文档库 最新最全的文档下载
当前位置:文档库 › 本地安全策略

本地安全策略

本地安全策略

组策略详解

组策略详解(图解) 电脑知识2008-05-27 06:11 阅读138 评论0 字号:大中小 组策略是管理员为计算机和用户定义的,用来控制应用程序、系统设置和管理模板的一种机制。通俗一点说,是介于控制面板和注册表之间的一种修改系统、设置程序的工具。微软自W indows NT 4.0开始便采用了组策略这一机制,经过Windows 2000发展到Windows XP已相当完善。利用组策略可以修改Windows的桌面、开始菜单、登录方式、组件、网络及IE浏览器等许 多设置。 平时像一些常用的系统、外观、网络设置等我们可通过控制面板修改,但大家对此肯定都有不满意,因为通过控制面板能修改的东西太少;水平稍高点的用户进而使用修改注册表的方法来设置,但注册表涉及内容又太多,修改起来也不方便。组策略正好介于二者之间,涉及的内容比控制面板中的多,安全性和控制面板一样非常高,而条理性、可操作性则比注册表 强。 本文主要介绍Windows XP Professional本地组策略的应用。本地计算机组策略主要可进行两个方面的配置:计算机配置和用户配置。其下所有设置项的配置都将保存到注册表的相关项目中。其中计算机配置保存到注册表的HKEY_LOCAL_MACHINE子树中,用户配置保存到H KEY_CURRENT_USER。 一、访问组策略 有两种方法可以访问组策略:一是通过gpedit.msc命令直接进入组策略窗口;二是 打开控制台,将组策略添加进去。 1. 输入gpedit.msc命令访问 选择“开始”→“运行”,在弹出窗口中输入“gpedit.msc”,回车后进入组策略窗口(图1)。组策略窗口的结构和资源管理器相似,左边是树型目录结构,由“计算机配置”、“用户配置”两大节点组成。这两个节点下分别都有“软件设置”、“Windows设置”和“管理模板”三个节点,节点下面还有更多的节点和设置。此时点击右边窗口中的节点或设置,便会出现关于此节点或设置的适用平台和作用描述。“计算机配置”、“用户配置”两大节点下的子节点和设置有很多是相同的,那么我们该改哪一处?“计算机配置”节点中的设置应用到整个计算机策略,在此处修改后的设置将应用到计算机中的所有用户。“用户配置”节点中的设置一般只应用到当前用户,如果你用别的用户名登录计算机,设置就不会管用了。但一般情况下建议在“用户配置”节点下修改,本文也将主要讲解“用户配置”节点的各项设置的修改,附带讲解“计算机配置”节点下的一些设置。其中“管理模板”设置最多、应用最广,因此也 是本文的重中之重。

IP安全策略详细设置

首先,打开"管理工具"中的"本地安全策略",在"IP安全策略"选项上点击右键,如图1: 选择"创建IP安全策略",会弹出向导窗口,单击下一步,在弹出的窗口中,输入此策略的名称,比如这里我们键入"3389过滤"再单击下一步,以后全部默认下一步,其中有一个警告,单击"是"即可这样就完成新策略的添加.如图2: 点击确定后,回到图1界面,选择"管理IP筛选器操作",弹出窗口,如图3

我们先要建立一个筛选器,单击"添加",弹出窗口,在筛选器名称里填入"3389筛选器1",再单击旁边的"添加",会弹出向导窗口,单击"下一步",会出现源地址选项,(你可以按照自己的需要选择),在这里我们选择"任何IP地址",单击下一步,在目的地址中选择"我的IP地址",再单击下一步,选择IP协议,这里我们选择TCP,单击下一步,会出现端口选择,如图4: 我们设置从任何端口到本机的3389端口.单击下一步.就完成了筛选器的建立.如图5:

接着回到图3界面,单击"管理筛选器操作"页栏 单击"添加",会弹出筛选器操作向导,单击"下一步",取名为"阻止3389",单击下一步, 在选择操作页面中选择"阻止",单击"下一步",就完成了筛选器的建立.如图6:

好了! 我们建立了筛选器和筛选器操作,现在就要建立IP安全规则了.(***)在图1界面中,双击我们刚刚建立的"3389过滤"策略,弹出策略属性窗口,然后单击"添加"弹出向导,单击"下一步",一直单击下一步,其中一个选择"是",直到这里,如图7: 这时,我们要选择我们刚才建立的"3389筛选器1",然后再单击下一步.如图8

windows安全策略.

