22本地安全策略(上)

实验22 本地安全策略（上）

【实验目的】

1)掌握帐户策略的设置。

2)掌握本地策略的设置。

【实验环境】

具有Windows2000 Server的计算机、局域网环境。

【实验重点及难点】

重点：掌握帐户策略、本地策略的设置。

难点：实验过程中，切实理学会如何实际应用Win 2000本地安全策略。

【实验内容】

一、帐户策略的设置。

1、设置密码策略（使我们的系统密码相对安全，不易破解）。

1）打开”开始”菜单→”程序”→”管理工具”→”本地安全策略”→”帐户策略”→”

密码策略”(如图22-1),设置密码长度最小值为2个字符，密码最短存留期为

2天，密码最长存留期为50天。启用密码必须符合复杂性要求(如图22-2)。

图22-1

图22-2

更改密码，设置Administrator帐号密码为空，或者设置密码为单一数字，则弹出如下对话框（图22-3）。

图22-3

2）完成。

2、设置帐户锁定策略（可以抵御网络用户通过枚举入侵自己计算机）。

1）打开”开始”菜单→”程序”→”管理工具”→”本地安全策略”→”帐户策略”→”帐户锁定策略”(如图22-4)。

图22-4

2）设置”复位账户锁定计数器”为30分钟之后，“账户锁定时间”为30分钟，”

账户锁定阈值”为5次无效登陆。（如图22-5）。

图22-5

3)此时，注销自己计算机，连续5次输入密码错误，此时自己电脑被锁定，禁

止输入密码，并且锁定时间为30分钟。

4）完成。

二、本地策略的设置。

1、设置审核策略（可以获取用户对本计算机的操作历史进行审核）。

审核登陆事件：用户在本机的登陆。

审核对象访问：用户对对象的访问（如文件、文件夹控制面板等）。

审核系统事件：系统的启动、注销和关机，以及涉及到安全性的一些事件。

审核帐户登陆事件：用户在其他计算机上登陆，在本计算机上进行验证。

审核帐户管理：涉及到帐户的管理，如新建用户和组，修改密码、重命名用户和组等。

1）打开”开始”菜单→”程序”→”管理工具”→”本地安全策略”→”本地策略”→”审核策略”(如图22-6)。

图22-6

2）设置审核登陆事件和审核系统事件都为成功和失败（如图22-7）。

图22-7

3）注销自己计算机，打开”开始”菜单→”程序”→”管理工具”→”计算机管理”→”事件查看器”→”安全性”(如图22-8)。

图22-8

4）把清除事件管理器日志文件，注销自己计算机，查看（图22-9）。

图22-9

5）完成。

2、设置用户权利指派。

设置禁止所有用户更改密码

1）（在用户权利指派中可以通过设置，确保系统安全）。打开”开始”菜单→”程序”→”管理工具”→”本地安全策略”→”本地策略”→”用户权利指派”(如图22-10,图22-11)。

图22-10

4）双击更改系统时间，勾掉更改系统时间（如图22-12）,点击确定。

图22-12

5）注销自己计算机,双击本计算机任务栏的时间项。则弹出如下对话框（如图22-13）。

图22-13

6）完成。

设置禁止关机。

1）打开”开始”菜单→”程序”→”管理工具”→”本地安全策略”→”本地策略”→”用户权利指派”(如图22-10,图22-11)。选择开始菜单→关机。则弹出如下对话框（如图22-14）。可以对电脑进行关机操作。

图22-14

2）双击关闭系统，勾掉关闭系统（如图6-15）,点击确定。

图22-15

3) 注销自己计算机,选择开始菜单 关机。则弹出如下对话框（如图22-16）。不能对自己电脑进行关机。

图22-16

4）完成。

【课后练习】

1、设置密码长度最小值为3个字符，密码最短存留期为4天，密码最长存留期为40天。启用密码必须符合复杂性要求。截屏保存为22-1.bmp。设置密码为11，查看更改后图片，截屏保存为22-2.bmp。

2、设置”复位账户锁定计数器”为20分钟之后，“账户锁定时间”为20分钟，”账户锁定阈值”为3次无效登陆。截屏保存为22-3.bmp。用该帐号等录系统，输入4次错误密码。

3、设置禁止从远端系统强制关机，截屏保存为22-4.bmp,在另一台电脑用关机命名关闭本计算机，则关闭不成功。

本地安全策略无法打开

本地安全策略无法打开 打开管理工具中[本地安全策略]时出现“管理单 元初始化失败”或“创建管理单元失败”的错误提示，然后 给了个“ CLSID:{8FC0B734-A0E1-11D1-A7D3- 0000F87571E3} ”的提示, 将位于%windir%\system32\wbem下的framedyn.dll拷贝至%windir%\system32 后，注册regsvr32 gpedit.dll和regsvr32 filemgmt.dll这两个文件如果都成功了，打开本地安全策略试试，如果不行按照下面的方法操作。 解决本地安全策略打不开的方法一： 1、解决的前提条件： 一是解决好系统的配置环境问题，由于安装软件导致系 统环境path被修改，所以需要改回来，方法是，打开系统 属性-高级-环境变量-修改path，值得说明的是xp不同版本 的稍有不同，大家可以打开相似的按钮看一下就找到了，修 改是比较简单的，只要在原来的path路径后面继续增加路 径就可以了，先加一分号“;”然后输入引号中的“% systemroot%\system32;%systemroot%;%systemroot% system32%\wbem”,你也可以增加类似的路径，这里就不多 说了。 二是确保两个文件的存在，如果没有可以拷贝到 windows目录下的system32目录下，这两个文件是

