录报告（每月一次） &清理一切私人信息：私人照片、mp3电影等等。 9、根据规定设置系统策略，关闭非必要服务；〔见后）五、安全保密防护软件的部署 1 、安装正版杀毒软件，涉密计算机（瑞星杀毒软件），涉密中间机、非涉密中间机（瑞星杀毒软件）；杀毒软件每半个月更新一次病毒库并全盘扫描；2、安装主机监控审计软件与介质绑定系统；六、关闭计算机不必要的应用服务原则：在没有特殊情况下应当关闭不必要的服务。如果有特殊需求，应当主动申请提出。详细配置说明

网络安全报告本地安全策略

计算机工程系实验报告课程名称：网络安全与管理实验项目名称：Windows 操作系统的安全设置班级：计科15-3 姓名：学号：实验目的: 掌握Windows 操作系统的常用基本安全设置； 1、 Windows 账户与密码的安全设置； 2、文件系统的加密和保护； 3、安全策略与安全模板的使用； 4、审核和日志的启用； 5、数据的备份和还原实验环境：一台安装Windows XP 操作系统的计算机，磁盘格式配置为NTFS 。实验一关闭端口实验内容及过程: 1、开始/运行，输入cmd/在命令行输入netstat-a ，可以查看已开发的端口。如图一图1 2、关闭自己的139端口，IPC 和RPC 漏洞存于此处。网络连接/本地连接/本地连接属性/internet 协议（tcp/ip ）属性/高级/WINS 选项卡中，禁用TCP/IP 上的NetBIOS 。如图2

图2 3、关闭445端口。修改注册表，添加一个键值“HKEY_LOCAL_MACHINE\System \CurrentControlSet \Services\NetBT\Parameters”在右面的窗口建立一个“SMBDeviceEnabled”DWORD值，类型为REG_DWORD，键值为“0”。如图3 图3 4、禁止终端服务远程控制和远程协助右键我的电脑/属性/远程/取消允许用户远程连接到此计算机、允许从这台计算机发送远程协助邀请。这两个选项正是“冲击波”病毒所要攻击的RPC在XP上的表现形式。如图4

图4 5、屏蔽闲置端口 a、“控制面板”“系统和安全”“Windows防火墙” b、“高级设置”“入站规则”或“出站规则” c、点击“新建规则”,选择“端口”，并点击“下一步”,这里就可以选择协议类型TCP或UDP，以及需要筛选的端口，设置完成后，点击“下一步”,选择需要的操作，并点击“下一步”,选择此规则应用的区域，并点击“下一步”,最后填写此规则的名称和描述（可选），点击“完成”。 d、设置出站规则（同入站规则）如图5，6 图5

本地安全策略设置

实验本地安全策略设置【实验目的】 1)掌握帐户策略的设置。 2)掌握本地策略的设置。【实验环境】具有Windows xp的计算机、局域网环境。【实验重点及难点】重点：掌握帐户策略、本地策略的设置。难点：实验过程中，切实理学会如何实际应用XP本地安全策略。【实验内容】一、帐户策略的设置。 1、设置密码策略（使我们的系统密码相对安全，不易破解）。 1)打开”开始”菜单→”程序”→”管理工具”→”本地安全策略”→”帐户策略”→”密码策略”(截图),设置密码长度最小值为2个字符，密码最短存留期为2天，密码最长存留期为50天。启用密码必须符合复杂性要求(截图)。更改密码，设置Administrator帐号密码为空，或者设置密码为单一数字，则弹出如下对话框（截图）。 1）完成。 2、设置帐户锁定策略（可以抵御网络用户通过枚举入侵自己计算机）。 1）打开”开始”菜单→”程序”→”管理工具”→”本地安全策略”→”帐户策略”→”帐户锁定策略”(截图)。 2）设置”复位账户锁定计数器”为2分钟之后，“账户锁定时间”为2分钟，”账户锁定阈值”为5次无效登陆。（截图）。 3)此时，注销自己计算机，连续5次输入密码错误，此时自己电脑被锁定，禁止输入密码，并且锁定时间为2分钟。 4）完成。二、本地策略的设置。 1、设置审核策略（可以获取用户对本计算机的操作历史进行审核）。审核登陆事件：用户在本机的登陆。审核对象访问：用户对对象的访问（如文件、文件夹控制面板等）。审核系统事件：系统的启动、注销和关机，以及涉及到安全性的一些事件。审核帐户登陆事件：用户在其他计算机上登陆，在本计算机上进行验证。审核帐户管理：涉及到帐户的管理，如新建用户和组，修改密码、重命名用户和组等。 1）打开”开始”菜单→”程序”→”管理工具”→”本地安全策略”→”本地策略”→”审核策略”(截图)。 2）设置审核登陆事件和审核系统事件都为成功和失败（截图）。

windows server 2008 配置本地安全策略

第六章配置本地安全策略一、账户策略的应用 1、以管理员账户Administrator登录到服务器 2、单击“开始”→“管理工具”→“本地安全策略”（或者“开始”→“运行”→输入“secpol.msc”）,打开本地安全策略。 3、选择“账户策略”→“密码策略”→设置密码长度最小值为7，启用密码必须符合复杂性要求，密码使用最长期限为30天