Windows安全策略“软件”防火墙 来源:互联网作者:无名不来发表日期:2008-8-28 16:52:54 阅读次数:16 在互联网越来越普及的今天,互联网安全问题日益严重,木马病毒横行网络。大多数人会选择安装杀毒软件和防火墙,不过杀毒软件对病毒反应的滞后性使得他心有余而力不足,只有在病毒已经造成破坏后才能被发现并查杀。在这种情况下,HIPS(主动防御系统)软件越来越流行,依靠设定各种各样的规则来限制病毒木马的运行和传播,由于HIPS是基于行为分析的,这使得它对未知病毒依然有效,不过软件兼容性问题也比普通的杀毒软件要严峻的多。 网络上有一种人,他们不装任何杀毒软件和防火墙,自由奔走在互联网上,称之为“裸奔”族。不过他们也分许多不同的种类,有的是电脑不设任何防护,也不放任何重要资料,一旦中毒就重装系统;而另一种则是依托Windows系统本身的安全机制来抵御病毒的入侵,显然这种方法要可靠的多。 其实大多数人都忽略了Windows系统本身的功能,认为Windows弱不禁风。其实只要设置好,Windows就是非常强大的安全防护软件。这篇文章的主角就是WindowsXP Pro里自带的安全策略功能。打开安全策略很简单,直接双击控制面板管理工具里的本地安全策略即可,这里我们重点讲其中的软件限制策略。 正如其名,这里可以限制软件的运行,至于如何限制,那就要看你的策略怎么定了。如果以前未设置过安全策略,那么在软件限制策略上右键新建策略后会出现下级菜单: 其他地方我们都不用管,其它规则才是由我们发挥的地方,这里规则制定的好坏直接关系到你的电脑的安全程度。点击其他策略,我们可以看到微软已经帮我们预设了4条规则(如下图) 这4条规则是用来保证Windows运行所必须的程序不会被禁用而设的,如果你确定你的规则没有问题,这四条规则删掉也没有问题。接下去在其他规则上右键, [1] [2] [3] [4] [5] [6] [7] [8] 下一页

XP组策略命令大全(一)

XP组策略命令大全 如何打开组策略编辑器? 答:运行里输入gpedit.msc 系统里提示没有打开组策略这条命令? 答:1:看是不是注册表中锁住了组策略 “HKEY_CURRENT_USER\Software\Microsoft\Windows \CurrentVersion\Policies\Explorer”,把“RestrictRun”的键值改为0即可。 2:开始--运行--MMC--文件--添加删除管理单元--添加--组策略--添加。任务栏和开始菜单设置详解 用户配置-管理模板-任务栏和开始菜单 从「开始」菜单删除用户文件夹 隐藏所有在「开始」菜单中的用户指定区域(上方)的文件夹。其它项目出现,但文件夹会被 隐藏。 这个设置是为了转发文件夹而设计的。被转发的文件夹会出现在「开始」菜单的主要区域中。但是先前的用户指定文件夹仍然会出现在「开始」菜单的上方。因为两个同样的文件夹可能会让用户觉得混乱,您可以使用这个设置来隐藏用户指定文件夹。 请注意这个设置会隐藏所有的用户指定文件夹,不光是被转发的用户指定文件夹。 如果您启用这个设置,在「开始」菜单中的上方区域不会出现任何文件夹。如果用户将新文件夹加入「开始」菜单,文件夹会出现在用户配置文件的目录中,但不会出现在「开始」菜单中。 如果停用或不配置这个设置,Windows 2000 Professional 和Windows XP Professional 会将文件夹同时显示在「开始」菜单的两种区域中。 删除到“Windows Update”的访问和链接 防止用户连接到Windows Update网站。 这个设置阻止用户访问地址为: https://www.wendangku.net/doc/c74033970.html,的Windows Update 网站。这个设置从「开始」菜单和Internet Explorer 中的工具菜单上删除了Windows Update超链接。 Windows Update 为Windows 的联机扩展,提供软件更新以使用户的系统保持最新。Windows Update Product Catalog 确定任何用户需要的系统文件、安全措施修改以及Microsoft updates 并且显示可供下载的最新版本。 还可参阅“隐藏‘从Microsoft 添加程序’选项”设置。 从「开始」菜单删除公用程序组 在「开始」菜单中的程序菜单上删除所有用户配置文件中的项目。 默认情况下,程序菜单包括从所有用户配置文件项目和用户配置文件项目。如果您启用这项设置,只有用户配置文件上的项目会出现在程序菜单上。 窍门: 要查阅在所有用户配置文件中的程序菜单项目,请在系统驱动器上转到Documents and Settings\All Users\Start Menu\Programs。

操作系统的安全策略基本配置原则(正式)

编订:__________________ 单位:__________________ 时间:__________________ 操作系统的安全策略基本配置原则(正式) Standardize The Management Mechanism To Make The Personnel In The Organization Operate According To The Established Standards And Reach The Expected Level. Word格式 / 完整 / 可编辑

文件编号:KG-AO-8263-70 操作系统的安全策略基本配置原则 (正式) 使用备注:本文档可用在日常工作场景,通过对管理机制、管理原则、管理方法以及管理机构进行设置固定的规范,从而使得组织内人员按照既定标准、规范的要求进行操作,使日常工作或活动达到预期的水平。下载后就可自由编辑。 安全配置方案中级篇主要介绍操作系统的安全策略配置,包括十条基本配置原则: (1)操作系统安全策略,(2)关闭不必要的服务 (3)关闭不必要的端口, (4)开启审核策略(5)开启密码策略, (6)开启帐户策略,(7)备份敏感文件,(8)不显示上次登陆名,(9)禁止建立空连接(10)下载最新的补丁 1 操作系统安全策略 利用Windows 2000的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器的安全策略.在管理工具中可以找到"本地安全策略".可以配置四类安全策略:帐户策略,本地策略,公钥策略和IP安全策略.在默认