gpedit.msc和secpol.msc 。 2、如何调用，这里是很重要的一步,因为虽然该改的都改 了，该加的都加上了，但是目前为止还没有让将它们联系在 一起，或者说还没有注册到系统里. 不过不用担心，下面的步骤就可以解决这个难题了。 点-开始-运行-输入gpedit.msc-点确定，如果没有执 行，那么就直接去windows目录下的system32目录中直 接打开它好了。 然后，打开[控制面板]中的[本地安全策略]图标，你会发 现竟然出现了[计算机配置]，双击[计算机配置]，久违的 [安全设置]下面出现了[本地策略]。如果你喜欢修改下布 局，你还可以将右面的策略项排列成列表或详细信息等方 式。 解决本地安全策略打不开的方法二： 运行\ regedit\找到 HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC 将RestrictToPermittedSnapins 的值设置为 0，如果MMC 找不到可以这样： 直接将下面内容复制粘贴进入记事本，并保存为后缀名为.reg的文件，双击运行该.reg文件即可。 Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Policies\Microsoft\MMC] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Policies\Microsoft\MMC\{8FC0B734-A0E1-11D1-A7D3-0000F87571E3}] "Restrict_Run"=dword:00000000 [HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC] [-HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC\{8FC0B734-A0E1-11D1-A7D3-0000F87571E3}] "Restrict_Run"=dword:00000000

操作系统的安全策略基本配置原则(最新版)

操作系统的安全策略基本配置 原则(最新版) Safety management is an important part of enterprise production management. The object is the state management and control of all people, objects and environments in production. ( 安全管理 ) 单位：______________________ 姓名：______________________ 日期：______________________ 编号：AQ-SN-0307

操作系统的安全策略基本配置原则(最新 版) 安全配置方案中级篇主要介绍操作系统的安全策略配置,包括十条基本配置原则: (1)操作系统安全策略,(2)关闭不必要的服务(3)关闭不必要的端口,(4)开启审核策略(5)开启密码策略,(6)开启帐户策略,(7)备份敏感文件,(8)不显示上次登陆名,(9)禁止建立空连接(10)下载最新的补丁 1操作系统安全策略 利用Windows2000的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器的安全策略.在管理工具中可以找到"本地安全策略".可以配置四类安

全策略:帐户策略,本地策略,公钥策略和IP安全策略.在默认的情况下,这些策略都是没有开启的. 2关闭不必要的服务 Windows2000的TerminalServices(终端服务)和IIS(Internet 信息服务)等都可能给系统带来安全漏洞.为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果开了,要确认已经正确的配置了终端服务. 有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务.要留意服务器上开启的所有服务并每天检查.Windows2000可禁用的服务服务名说明 ComputerBrowser维护网络上计算机的最新列表以及提供这个列表Taskscheduler允许程序在指定时间运行RoutingandRemoteAccess在局域网以及广域网环境中为企业提供路由服务Removablestorage管理可移动媒体,驱动程序和库RemoteRegistryService允许远程注册表操作PrintSpooler将文件加载到内存中以便以后打印.要用打印机的用户不能禁用这项服务

windows安全策略.

Windows安全策略“软件”防火墙 来源：互联网作者：无名不来发表日期：2008-8-28 16:52:54 阅读次数：16 在互联网越来越普及的今天，互联网安全问题日益严重，木马病毒横行网络。大多数人会选择安装杀毒软件和防火墙，不过杀毒软件对病毒反应的滞后性使得他心有余而力不足，只有在病毒已经造成破坏后才能被发现并查杀。在这种情况下，HIPS（主动防御系统）软件越来越流行，依靠设定各种各样的规则来限制病毒木马的运行和传播，由于HIPS是基于行为分析的，这使得它对未知病毒依然有效，不过软件兼容性问题也比普通的杀毒软件要严峻的多。 网络上有一种人，他们不装任何杀毒软件和防火墙，自由奔走在互联网上，称之为“裸奔”族。不过他们也分许多不同的种类，有的是电脑不设任何防护，也不放任何重要资料，一旦中毒就重装系统；而另一种则是依托Windows系统本身的安全机制来抵御病毒的入侵，显然这种方法要可靠的多。 其实大多数人都忽略了Windows系统本身的功能，认为Windows弱不禁风。其实只要设置好，Windows就是非常强大的安全防护软件。这篇文章的主角就是WindowsXP Pro里自带的安全策略功能。打开安全策略很简单，直接双击控制面板管理工具里的本地安全策略即可，这里我们重点讲其中的软件限制策略。 正如其名，这里可以限制软件的运行，至于如何限制，那就要看你的策略怎么定了。如果以前未设置过安全策略，那么在软件限制策略上右键新建策略后会出现下级菜单： 其他地方我们都不用管，其它规则才是由我们发挥的地方，这里规则制定的好坏直接关系到你的电脑的安全程度。点击其他策略，我们可以看到微软已经帮我们预设了4条规则（如下图） 这4条规则是用来保证Windows运行所必须的程序不会被禁用而设的，如果你确定你的规则没有问题，这四条规则删掉也没有问题。接下去在其他规则上右键， [1] [2] [3] [4] [5] [6] [7] [8] 下一页