4、选择“账户策略”→“账户锁定策略”，设置账户锁定阈值为3. 5、单击“开始”→“运行”→，输入“gpupdate”，刷新策略。

6、管理员administrator打开“服务器管理器”控制台。 7、展开“配置”→“本地用户和组”→“用户”，右击账户UserA，选择“重设密码”，输入新密码和确认密码“aaa”，单击“确定”按钮，提示密码不符合密码策略的要求。 8、输入旧密码，输入新密码和确认新密码“aaa”，单击“确定”同样提示密码不符合密码策略要求。

9、以账户UserA在计算机上登录，故意输错3次密码，提示账户被锁定 10、以administrator登录没有被锁定的提示。对计算机解锁。 11、以管理员账户登录服务器解锁UserA账户。 12、在“服务器管理器”中，展开“配置”→“本地用户和组”→“用户”，右击账户UserA，选择“属性”→“常规”，可以看到账户以锁定的。

13、清除“账户以锁定”的复选框。 14、以UserA账户登录服务器，输入正确的密码可以正常登陆。

审核策略的应用 1、以管理员账户登录到服务器，在D盘创建一个名字为“sss”的文件夹。 2、单击“开始”→“程序”→“管理工具”→“本地安全策略”，打开本地安全策略。 3、选择“本地策略”→“审核策略”→，双击“审核对象访问”策略，选择“成功”和“失败” 4、刷新策略。 5、右击文件夹sss，选择“属性”→“安全”→“高级”→“审核”，添加“everyone”

配置本地安全策略

配置本地安全策略 Revised as of 23 November 2020

2、点“添加”按钮，打开叫做“IP筛选器列表”的对话框，里面有三个文本框，从上到下分别是：“名称”、“描述”和“筛选器”。在“名称”和“描述”文本框右边，能看到“添加”、“编辑”和“删除”三个按钮（对没有内容的筛选器而言，它的“编辑”和“删除”按钮不可用），在这三个按钮下有一个复选框，复选框后面有“使用 ‘添加向导’”这样的文本说明。 3、取消默认的对“使用‘添加向导’”的勾选，在“名称”下面的文本框中把默认的“新IP筛选器列表”修改成下面要建立的筛选器列表的名称，我们这里先输入：“病毒常驻端口”，在“描述”下面的空白文本框中输进去“病毒常驻端口”后面的全部端口号（可以用复制、粘贴来操作），主要作用是便于下一步对照着添加作为“筛选器”具体内容的“端口”。这时可以点“确定”按钮，保存本“筛选器”。但由于它没有任何内容，所以会蹦出来“IP筛选器列表警告”对话框，提示“这个IP筛选器列表是空的。没有匹配的IP数据包。您想……吗”，因为保存是目的，所以选择“是”。 4、这里我们不点“确定”，不保存空的筛选器，直接向“筛选器”下面的文本框中添加本筛选器要操作的端口。这个文本框中是不能直接用输入法输入、编辑的，具体方法见下一步。四、添加“筛选器”要操作的端口： 1、点“IP筛选器列表”对话框中的“添加”按钮，打开“筛选器属性”对话框。这个对话框里面有三个标签：“寻址”、“协议”和“描述”。 2、在“寻址”标签下有两个选项框和一个复选框。从上到下是“源地址”选项框、“目标地址”选项框和“镜像。同时与源地址和目标地址……匹配”复选框。因为我们