的情况下,这些策略都是没有开启的. 2 关闭不必要的服务 Windows 2000的Terminal Services(终端服务)和IIS(Internet 信息服务)等都可能给系统带来安全漏洞.为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果开了,要确认已经正确的配置了终端服务. 有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务.要留意服务器上开启的所有服务并每天检查.Windows2000可禁用的服务服务名说明Computer Browser维护网络上计算机的最新列表以及提供这个列表Task scheduler允许程序在指定时间运行Routing and Remote Access在局域网以及广域网环境中为企业提供路由服务Removable storage管理可移动媒体,驱动程序和库Remote Registry Service允许远程注册表操作Print Spooler将文件加载到内存中以便以后打印.要用打印机的用户不能禁用这项服务IPSEC Policy Agent管

防火墙安全策略配置

防火墙安全策略配置 -标准化文件发布号:(9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII

一、防火墙设置外网不能访问内网的方法: 1、登录到天融信防火墙集中管理器; 2、打开“高级管理”→“网络对象”→“内网”,在右边窗口空白处点击右键,在弹出的快捷菜单中选择“定义新对象”→“子网”,填入子网名称(自己命名),如“120段”,地址范围中,输入能够上网机器的所有IP范围(能够上网的电脑IP 范围)。点击确定。 3、在“网络对象”中选择“外网”,在右边窗口空白处点击右键,在弹出的快捷菜单中选择“定义新对象”“子网”,填入子网名称(自己命名),如“外网IP”,地址范围中,输入所有IP范围。点击确定。

4、访问策略设置 A、在“高级管理”中选择“访问策略”“内网”,在右边的窗口中,点击右键,选择“增加”,点击“下一步”。 B、在“策略源”中选择“外网IP”(刚才设置的外网IP),点击“下一步”。

C、在“策略目的”中选择“内网”和“120段”(刚才设置的上网IP),点击“下一步”。

D、在“策略服务”中,我们不做任何选择,直接点击“下一步”。(因为我们要限制所有外网对我们内网的访问,在此我们要禁用所有服务,因此不做选择) E、在“访问控制”中,“访问权限”选择“禁止”(因为我们上一步没有选择服务,在此我们选择禁止,表示我们将禁止外网对我们的所有服务),“访问时间”选择“任何”,“日志选项”选择“日志会话”,其他的不做修改,点击“下一步”。

F、最后,点击“完成”。 5、至此,我们就完成了对外网访问内网的设置。

win+R 命令大全

Win +R 命令大全 常用命令已经做好了标记,如有统计不周敬请见谅! Nslookup-------IP地址侦测器 explorer-------打开资源管理器 logoff--------注销命令 tsshutdn-------60秒倒计时关机命令 lusrmgr.msc-----本机用户和组 services.msc-----本地服务设置 oobe/msoobe /a----检查XP是否激活 notepad--------打开记事本 cleanmgr-------**整理 net start messenger----开始信使服务 net stop messenger-----停止信使服务 compmgmt.msc-----计算机管理 conf-----------启动netmeeting dvdplay--------DVD播放器 charmap--------启动字符映射表 diskmgmt.msc----磁盘管理实用程序 calc-----------启动计算器 dfrg.msc-------磁盘碎片整理程序 chkdsk.exe-----Chkdsk磁盘检查 devmgmt.msc---设备管理器 regsvr32 /u *.dll----停止dll文件运行 drwtsn32------系统医生 rononce -p ----15秒关机 dxdiag---------检查DirectX信息 regedt32-------注册表编辑器 Msconfig.exe---系统配置实用程序 rsop.msc-------组策略结果集 mem.exe--------显示内存使用情况 regedit.exe----注册表 winchat--------XP自带局域网聊天 progman--------程序管理器 winmsd---------系统信息 perfmon.msc----计算机性能监测程序 winver---------检查Windows版本 sfc /scannow-----扫描错误并复原 taskmgr-----任务管理器(2000/xp/2003) wmimgmt.msc----打开windows管理体系结构(WMI)