解决局域网共享问题,提示：无法访问.你可能没有权限使用网络资源

默认情况下，Windows XP的本地安全设置要求进行网络访问的用户全部采用来宾方式。同时，在Windows XP安全策略的用户权利指派中又禁止Guest用户通过网络访问系统。这样两条相互矛盾的安全策略导致了网内其他用户无法通过网络访问使用Windows XP的计算机。你可采用以下方法解决. 方法一：解除对Guest账号的限制 点击“开始→运行”，在“运行”对话框中输入“GPEDIT.MSC”（或者输入：secpol.msc，打开本地安全设 置），打开组策略编辑器，依次选择“计算机配置→Windows设置→安全设置→本地策略→用户权利指派”，双击“拒绝从网络访问这台计算机”策略，删除里面的“GUEST”账号。这样其他用户就能够用Guest 账号通过网络访问使用Windows XP系统的计算机了。 方法二：更改网络访问模式 打开组策略编辑器，依次选择“计算机配置→Windows设置→安全设置→本地策略→安全选项”，双击“网络访问：本地账号的共享和安全模式”策略，将默认设置“仅来宾?本地用户以来宾身份验证”，更改为“经典：本地用户以自己的身份验证”。 现在，当其他用户通过网络访问使用Windows XP的计算机时，就可以用自己的“身份”进行登录了（前提是Windows XP中已有这个账号并且口令是正确的）。 3、将安全选项中的使用空密码的本地账户只允许控制台登录改为已禁用。原来在“安全选项”中有一个“账户：使用空白密码的本地账户只允许进行控制台登录”策略默认是启用的，根据Windows XP 安全策略中拒绝优先的原则，密码为空的用户通过网络访问使用Windows XP的计算机时便会被禁止。我们只要将这个策略停用即可解决问题。 一般情况下上述方法可实现局域网之间文件共享了。倘若仍不能访问，需检查一下设置： 1、关闭防火墙，防火墙会阻止计算机之间的访问； 2、启用guest账户； 3、本地连接-属性- Microsoft网络的文件和打印机共享； 4、我的电脑→工具→文件夹选项→查看→去掉“使用简单文件共享（推荐）”前的勾； 5、注册表：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa右边窗口 RestrictAnonymous的值是否为0； 6、检查电脑是否在工作组计算机中；右击“我的电脑”→“属性”→“计算机名”，看该选项卡 中有没有出现你的局域网工作组名称，如“workgroup”等。然后单击“网络ID”按钮，开始“网络标识向导”：单击“下一步”，选择“本机是商业网络的一部分，用它连接到其他工作着的计算机”；单击“下一步”，选择“公司使用没有域的网络”；单击“下一步”按钮，然后输入你的局域网的工作组名，如“work”，再次单击“下一步”按钮，最后单击“完成”按钮完成设置。 7、Server服务是否启动；运行-services.msc- 找到"server"服务，启动该服务即可； 8、设置密码访问的方法改下以下设置即可: （1）.开始-运行secpol.msc -本地策略-安全选项-在右边找到“网络访问：本地用户的共享和安全模式-属性-改成”仅来宾-本地用户以来宾身份验证“确定。

配置本地安全策略

配置本地安全策略端口的保护 IP 安全策略设置方法 一、适用范围： 它适用于2000以上Windows系统的专业版；对家庭版的用户可以看一下是不是能通过：控制台（运行mm）-文件-添加/删除管理单元-添加-添加独立单元，添加上“ IP 安全策略管理”，如行的话则可在左边的窗口中看到“ IP 安全策略，在本地计算机”了，接下来的操作就跟专业版一样了。 二、找到“ IP 安全策略，在本地计算机”： “IP 安全策略，在本地计算机”选项在“本地安全设置”下，所以要找到它就打开“本地安全设置”的方法，主要采用以下两种方法来打开：1是点“开始”-“运行” -输入 secpol.msc ，点确定；2 是“控制面板”-“管理工具”-“本地安全策略”。打开“本地安全策略”对话框就能在左边的窗口中看到“ IP 安全策略，在本地计算机”了。右击它，在它的下级菜单中能看到“创建IP 安全策略”和“管理IP 筛选器表和筛选器操作”等菜单（也可以在此级菜单中的“所有任务”项的下级菜单中看到上面的两个菜单）。 三、建立新的筛选器： 1、在“ IP 安全策略，在本地计算机”的下级菜单中选择“管理IP 筛选器和筛选器操作”菜单，打开“管理IP 筛选器和筛选器操作”对话框，里面有两个标签：“管理IP 筛选器列表”和“管理筛选器操作”。选择“管理IP 筛选器列表”标签，在“ IP 筛选器列表”下的文本框下面能看到三个按钮：“添加”、“编辑”和“删除”。 2、点“添加”按钮，打开叫做“ IP筛选器列表”的对话框，里面有三个文本框，从上到下分别是：“名称”、“描述”和“筛选器”。在“名称”和“描述”文本框右边，能看到“添加”、“编辑”和“删除”三个按钮（对没有内容的筛选器而言，它的 “编辑”和“删除”按钮不可用），在这三个按钮下有一个复选框，复选框后面有“使用‘添加向导'”这样的文本说明。 3、取消默认的对“使用‘添加向导'”的勾选，在“名称”下面的文本框中把默认的“新IP 筛选器列表”修改成下面要建立的筛选器列表的名称，我们这里先输入： “病毒常驻端口”，在“描述”下面的空白文本框中输进去“病毒常驻端口”后面的全部