配置本地安全策略

配置本地安全策略———端口的保护 IP安全策略设置方法一、适用范围：它适用于2000以上Windows系统的专业版；对家庭版的用户可以看一下是不是能通过：控制台（运行mmc）－文件－添加/删除管理单元－添加－添加独立单元，添加上“IP安全策略管理”，如行的话则可在左边的窗口中看到“IP安全策略，在本地计算机”了，接下来的操作就跟专业版一样了。二、找到“IP安全策略，在本地计算机”： “IP安全策略，在本地计算机”选项在“本地安全设置”下，所以要找到它就打开“本地安全设置”的方法，主要采用以下两种方法来打开：1是点“开始”－“运行”－输入secpol.msc，点确定；2是“控制面板”－“管理工具”－“本地安全策略”。打开“本地安全策略”对话框就能在左边的窗口中看到“IP安全策略，在本地计算机”了。右击它，在它的下级菜单中能看到“创建IP安全策略”和“管理IP筛选器表和筛选器操作”等菜单（也可以在此级菜单中的“所有任务”项的下级菜单中看到上面的两个菜单）。三、建立新的筛选器： 1、在“IP安全策略，在本地计算机”的下级菜单中选择“管理IP筛选器和筛选器操作”菜单，打开“管理IP筛选器和筛选器操作”对话框，里面有两个标签：“管理IP 筛选器列表”和“管理筛选器操作”。选择“管理IP筛选器列表”标签，在“IP筛选器列表”下的文本框下面能看到三个按钮：“添加”、“编辑”和“删除”。 2、点“添加”按钮，打开叫做“IP筛选器列表”的对话框，里面有三个文本框，从上到下分别是：“名称”、“描述”和“筛选器”。在“名称”和“描述”文本框右边，能看到“添加”、“编辑”和“删除”三个按钮（对没有内容的筛选器而言，它的“编辑”和“删除”按钮不可用），在这三个按钮下有一个复选框，复选框后面有“使用‘添加向导’”这样的文本说明。 3、取消默认的对“使用‘添加向导’”的勾选，在“名称”下面的文本框中把默认的“新IP筛选器列表”修改成下面要建立的筛选器列表的名称，我们这里先输入：“病毒常驻端口”，在“描述”下面的空白文本框中输进去“病毒常驻端口”后面的全部端口号（可

如何为自己的电脑配置本地安全策略,win7版

一、本地安全策略概述本地安全策略影响本地计算机的安全设置，当用户登录到某台windows7计算机上时，就会受到此台计算机的本地安全策略的影响！要管理本地安全策略，可以单击“开始”菜单-控制面板-系统和安全-管理工具，然后双击”本地安全策略，也可以执行“secpol.msc"命令打开本地安全策略窗口！出现如下图所示一、/账户策略账户策略主要分为两个部分：密码策略和账户锁定策略 1、密码策略主要包括以下几个具体策略

现在就来一一讲下各个密码策略的设置意义！密码必须符合复杂性要求：启用此策略后，用户账户使用的密码必须符合复杂性的要求。密码复杂性是指密码中必须包含以下四类字符中的三类字符。 ◆英文大写字母（A到Z） ◆英文小写字母（a到z） ◆10个基本数字（0到9） ◆特殊符号（例如！、@、$、#）双击该策略后的设置对话框如下图显示!

密码长度最小值：该项安全设置确定用户账户的密码包含的最少字符个数。设置范围0~14，将字符数设置为0，表示不要求密码。双击该策略后的设置对话框如下图所示：

密码最长使用期限：指密码使用的最长时间：单位为天。设置范围0~999，默认设置时42天，如果设置为0天，表示密码用不过期。双击该策略后的设置对话框如下图所示

密码最短使用期限：此安全设置确定在用户更改某个密码之前至少使用该密码的天数。可以设置一个介于1和998天之间的值，或者将天数设置为0，表示可以随时更改密码，密码最短使用期限必须小于密码最长使用期限，除非密码最长使用期限为0.如果密码最长使用期限设置为0，那么密码最短使用期限可以设置为0到998之间的任意值！强制密码历史：指多少个最近使用过的密码不允许再使用。设置范围在0~24之间，默认值为0 ，代表可以随意使用过去使用的密码，双击该策略后的设置对话框如图所示

涉密计算机安全策略配置2017

涉密计算机安全策略配置一、物理安全防护 1、安装防盗铁门 2、安装红外报警器 3、放置密码文件柜 4、涉密电脑实行物理隔离二、硬件相关设置 1、禁止使用无线设备（无线键盘、鼠标、网卡、红外、蓝牙、modem等）； 2、未经许可不得使用视频、音频输入设备、读卡器设备; 3、接入红黑电源隔离插座； 4、与非密设备间隔一米以上。三、主板BIOS相关设置 1、设置BIOS系统密码，该密码由安全保密管理员掌握； 2、设置BIOS开机密码，该密码由用户掌握； 3、BIOS最优先启动设置为硬盘启动，其余优先启动全部关闭；四、操作系统 1、更改A d m i n i s t r a t o r用户名并设置密码，禁用Guest帐户，删除多余帐户； 2、关闭操作系统的默认共享，同时禁止设置其它共享； 3、设置屏保时间10分钟，屏保恢复需用密码； 4、不得安装《软件白名单》外的软件； 5、对操作系统与数据库进行补丁升级（每季度一次〉； 6、定期输出安全审计记录报告（每月一次） 7、清理一切私人信息：私人照片、mp3、电影等等。 8、根据规定设置系统策略，关闭非必要服务；(见后）五、安全保密防护软件的部署 1、安装正版杀毒软件，涉密计算机（江民杀毒软件），涉密中间机、非涉密中间机（瑞星杀毒软件)；杀毒软件每半个月更新一次病毒库并全盘扫描；