解决局域网共享问题,提示:无法访问.你可能没有权限使用网络资源

默认情况下,Windows XP的本地安全设置要求进行网络访问的用户全部采用来宾方式。同时,在Windows XP安全策略的用户权利指派中又禁止Guest用户通过网络访问系统。这样两条相互矛盾的安全策略导致了网内其他用户无法通过网络访问使用Windows XP的计算机。你可采用以下方法解决. 方法一:解除对Guest账号的限制 点击“开始→运行”,在“运行”对话框中输入“GPEDIT.MSC”(或者输入:secpol.msc,打开本地安全设 置),打开组策略编辑器,依次选择“计算机配置→Windows设置→安全设置→本地策略→用户权利指派”,双击“拒绝从网络访问这台计算机”策略,删除里面的“GUEST”账号。这样其他用户就能够用Guest 账号通过网络访问使用Windows XP系统的计算机了。 方法二:更改网络访问模式 打开组策略编辑器,依次选择“计算机配置→Windows设置→安全设置→本地策略→安全选项”,双击“网络访问:本地账号的共享和安全模式”策略,将默认设置“仅来宾?本地用户以来宾身份验证”,更改为“经典:本地用户以自己的身份验证”。 现在,当其他用户通过网络访问使用Windows XP的计算机时,就可以用自己的“身份”进行登录了(前提是Windows XP中已有这个账号并且口令是正确的)。 3、将安全选项中的使用空密码的本地账户只允许控制台登录改为已禁用。原来在“安全选项”中有一个“账户:使用空白密码的本地账户只允许进行控制台登录”策略默认是启用的,根据Windows XP 安全策略中拒绝优先的原则,密码为空的用户通过网络访问使用Windows XP的计算机时便会被禁止。我们只要将这个策略停用即可解决问题。 一般情况下上述方法可实现局域网之间文件共享了。倘若仍不能访问,需检查一下设置: 1、关闭防火墙,防火墙会阻止计算机之间的访问; 2、启用guest账户; 3、本地连接-属性- Microsoft网络的文件和打印机共享; 4、我的电脑→工具→文件夹选项→查看→去掉“使用简单文件共享(推荐)”前的勾; 5、注册表:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa右边窗口 RestrictAnonymous的值是否为0; 6、检查电脑是否在工作组计算机中;右击“我的电脑”→“属性”→“计算机名”,看该选项卡 中有没有出现你的局域网工作组名称,如“workgroup”等。然后单击“网络ID”按钮,开始“网络标识向导”:单击“下一步”,选择“本机是商业网络的一部分,用它连接到其他工作着的计算机”;单击“下一步”,选择“公司使用没有域的网络”;单击“下一步”按钮,然后输入你的局域网的工作组名,如“work”,再次单击“下一步”按钮,最后单击“完成”按钮完成设置。 7、Server服务是否启动;运行-services.msc- 找到"server"服务,启动该服务即可; 8、设置密码访问的方法改下以下设置即可: (1).开始-运行secpol.msc -本地策略-安全选项-在右边找到“网络访问:本地用户的共享和安全模式-属性-改成”仅来宾-本地用户以来宾身份验证“确定。

Windows 安全配置规范

Windows 安全配置规范 2010年11月

第1章概述 1.1适用范围 本规范明确了Windows操作系统在安全配置方面的基本要求,可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。 适用于中国电信所有运行的Windows操作系统,包括Windows 2000、Windows XP、Windows2003, Windows7 , Windows 2008以及各版本中的Sever、Professional版本。 第2章安全配置要求 2.1账号 编号:1 要求内容应按照不同的用户分配不同的账号,避免不同用户间共享账号,避 免用户账号和设备间通信使用的账号共享。 操作指南1、参考配置操作 进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用 户和组”: 根据系统的要求,设定不同的账户和账户组。 检测方法1、判定条件 结合要求和实际业务情况判断符合要求,根据系统的要求,设定不 同的账户和账户组 2、检测操作 进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用 户和组”:

查看根据系统的要求,设定不同的账户和账户组编号:2 要求内容应删除与运行、维护等工作无关的账号。 操作指南1.参考配置操作 A)可使用用户管理工具: 开始-运行-compmgmt.msc-本地用户和组-用户B)也可以通过net命令: 删除账号:net user account/de1 停用账号:net user account/active:no 检测方法1.判定条件 结合要求和实际业务情况判断符合要求,删除或锁定与设备运行、维护等与工作无关的账号。 注:主要指测试帐户、共享帐号、已经不用账号等 2.检测操作 开始-运行-compmgmt.msc-本地用户和组-用户 编号:3 要求内容重命名Administrator;禁用guest(来宾)帐号。 操作指南1、参考配置操作 进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用 户和组”: Administrator->属性-> 更改名称 Guest帐号->属性-> 已停用 检测方法1、判定条件 缺省账户Administrator名称已更改。 Guest帐号已停用。 2、检测操作 进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用 户和组”: 缺省帐户->属性-> 更改名称

配置本地安全策略

配置本地安全策略端口的保护 IP 安全策略设置方法 一、适用范围: 它适用于2000以上Windows系统的专业版;对家庭版的用户可以看一下是不是能通过:控制台(运行mm)-文件-添加/删除管理单元-添加-添加独立单元,添加上“ IP 安全策略管理”,如行的话则可在左边的窗口中看到“ IP 安全策略,在本地计算机”了,接下来的操作就跟专业版一样了。 二、找到“ IP 安全策略,在本地计算机”: “IP 安全策略,在本地计算机”选项在“本地安全设置”下,所以要找到它就打开“本地安全设置”的方法,主要采用以下两种方法来打开:1是点“开始”-“运行” -输入 secpol.msc ,点确定;2 是“控制面板”-“管理工具”-“本地安全策略”。打开“本地安全策略”对话框就能在左边的窗口中看到“ IP 安全策略,在本地计算机”了。右击它,在它的下级菜单中能看到“创建IP 安全策略”和“管理IP 筛选器表和筛选器操作”等菜单(也可以在此级菜单中的“所有任务”项的下级菜单中看到上面的两个菜单)。 三、建立新的筛选器: 1、在“ IP 安全策略,在本地计算机”的下级菜单中选择“管理IP 筛选器和筛选器操作”菜单,打开“管理IP 筛选器和筛选器操作”对话框,里面有两个标签:“管理IP 筛选器列表”和“管理筛选器操作”。选择“管理IP 筛选器列表”标签,在“ IP 筛选器列表”下的文本框下面能看到三个按钮:“添加”、“编辑”和“删除”。 2、点“添加”按钮,打开叫做“ IP筛选器列表”的对话框,里面有三个文本框,从上到下分别是:“名称”、“描述”和“筛选器”。在“名称”和“描述”文本框右边,能看到“添加”、“编辑”和“删除”三个按钮(对没有内容的筛选器而言,它的 “编辑”和“删除”按钮不可用),在这三个按钮下有一个复选框,复选框后面有“使用‘添加向导'”这样的文本说明。 3、取消默认的对“使用‘添加向导'”的勾选,在“名称”下面的文本框中把默认的“新IP 筛选器列表”修改成下面要建立的筛选器列表的名称,我们这里先输入: “病毒常驻端口”,在“描述”下面的空白文本框中输进去“病毒常驻端口”后面的全部