操作系统的安全策略基本配置原则(正式)

编订：__________________ 单位：__________________ 时间：__________________ 操作系统的安全策略基本配置原则(正式) Standardize The Management Mechanism To Make The Personnel In The Organization Operate According To The Established Standards And Reach The Expected Level. Word格式 / 完整 / 可编辑

文件编号：KG-AO-8263-70 操作系统的安全策略基本配置原则 (正式) 使用备注：本文档可用在日常工作场景，通过对管理机制、管理原则、管理方法以及管理机构进行设置固定的规范，从而使得组织内人员按照既定标准、规范的要求进行操作，使日常工作或活动达到预期的水平。下载后就可自由编辑。 安全配置方案中级篇主要介绍操作系统的安全策略配置,包括十条基本配置原则: (1)操作系统安全策略,(2)关闭不必要的服务 (3)关闭不必要的端口, (4)开启审核策略(5)开启密码策略, (6)开启帐户策略,(7)备份敏感文件,(8)不显示上次登陆名,(9)禁止建立空连接(10)下载最新的补丁 1 操作系统安全策略 利用Windows 2000的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器的安全策略.在管理工具中可以找到"本地安全策略".可以配置四类安全策略:帐户策略,本地策略,公钥策略和IP安全策略.在默认

的情况下,这些策略都是没有开启的. 2 关闭不必要的服务 Windows 2000的Terminal Services(终端服务)和IIS(Internet 信息服务)等都可能给系统带来安全漏洞.为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果开了,要确认已经正确的配置了终端服务. 有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务.要留意服务器上开启的所有服务并每天检查.Windows2000可禁用的服务服务名说明Computer Browser维护网络上计算机的最新列表以及提供这个列表Task scheduler允许程序在指定时间运行Routing and Remote Access在局域网以及广域网环境中为企业提供路由服务Removable storage管理可移动媒体,驱动程序和库Remote Registry Service允许远程注册表操作Print Spooler将文件加载到内存中以便以后打印.要用打印机的用户不能禁用这项服务IPSEC Policy Agent管

Windows安全配置规范

Windows 安全配置规范 2010年11月

第1章概述 1.1适用范围 本规范明确了Windows操作系统在安全配置方面的基本要求，可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。 适用于中国电信所有运行的Windows操作系统，包括Windows 2000、Windows XP、Windows2003, Windows7 , Windows 2008以及各版本中的Sever、Professional版本。 第2章安全配置要求 2.1账号 编号：1 要求内容应按照不同的用户分配不同的账号，避免不同用户间共享账号，避 免用户账号和设备间通信使用的账号共享。 操作指南1、参考配置操作 进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用 户和组”： 根据系统的要求，设定不同的账户和账户组。 检测方法1、判定条件 结合要求和实际业务情况判断符合要求，根据系统的要求，设定不 同的账户和账户组 2、检测操作 进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用 户和组”：

查看根据系统的要求，设定不同的账户和账户组编号：2 要求内容应删除与运行、维护等工作无关的账号。 操作指南1．参考配置操作 A）可使用用户管理工具： 开始-运行-compmgmt.msc-本地用户和组-用户B）也可以通过net命令： 删除账号：net user account/de1 停用账号：net user account/active:no 检测方法1.判定条件 结合要求和实际业务情况判断符合要求，删除或锁定与设备运行、维护等与工作无关的账号。 注：主要指测试帐户、共享帐号、已经不用账号等 2.检测操作 开始-运行-compmgmt.msc-本地用户和组-用户 编号：3 要求内容重命名Administrator；禁用guest（来宾）帐号。 操作指南1、参考配置操作 进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用 户和组”： Administrator－>属性－> 更改名称 Guest帐号->属性－> 已停用 检测方法1、判定条件 缺省账户Administrator名称已更改。 Guest帐号已停用。 2、检测操作 进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用 户和组”： 缺省帐户－>属性－> 更改名称