2、安装主机监控审计软件与存储介质管理系统(三合一)； 3、涉密机安装刻录审计软件，涉密中间机安装打印审计软件和刻录审计软件；六、关闭计算机不必要的应用服务原则：在没有特殊情况下应当关闭不必要的服务。如果有特殊需求，应当主动申请提出。

任务一设置Windows XP系统“本地安全策略”

任务一设置Windows XP系统“本地安全策略” Windows XP系统自带的“本地安全策略”是一个系统安全管理工具。启动“本地安全策略”：单击“控制面板→管理工具→本地安全策略”后，会进入“本地安全策略”的主界面。在此可通过菜单栏上的命令设置各种安全策略，并可选择查看方式，导出列表及导入策略等操作。一、加固系统账户 1.禁止枚举账号某些具有黑客行为的蠕虫病毒，可以通过扫描Windows XP系统的指定端口，然后通过共享会话猜测管理员系统口令。因此，我们需要通过在“本地安全策略”中设置禁止枚举账号，从而抵御此类入侵行为，操作步骤如下: 在“本地安全策略”左侧列表的“安全设置”目录树中，逐层展开“本地策略→安全选项”。查看右侧的相关策略列表，在此找到“网络访问:不允许SAM账户和共享的匿名枚举”，用鼠标右键单击，在弹出菜单中选择“属性”，而后会弹出一个对话框，在此激活“已启用”选项，最后点击“应用”按钮使设置生效。 2.账户管理为了防止入侵者利用漏洞登录机器，我们要在此设置重命名系统管理员账户名称及禁用来宾账户。设置方法为:在“本地策略→安全选项”分支中，找到“账户:来宾账户状态”策略，点右键弹出菜单中选择“属性”，而后在弹出的属性对话框中设置其状态为“已停用”，最后“确定”退出。下面，我们再查看“账户:重命名系统管理员账户”这项策略，调出其属性对话框，在其中的文本框中可自定义账户名称(如下图)。二、指派本地用户权利如果你是系统管理员身份，可以指派特定权利给组账户或单个用户账户。在“安全设置”中，

定位于“本地策略→用户权利指派”，而后在其右侧的设置视图中，可针对其下的各项策略分别进行安全设置(如下图)。例如，若是希望允许某用户获得系统中任何可得到的对象的所有权:包括注册表项、进程和线程以及NTFS文件和文件夹对象等(该策略的默认设置仅为管理员)。首先应找到列表中“取得文件或其它对象的所有权”策略，用鼠标右键单击，在弹出菜单中选择“属性”，在此点击“添加用户或组”按钮，在弹出对话框中输入对象名称，并确认操作即可(如下图)。三、加强密码安全在“安全设置”中，先定位于“账户策略→密码策略”，在其右侧设置视图中，可酌情进行相应的设置，以使我们的系统密码相对安全，不易破解。如防破解的一个重要手段就是定期更新密码，大家可据此进行如下设置:鼠标右键单击“密码最长存留期”，在弹出菜单中选择“属性”，在弹出的对话框中，大家可自定义一个密码设置后能够使用的时间长短(限定于1至999之间)。

涉密计算机安全策略配置

涉密计算机安全策略配置 The final edition was revised on December 14th, 2020.

配置本地安全策略精编

IP安全策略详细设置

操作系统的安全策略基本配置原则(最新版)

操作系统的安全策略基本配置原则(正式)

防火墙安全策略配置

Windows 安全配置规范

涉密计算机安全策略配置完整版

操作系统的安全策略基本配置原则

操作系统的安全策略基本配置原则通用版

本地安全策略

涉密计算机安全策略配置

网络安全报告 本地安全策略

最新最全USG6000安全策略配置(DOC41页)

本地安全策略设置

windows server 2008 配置本地安全策略

配置本地安全策略

配置本地安全策略

如何为自己的电脑配置本地安全策略,win7版

涉密计算机安全策略配置2017

任务一 设置Windows XP系统“本地安全策略”

涉密计算机安全策略配置

网络安全报告本地安全策略

任务一设置Windows XP系统“本地安全策略”