组策略命令(全)

组策略命令大全(全) 如何打开组策略编辑器? 答:运行里输入gpedit.msc 系统里提示没有打开组策略这条命令? 答:1:看是不是注册表中锁住了组策略“HKEY_CURRENT_USER\Software\Microsoft\Windows \CurrentVersion\Policies\Explorer”,把“RestrictRun”的键值改为0即可。 2:开始--运行--MMC--文件--添加删除管理单元--添加--组策略--添加,后面的你应该会了。看你要开哪个策略,就添加哪个策略。 一、桌面项目设置 1、隐藏不必要的桌面图标 2、禁止对桌面的改动 3、启用或禁止活动桌面 4、给“开始”菜单减肥 5、保护好“任务栏”和“开始”菜单的设置 二、隐藏或禁止控制面板项目 1. 禁止访问“控制面板” 2、隐藏或禁止“添加/删除程序”项 3、隐藏或禁止“显示”项 三、系统项目设置 1、登录时不显示欢迎屏幕界面 2、禁用注册表编辑器 3、关闭系统自动播放功能 4、关闭Windows自动更新 5、删除任务管理器 四、隐藏或删除Windows XP资源管理器中的项目 1、删除“文件夹选项” 2、隐藏“管理”菜单项 五、IE浏览器项目设置 1、限制IE浏览器的保存功能 2、给工具栏减肥 3、在IE工具栏添加快捷方式 4、让IE插件不再骚扰你 5、保护好你的个人隐私 6、禁止修改IE浏览器的主页 7、禁用导入和导出收藏夹 六、系统安全/共享/权限设置 1、密码策略 2、用户权利指派 3、文件和文件夹设置审核

4、Windows 98访问Windows XP共享目录被拒绝的问题解决 5、阻止访问命令提示符 6、阻止访问注册表编辑工具 一、桌面项目设置 在“组策略”的左窗口依次展开“用户配置”→“管理模板”→“桌面”节点,便能看到有关桌面的所有设置。此节点主要作用在于管理用户使用桌面的权利和隐藏桌面图标。1、隐藏不必要的桌面图标 桌面上的一些快捷方式我们可以轻而易举地删除,但要删除“我的电脑”、“回收站”、“网上邻居”等默认图标,就需要依靠“组策略”了。例如要删除“我的文档”,只需在“删除桌面上的‘我的文档’图标”一项中设置即可。若要隐藏桌面上的“网上邻居”和“Internet Explorer”图标,只要在右侧窗格中将“隐藏桌面上‘网上邻居’图标”和“ 隐藏桌面上的Internet Explorer图标”两个策略选项启用即可;如果隐藏桌面上的所有图标,只要将“隐藏和禁用桌面上的所有项目”启用即可;当启用了“删除桌面上的‘我的文档’图标”和“删除桌面上的‘我的电脑’图标”两个选项以后,“我的电脑”和“我的文档”图标将从你的电脑桌面上消失了;如果在桌面上你不再喜欢“回收站”这个图标,那么也可以把它给删除,具体方法是将“从桌面删除回收站”策略项启用。 2、禁止对桌面的改动 利用组策略可达到禁止别人改动桌面某些设置的目的。“禁止用户更改‘我的文档’路径”项可防止用户更改“我的文档”文件夹的路径。“禁止添加、拖、放和关闭任务栏的工具栏”项可阻止用户从桌面上添加或删除任务栏。双击启用“退出时不保存设置”后,用户将不能保存对桌面的更改。最后,双击启用“隐藏和禁用桌面上的所有项目”设置项,将从桌面上删除图标、快捷方式以及其他默认的和用户定义的所有项目,连桌面右键菜单都将被禁止。 3、启用或禁止活动桌面 利用“Active Desktop”项,可根据自己的需要设置活动桌面的各种属性。“启用活动桌面”项可启用活动桌面并防止用户禁用它。“活动桌面墙纸”项可指定在所有用户的桌面上显示的桌面墙纸。而启用“不允许更改”项便可防止用户更改活动桌面配置。 4、给“开始”菜单减肥 Windows XP的“开始”菜单的菜单项很多,可通过组策略将不需要的删除掉。提供了删除“开始”菜单中的公用程序组、“我的文档”图标、“文档”菜单、“网络连接”、“收 藏夹”菜单、“搜索”菜单、“帮助”命令、“运行”菜单、“图片收藏”图标、“我的 音乐”图标和“网上邻居”图标等策略。只要将不需要的菜单项所对应的策略启用即可。以删除开始菜单中的“我的文档”图标为例看看其具体操作方法:在右边窗口中双击“从‘开始’菜单上删除‘我的文档’图标”项,在弹出对话框的“设置”标签中点选“已启用”,然后单击“确定”,这样在“开始”菜单中“我的文档”图标将会隐藏。 5、保护好“任务栏”和“开始”菜单的设置 倘若不想随意让他人更改“任务栏”和“开始”菜单的设置,只要将右侧窗格中的“阻止更改‘任务栏和「开始」菜单’设置”和“阻止访问任务栏的上下文菜单”两个策略项启用即可。这样,当用鼠标右键单击任务栏并单击“属性”时,系统会出现一个错误消息,提示信息是某个设置禁止了这个操作。 二、隐藏或禁止控制面板项目