系统无法打开组策略进行配置怎么解决

系统无法打开组策略进行配置怎么解决 组策略可以对计算机进行各种配置。最近有XP用户反馈，电脑的组策略遇到不能启动的情况，这是怎么回事呢?可能是某些功能被禁用了，下面请看具体的解决方法。 步骤如下： 1、在启动计算机时按F8键，在“Windows高级选项菜单”操作界面中选择“带命令行提示的安全模式”，进入系统，然后单击“开始→运行”，输入“cmd”，在“命令提示符”对话框中输入“mmc.exe”并回车打开“控制台”，依次单击“文件→添加/删除管理单元→添加”按钮，选中“组策略对象编辑器→添加”按钮，然后单击“完成”按钮。 2、接下来在“控制台”对话框里选择“‘本地计算机’策略”并单击“添加”按钮，然后进去把“只运行许可的Windows运用程序”策略禁用。

3、另外一种情况就是连安全模式也进不去了，这时我们可以进入“故障恢复控制台”，用CD命令依次进入“C:\WINDOWS\system32\GroupPolicy”目录，运行“del/f/q gpt.ini”命令，将组策略的配置文件gpt.ini删除，然后重新启动计算机即可恢复。 相关阅读：电脑无法开机、黑屏的故障排解 很多时候我们会遇到按动计算机POWER键后，计算机无法启动，没有任何开机自检或进入操作系统的现象，常常使用户无法处理和影响正常使用。在此我们对常见的故障现象、分析和解决方法做简单分析，希望对遇到此类问题的用户有所帮助。 按动POWER键后无任何反映 故障现象：开机后屏幕没有任何显示，没有听到主板喇叭的“滴”声。 故障分析：主板COMS芯片内部BIOS数据被CIH病毒或静电等问题损坏损坏，无法读取，系统启动无法完成自检，所以无法

Windows7本地安全策略

广东XXXX职业学院 计算机工程技术学院(软件学院) 实验报告 专业计算机网络技术班级XXX 成绩评定______ 学号XX 姓名XXX (合作者____号____) 教师签名XX 实验八题目本地安全策略第九周星期二第节 一、实验目的与要求（此栏实验前由老师填写） ◆创建和验证多重本地组策略的设置； ◆配置本地安全策略设置。 二、实验环境及方案（此栏实验前由老师填写） 实验环境： 主机硬件配置至少1G内存，15G以上的空余硬盘空间，然后要求在主机上安装Oracle VM VirtualBox 4.1.8，利用它配置至少一台虚拟机，安装windows 7企业版客户机，并准备好相应的windows 7安装盘或对应ISO文件。 实验说明： 1.计算机启动时所启动的操作系统称为主机，在虚拟机上安装的操作系统称 为客户机； 2.启动客户机后，如果想操作客户机，只需用鼠标点击客户机桌面就可以； 如果要回到主机操作，可以按下键盘右边ctrl键。 3.也可以通过安装增强功能来实现在主机与客户机之间自由地切换 4.客户机的管理员kgy帐号的登录密码：P@ssw0rd 5.实验所需的各种资料在共享文件夹中找

6.请把实验过程的关键操作屏幕的图片剪切下来，贴在相应实验内容后面， 以备检查。（截屏方法：如果要截全屏，直接按屏幕打印键；如果只截当前屏幕，请按Alt+屏幕打印键） 7.完成后，请将实验结果文件命名为：“班内序号_姓名_第几次实验”，如张 三班内序号为18号、实验一的结果文件可命名为：“18_张三_1.doc” ；再如李四班内序号为8号、实验六的结果文件可命名为：“08_李四_6.doc” 三、实验内容（将每项实验内容的具体操作步骤及相关截图存放于实验结果 栏中） （一）创建和验证多重本地组策略的设置 1、以administrator登录计算机，创建自定义管理控制台，分别选择本地计算机、Administrators和非管理员为组策略对象，保存到桌面并命名为Multiple Local Group Policy Editor； 2、配置本地计算机策略 ●在本地计算机策略中配置windows登录脚本，添加一个登录脚本文件， 脚本文件名称为computerscript.vbs，脚本内容为msgbox “Default Computer Policy”； 3、配置本地计算机管理员策略 ●在本地计算机\Administrators策略中配置windows登录脚本，添加一个 登录脚本文件，脚本文件名称为administratorscript.vbs，脚本内容为msgbox “Default Administrator’s Policy”； 4、配置本地计算机非管理员策略 ●在本地计算机\非管理员策略中配置windows登录脚本，添加一个登录

无法设置共享文件的解决办法

文件打印机共享：你可能把系统服务禁用了.这个服务地作用：“支持此计算机通过网络地文件、打印、和命名管道共享.如果服务停止，这些功能不可用.如果服务被禁用，任何直接依赖于此服务地服务将无法启动.” 其实，如果你是家用，完全应该关闭这项服务，否则会对你地计算机构成威胁. 如果确实想用文件共享，通过控制面板、管理工具、服务，打开上述服务，重启，就可以设置文件和打印机共享了. 一、简单文件共享 打开简单文件共享很简单，只要右键点击驱动器或者文件夹，然后选择属性，出现如下图所 我们只要选中在网络中共享这个文件夹.共享以后，“允许网络用户更改我地文件”这一项是默认打开地，所以没有特殊必要地话，我们必须把它前面地勾去掉共享驱动器会先出现一些安全提示，如下图： 然后点击共享驱动器，就会出现如图一一样地设置. 开启帐户 这一步很重要，默认帐户是没有开启地，如下图： 要允许网络用户访问这台电脑，必须打开帐户.依次执行"开始－设置－控制面板－管理工具－计算机管理－本地用户和组－用户"在右边地账号上单击右键，选"属性"然后去掉"账号已停用"选择，用网络用户登陆,用户名密码同在下刚输入地就行. 如果还是不能访问，可能是本地安全策略限制该用户不能访问.在启用了用户或者本地有相应账号地情况下，点击"开始设置控制面板计算机管理本地安全策略"打开"本地安全指派拒绝从网络访问这台计算机"地用户列表中如果看到或者相应账号请删除设置简单文件共享，网络上地任何用户都可以访问，无须密码，简单明了. 二、高级文件共享 地高级文件共享是通过设置不同地帐户，分别给于不用地权限，即设置（，访问控制列表）来规划文件夹和硬盘分区地共享情况达到限制用户访问地目地. 第一、禁止简单文件共享： 首先打开一个文件夹，在菜单栏地“工具”，“文件夹选项”，“查看”地选项卡，在高级设置里，去掉“使用简单文件共享（推荐）”，如下图： 光是这样并不能启动高级文件共享，这只是禁用了简单文件共享，还必须启用帐户，设置权限，才能达到限制访问地问题.

电脑常见问题解决办法

1．删除双IE 点开始/运行，输入regedit回车，进入注册表编辑器，依次展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop \NameSpace 在NameSpace分支下可以找到“未使用的桌面快捷方式”中三个文件的名称，我们要删除它们。 IE浏览器首页被网址导航恶意更改了，而且无法删除？？？？ 1.先把自己想要的网址设为主页（我知道打开后还是那个傻瓜网址，没关系） 2.把自己在桌面上IE图标删掉，系统会问你是不是只删快捷方式？按“是” 3.把“开始”打开，你应该会看到一个IE的标志（如果没有就看“解决1”），把它复制到桌面上，再打开看看。变成你想要个那个网址了！ 解决1.如果没有IE的话就用右键点击“开始”图标，按“属性”，选择“【开始】菜单”不要选择“经典【开始】菜单”。再进行“3” 2．Flash不能安装 1、卸载“Adobe Flash Player 10.x.xxx”：找到C:\WINDOWS\system32\Macromed\Flash 文件夹，点击uninstall_activeX.exe这个卸载程序进行卸载。关闭所有窗口后删除Flash文件下所有文件（特别是Flash10b.ocx）。如果不能删除Flash10b.ocx，请将电脑重新启动，所有的应用程序都不要启动，如：QQ SKYPE IE浏览器等程序。然后在网上下载一个最新版的flash插件直接安装即可。（下载flash完成后将浏览器关掉）。 3．误删资料恢复 只要三步，你就能找回你删掉并清空回收站的东西 1、单击“开始——运行，然后输入regedit （打开注册表） 2、依次展开：HEKEY——LOCAL——MACHIME/SOFTWARE/microsoft/WINDOWS/ CURRENTVERSION/EXPLORER/DESKTOP/NAMESPACE 在左边空白外点击“新建” ，选择：“主键”，把它命名为“645FFO40——5081——101B——9F08——00AA002F954E” 再把右边的“默认”的主键的键值设为“回收站”，然后退出注册表。就OK啦。 3、要重启计算机。 只要机器没有运行过磁盘整理。系统完好.任何时候的文件都可以找回来。 4．局域网共享设置 1.检查guest账户是否开启 XP默认情况下不开启guest账户，因此些为了其他人能浏览你的计算机，请启用guest账户。同时，为了安全请为guest设置密码或相应的权限。当然，也可以为每一台机器设置一个用户名和密码以便计算机之间的互相访问。 2.检查是否拒绝Guest用户从网络访问本机 当你开启了guest账户却还是根本不能访问时，请检查设置是否为拒绝guest从网络访问计算机，因为XP默认是不允许guest从网络登录的，所以即使开了guest也一样不能访问。在开启了系统Guest用户的情况下解除对Guest账号的限制，点击“开始→运行”，在“运行”

本地安全策略

本地安全策略 任务: 基于服务器安全要求,做为网络管理员,进行安全策略设置。 任务目的： 1．掌握Windows Server 2003账户策略使用方法。 2．掌握Windows Server 2003审核策略的使用方法。 3．掌握本地策略的使用方法。 任务要求: 根据安全策略特性,制定本地安全策略, 写出方案,并进行实施,实施步骤进行抓屏做为作业上交。 任务具体内容： 一、备份本地安全策略 依次打开“开始”、“程序”、“管理工具”、“本地安全策略”，右键“安全设置”，“导出策略”，输入文件名bak.inf，确定。文件名可以任选，只要你知道是它是最原始的安全策略便可。 二、恢复本地安全策略 1．在做恢复本地安全策略以前，先建立一个用户，不给口令， 应该顺利建成。 2．进入本地安全策略，右键“安全设置”，“导入策略”可以看到许多安全模板，包括你上面备份的那一个，这些安全模板是 Server 2003自带的几套，系统管理员可以不作任何更改将其