涉密计算机安全策略配置完整版

涉密计算机安全策略配 置 HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】

涉密计算机安全策略配置 一、物理安全防护 1、安装防盗铁门 2、安装红外报警器 3、放置密码文件柜 4、涉密电脑实行物理隔离 二、硬件相关设置 1、禁止使用无线设备(无线键盘、鼠标、网卡、红外、蓝牙、modem等); 2、未经许可不得使用视频、音频输入设备、读卡器设备、刻录设备; 3、接入红黑电源隔离插座; 4、与非密设备间隔一米以上。 三、主板BIOS相关设置 1、设置BIOS系统密码,该密码由安全保密管理员掌握; 2、设置BIOS开机密码,该密码由用户掌握; 3、BIOS最优先启动设置为硬盘启动,其余优先启动全部关闭; 四、操作系统 1、禁止安装番茄花园、雨林木风等经处理的操作系统,禁止安装Ghost版操作系统; 2、更改A d m i n i s t r a t o r用户名并设置密码,禁用Guest帐户,删除多余帐户; 3、关闭操作系统的默认共享,同时禁止设置其它共享; 4、设置屏保时间10分钟,屏保恢复需用密码; 5、不得安装《软件白名单》外的软件; 6、对操作系统与数据库进行补丁升级(每季度一次〉; 7、定期输出安全审计记录报告(每月一次) 8、清理一切私人信息:私人照片、mp3、电影等等。 9、根据规定设置系统策略,关闭非必要服务;〔见后) 五、安全保密防护软件的部署 1、安装正版杀毒软件,涉密计算机(瑞星杀毒软件),涉密中间机、非涉密中间 机(瑞星杀毒软件);杀毒软件每半个月更新一次病毒库并全盘扫描; 2、安装主机监控审计软件与介质绑定系统; 六、关闭计算机不必要的应用服务 原则:在没有特殊情况下应当关闭不必要的服务。如果有特殊需求,应当主动申请提出。 详细配置说明

系统无法打开组策略进行配置怎么解决

系统无法打开组策略进行配置怎么解决 组策略可以对计算机进行各种配置。最近有XP用户反馈,电脑的组策略遇到不能启动的情况,这是怎么回事呢?可能是某些功能被禁用了,下面请看具体的解决方法。 步骤如下: 1、在启动计算机时按F8键,在“Windows高级选项菜单”操作界面中选择“带命令行提示的安全模式”,进入系统,然后单击“开始→运行”,输入“cmd”,在“命令提示符”对话框中输入“mmc.exe”并回车打开“控制台”,依次单击“文件→添加/删除管理单元→添加”按钮,选中“组策略对象编辑器→添加”按钮,然后单击“完成”按钮。 2、接下来在“控制台”对话框里选择“‘本地计算机’策略”并单击“添加”按钮,然后进去把“只运行许可的Windows运用程序”策略禁用。

3、另外一种情况就是连安全模式也进不去了,这时我们可以进入“故障恢复控制台”,用CD命令依次进入“C:\WINDOWS\system32\GroupPolicy”目录,运行“del/f/q gpt.ini”命令,将组策略的配置文件gpt.ini删除,然后重新启动计算机即可恢复。 相关阅读:电脑无法开机、黑屏的故障排解 很多时候我们会遇到按动计算机POWER键后,计算机无法启动,没有任何开机自检或进入操作系统的现象,常常使用户无法处理和影响正常使用。在此我们对常见的故障现象、分析和解决方法做简单分析,希望对遇到此类问题的用户有所帮助。 按动POWER键后无任何反映 故障现象:开机后屏幕没有任何显示,没有听到主板喇叭的“滴”声。 故障分析:主板COMS芯片内部BIOS数据被CIH病毒或静电等问题损坏损坏,无法读取,系统启动无法完成自检,所以无法

windows命令大全

Windows命令大全 1. gpedit.msc-----组策略 2. sndrec32-------录音机 3. Nslookup-------IP地址侦测器 4. explorer-------打开资源管理器 5. logoff---------注销命令 6. tsshutdn-------60秒倒计时关机命令 7. lusrmgr.msc----本机用户和组 8. services.msc---本地服务设置 9. oobe/msoobe /a----检查XP是否激活 10. notepad--------打开记事本 11. cleanmgr-------垃圾整理 12. net start messenger----开始信使服务 13. compmgmt.msc---计算机管理 14. net stop messenger-----停止信使服务 15. conf-----------启动netmeeting 16. dvdplay--------DVD播放器 17. charmap--------启动字符映射表 18. diskmgmt.msc---磁盘管理实用程序 19. calc-----------启动计算器 20. dfrg.msc-------磁盘碎片整理程序