应用到系统中来，不同模板安全级别不同，作用网管员应该熟 悉这些模板，在具体工作时，你可以在这些模板的基础上，自 定义出适合具体工作场合的模板。 3．导入hisecde.inf策略，重新建一个用户，如同（1）一样，不给口令，结果？不能建用户，原因：因为本地安全策略与原 来的不同了，它使用了另外一个系统已经设置好的要求用户口 令的安全策略。 4．导入备份的本地安全策略bak.inf，导入结束后，你再从新建一个用户，结果？说明了什么？ 三、帐户策略 1.用管理员登录，新建一个user1用户，不输入密码，是否能建成？ 进入本地安全策略，再进入帐户策略，再进入密码策略，双击密码 长度最小值，输入4，退出。这时新建一个用户user2，不输入密 码，是否能建成？有什么提示？输入3位密码，结果如何？输入4 位密码，结果如何？再进入本地策略中的帐户策略，双击密码必须 符合复杂性要求，先已启用，退出。这时再新建一个用户user3， 输入密码abcd，1234，a1b2，a1b:，哪个能建成用户？从而说明密 码必须符合复杂性要求是指：该密码必须由字母、数字、符号三种 组成，缺一不可。最后复原：取消密码必须符合复杂性要求和把密 码长度最小值设为0。 2.用管理员登录，新建一个user4用户，只选下次登录时改变密码， 再建一个用户user5，输入密码：user5，只选用户不能修改密码。 分别用user4和user5登录，是否都能登录？用管理员登录，进入 安全策略，再进入密码策略，把密码最长保存期改为30天，再修 改系统时间，向后延长30天，分别用user4和user5登录，有什 么提示？能否登录？为什么？用user4用户登录，能否自己修改密 码？用管理员登录，进入安全策略，再进入密码策略，把密码最短 存留期改为60天，用user4用户登录，能否自己修改密码？用管

设备管理器等打不开提示这可能是由于文件不存在

设备管理器等打不开提示这可能是由于文件不存在，不是一个MMC控制台，或者用后来版本的MMC创建 ...... 2007/08/29 21:13 问：我在“系统属性”中想打开设备管理器时总提示“ MMC不能打开文件 C:/WINDOWS/system32/devmgmt.msc。这可能是由于文件不存在，不是一个MMC 控制台，或者用后来版本的MMC创建。也可能是由于您没有访问此文件的足够权限”。可我是以管理员的身份登录的，请问这是什么原因，该怎么办？ 答：①首先检查系统中devmgmt.msc文件是否被破坏或丢失：即进入 C:/WINDOWS/system32目录中，查看是否存在devmgmt.msc文件，如果找不到该文件，或者点击后出现文件破坏信息，则点击“开始”菜单的“运行”，输入sfc /scannow，系统会检查是否有系统文件被破坏，并修复系统文件，此过程中需要放入Windows XP安装光盘，检查完毕后重启即可；另外也可以尝试从别的相同操作系统的电脑中，拷贝出此文件放入对应目录，看看能否解决。如果还是不行，还可以尝试使用Windows XP安装光盘修复系统。 ②由于后缀名为MSC的文件实际上是XML格式的文件，它需要msxml parser 程序的编译以便系统识别，因此出现此问题时，也可以尝试重新注册一下msxml parser看是否能解决问题，方法是：在“运行”对话框中输入“regsvr32 C:/Windows/system32/msxml3.dll”，然后回车即可。 说明：Windows的system32目录下还有很多这种系统应用程序文件，例如dfrg.msc是系统自带的磁盘碎片整理工具，secpol.msc是调用系统的本地安全策略，compmgmt.msc为系统的计算机管理。如果出现类似“MMC不能打开***文件。这可能是由于文件不存在，不是一个MMC控制台……”信息，都可以使用系统自带的系统文件检查器的Windows文件保护功能检查修复。 注意：出现这种问题，可能是系统感染了病毒（对应错误信息：文件不存在，不是一个MMC控制台）或者木马（对应错误信息：您没有访问此文件的足够权限）。建议用最新版本的杀毒软件全面检查系统，防止病毒再次破坏或删除该文件。