21. chkdsk.exe-----Chkdsk磁盘检查 22. devmgmt.msc--- 设备管理器 23. regsvr32 /u *.dll----停止dll文件运行 24. drwtsn32------ 系统医生 25. rononce -p ----15秒关机 26. dxdiag---------检查DirectX信息 27. regedt32-------注册表编辑器 28. Msconfig.exe---系统配置实用程序 29. rsop.msc-------组策略结果集 30. mem.exe--------显示内存使用情况 31. regedit.exe----注册表 32. winchat--------XP自带局域网聊天 33. progman--------程序管理器 34. winmsd---------系统信息 35. perfmon.msc----计算机性能监测程序 36. winver---------检查Windows版本 37. sfc /scannow-----扫描错误并复原 38. taskmgr-----任务管理器(2000/xp/2003 39. winver---------检查Windows版本 40. wmimgmt.msc----打开windows管理体系结构(WMI) 41. wupdmgr--------windows更新程序 42. wscript--------windows脚本宿主设置

操作系统的安全策略基本配置原则

操作系统的安全策略基 本配置原则 集团企业公司编码:(LL3698-KKI1269-TM2483-LUI12689-ITT289-

操作系统的安全策略基本配置原则安全配置方案中级篇主要介绍操作系统的安全策略配置,包括十条基本配置原则: (1)操作系统安全策略,(2)关闭不必要的服务(3)关闭不必要的端口,(4)开启审核策略(5)开启密码策略,(6)开启帐户策略,(7)备份敏感文件,(8)不显示上次登陆名,(9)禁止建立空连接(10)下载最新的补丁 1操作系统安全策略 利用Windows2000的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器的安全策略.在管理工具中可以找到"本地安全策略".可以配置四类安全策略:帐户策略,本地策略,公钥策略和IP安全策略.在默认的情况下,这些策略都是没有开启的. 2关闭不必要的服务 Windows2000的TerminalServices(终端服务)和IIS(Internet信息服务)等都可能给系统带来安全漏洞.为了能够在远程方便的管理服务器,

很多机器的终端服务都是开着的,如果开了,要确认已经正确的配置了终端服务. 有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务.要留意服务器上开启的所有服务并每天检查.Windows2000可禁用的服务服务名说明 ComputerBrowser维护网络上计算机的最新列表以及提供这个列表Taskscheduler允许程序在指定时间运行RoutingandRemoteAccess在局域网以及广域网环境中为企业提供路由服务Removablestorage管理可移动媒体,驱动程序和库RemoteRegistryService允许远程注册表操作PrintSpooler将文件加载到内存中以便以后打印.要用打印机的用户不能禁用这项服务IPSECPolicyAgent管理IP安全策略以及启动 ISAKMP/Oakley(IKE)和IP安全驱动程序DistributedLinkTrackingClient当文件在网络域的NTFS卷中移动时发送通知Com+EventSystem提供事件的自动发布到订阅COM组件。 3关闭不必要的端口 关闭端口意味着减少功能,如果服务器安装在防火墙的后面,被入侵的机会就会少一些,但是不可以认为高枕无忧了.用端口扫描器扫描系统

Windows7本地安全策略

广东XXXX职业学院 计算机工程技术学院(软件学院) 实验报告 专业计算机网络技术班级XXX 成绩评定______ 学号XX 姓名XXX (合作者____号____) 教师签名XX 实验八题目本地安全策略第九周星期二第节 一、实验目的与要求(此栏实验前由老师填写) ◆创建和验证多重本地组策略的设置; ◆配置本地安全策略设置。 二、实验环境及方案(此栏实验前由老师填写) 实验环境: 主机硬件配置至少1G内存,15G以上的空余硬盘空间,然后要求在主机上安装Oracle VM VirtualBox 4.1.8,利用它配置至少一台虚拟机,安装windows 7企业版客户机,并准备好相应的windows 7安装盘或对应ISO文件。 实验说明: 1.计算机启动时所启动的操作系统称为主机,在虚拟机上安装的操作系统称 为客户机; 2.启动客户机后,如果想操作客户机,只需用鼠标点击客户机桌面就可以; 如果要回到主机操作,可以按下键盘右边ctrl键。 3.也可以通过安装增强功能来实现在主机与客户机之间自由地切换 4.客户机的管理员kgy帐号的登录密码:P@ssw0rd 5.实验所需的各种资料在共享文件夹中找

6.请把实验过程的关键操作屏幕的图片剪切下来,贴在相应实验内容后面, 以备检查。(截屏方法:如果要截全屏,直接按屏幕打印键;如果只截当前屏幕,请按Alt+屏幕打印键) 7.完成后,请将实验结果文件命名为:“班内序号_姓名_第几次实验”,如张 三班内序号为18号、实验一的结果文件可命名为:“18_张三_1.doc” ;再如李四班内序号为8号、实验六的结果文件可命名为:“08_李四_6.doc” 三、实验内容(将每项实验内容的具体操作步骤及相关截图存放于实验结果 栏中) (一)创建和验证多重本地组策略的设置 1、以administrator登录计算机,创建自定义管理控制台,分别选择本地计算机、Administrators和非管理员为组策略对象,保存到桌面并命名为Multiple Local Group Policy Editor; 2、配置本地计算机策略 ●在本地计算机策略中配置windows登录脚本,添加一个登录脚本文件, 脚本文件名称为computerscript.vbs,脚本内容为msgbox “Default Computer Policy”; 3、配置本地计算机管理员策略 ●在本地计算机\Administrators策略中配置windows登录脚本,添加一个 登录脚本文件,脚本文件名称为administratorscript.vbs,脚本内容为msgbox “Default Administrator’s Policy”; 4、配置本地计算机非管理员策略 ●在本地计算机\非管理员策略中配置windows登录脚本,添加一个登录

无法设置共享文件的解决办法

文件打印机共享:你可能把系统服务禁用了.这个服务地作用:“支持此计算机通过网络地文件、打印、和命名管道共享.如果服务停止,这些功能不可用.如果服务被禁用,任何直接依赖于此服务地服务将无法启动.” 其实,如果你是家用,完全应该关闭这项服务,否则会对你地计算机构成威胁. 如果确实想用文件共享,通过控制面板、管理工具、服务,打开上述服务,重启,就可以设置文件和打印机共享了. 一、简单文件共享 打开简单文件共享很简单,只要右键点击驱动器或者文件夹,然后选择属性,出现如下图所 我们只要选中在网络中共享这个文件夹.共享以后,“允许网络用户更改我地文件”这一项是默认打开地,所以没有特殊必要地话,我们必须把它前面地勾去掉共享驱动器会先出现一些安全提示,如下图: 然后点击共享驱动器,就会出现如图一一样地设置. 开启帐户 这一步很重要,默认帐户是没有开启地,如下图: 要允许网络用户访问这台电脑,必须打开帐户.依次执行"开始-设置-控制面板-管理工具-计算机管理-本地用户和组-用户"在右边地账号上单击右键,选"属性"然后去掉"账号已停用"选择,用网络用户登陆,用户名密码同在下刚输入地就行. 如果还是不能访问,可能是本地安全策略限制该用户不能访问.在启用了用户或者本地有相应账号地情况下,点击"开始设置控制面板计算机管理本地安全策略"打开"本地安全指派拒绝从网络访问这台计算机"地用户列表中如果看到或者相应账号请删除设置简单文件共享,网络上地任何用户都可以访问,无须密码,简单明了. 二、高级文件共享 地高级文件共享是通过设置不同地帐户,分别给于不用地权限,即设置(,访问控制列表)来规划文件夹和硬盘分区地共享情况达到限制用户访问地目地. 第一、禁止简单文件共享: 首先打开一个文件夹,在菜单栏地“工具”,“文件夹选项”,“查看”地选项卡,在高级设置里,去掉“使用简单文件共享(推荐)”,如下图: 光是这样并不能启动高级文件共享,这只是禁用了简单文件共享,还必须启用帐户,设置权限,才能达到限制访问地问题.

电脑系统指令大全(史上最全)..-共13页

电脑系统指令大全(史上最全)winver---------检查Windows版本 wmimgmt.msc----打开windows管理体系结构(WMI) wupdmgr--------windows更新程序 wscript--------windows脚本宿主设置 write----------写字板 winmsd---------系统信息 wiaacmgr-------扫描仪和照相机向导 winchat--------XP自带局域网聊天 mem.exe--------显示内存使用情况 Msconfig.exe---系统配置实用程序 mplayer2-------简易widnows media player mspaint--------画图板 mstsc----------远程桌面连接 mplayer2-------媒体播放机 magnify--------放大镜实用程序 mmc------------打开控制台 mobsync--------同步命令 dxdiag---------检查DirectX信息 drwtsn32------ 系统医生 devmgmt.msc--- 设备管理器 dfrg.msc-------磁盘碎片整理程序 diskmgmt.msc---磁盘管理实用程序 dcomcnfg-------打开系统组件服务 ddeshare-------打开DDE共享设置 dvdplay--------DVD播放器 net stop messenger-----停止信使服务 net start messenger----开始信使服务 notepad--------打开记事本 nslookup-------网络管理的工具向导 ntbackup-------系统备份和还原 narrator-------屏幕“讲述人” ntmsmgr.msc----移动存储管理器 ntmsoprq.msc---移动存储管理员C作请求 netstat -an----(TC)命令检查接口 syncapp--------创建一个公文包 sysedit--------系统配置编辑器

相关文档
相关文档 最新文档