组策略教程

一、访问组策略 1.输入gpedit.msc命令访问: 选择“开始”→“运行”(或快捷方式：Win+R)，在弹出窗口中输入“gpedit.msc”，回车后进入组策略窗口。组策略窗口的结构和资源管理器相似，左边是树型目录结构，由“计算机配置”、“用户配置”两大节点组成。这两个节点下分别都有“软件设置”、“Windows设置”和“管理模板”三个节点（如图一），节点下面还有更多的节点和设置。此时点击右边窗口中的节点或设置，便会出现关于此节点或设置的适用平台和作用描述。“计算机配置”、“用户配置”两大节点下的子节点和设置有很多是相同的，那么我们该改哪一处？“计算机配置”节点中的设置应用到整个计算机策略，在此处修改后的设置将应用到计算机中的所有用户。“用户配置”节点中的设置一般只应用到当前用户，如果你用别的用户名登录计算机，设置就不会管用了。但一般情况下建议在“用户配置”节点下修改，本文也将主要讲解“用户配置”节点的各项设置的修改，附带讲解“计算机配置”节点下的一些设置。其中“管理模板”设置最多、应用最广，因此也是本文的重中之重。 图一：

下面我们就进入“用户配置”，去细细探测它的奥秘： 1、在软件设置里面没有什么重要内容，我们省去介绍吧（不信你看看）； 2、那我们先看看“windows设置”里的内容（如图二全结构图：）：在“windows设置”的节点下有“脚本”、“安全设置”和“IE维护”三个节点，其中“脚本”下包含“登录”和“注销”两个脚本，其功能（属性）是设置“登录”和“注销”时的桌面背景！在“安全设置”里面没有什么实质内容，现我们就忽略它吧！ 《而对于“计算机配置”的“安全设置”的下节点里，多了三个小节点，其一是“密码策略”，它可以设置我们对用户的密码要求及密码保留时间等，因此，当你设置后，你的密码设置就必须符合这要求。。。。。。其二是“帐号锁定策略”，它可以设置帐号无效登录系

本地安全策略设置

实验本地安全策略设置 【实验目的】 1)掌握帐户策略的设置。 2)掌握本地策略的设置。 【实验环境】 具有Windows xp的计算机、局域网环境。 【实验重点及难点】 重点：掌握帐户策略、本地策略的设置。 难点：实验过程中，切实理学会如何实际应用XP本地安全策略。 【实验内容】 一、帐户策略的设置。 1、设置密码策略（使我们的系统密码相对安全，不易破解）。 1)打开”开始”菜单→”程序”→”管理工具”→”本地安全策略”→”帐户策略”→”密 码策略”(截图),设置密码长度最小值为2个字符，密码最短存留期为2天，密码最长存留期为50天。启用密码必须符合复杂性要求(截图)。 更改密码，设置Administrator帐号密码为空，或者设置密码为单一数字，则弹出如下对话框（截图）。 1）完成。 2、设置帐户锁定策略（可以抵御网络用户通过枚举入侵自己计算机）。 1）打开”开始”菜单→”程序”→”管理工具”→”本地安全策略”→”帐户策略”→”帐户锁定策略”(截图)。 2）设置”复位账户锁定计数器”为2分钟之后，“账户锁定时间”为2分钟，”账户锁定阈值”为5次无效登陆。（截图）。 3)此时，注销自己计算机，连续5次输入密码错误，此时自己电脑被锁定，禁 止输入密码，并且锁定时间为2分钟。 4）完成。 二、本地策略的设置。 1、设置审核策略（可以获取用户对本计算机的操作历史进行审核）。 审核登陆事件：用户在本机的登陆。 审核对象访问：用户对对象的访问（如文件、文件夹控制面板等）。 审核系统事件：系统的启动、注销和关机，以及涉及到安全性的一些事件。 审核帐户登陆事件：用户在其他计算机上登陆，在本计算机上进行验证。 审核帐户管理：涉及到帐户的管理，如新建用户和组，修改密码、重命名用户和组等。 1）打开”开始”菜单→”程序”→”管理工具”→”本地安全策略”→”本地策略”→”审核策略”(截图)。 2）设置审核登陆事件和审核系统事件都为成功和失败（截图）。

用好组策略 轻松解决局域网无法访问故障

用好组策略轻松解决局域网无法访问故障 笔者的电脑处于一个小型办公室局域网中，各台电脑通过集线器组成了对等网，并且都属于同一个工作组中。也不知道从什么时候开始，笔者突然发现虽然自己能够访问其他各台电脑的共享文件夹，可是别的电脑却没有办法读取本机已经共享的数据，当试图访问我的共享文件夹时会弹出如图1所示的提示框。奇怪的是，直接在命令行窗口下却可以ping通，这证明线路没有问题。 首先我查看了网络连接的属性，在其中可以看到“文件和打印机共享”已勾选;接下来在“用户和账户”文件夹下查看Guest账户的状态，发现其处于开启状态，并且没有设置任何访问密码;那会不会是因为访问者的账户没有存在本机的账户列表中导致访问受阻呢?于是，笔者便将其他各台电脑的登录账户和密码都添加到本机的账户列表中，并且将他们的权限都设定为管理员，令人不解的是问题并没有解决。 此时，朋友提醒我是否存在防火墙“捣乱”的可能性。笔者的电脑上并没有安装其他防火墙软件，但是由于操作系统为Windows XP SP2，默认开启了其自带的防火墙功能。由于局域网访问主要是通过135、139等几个端口进行，因此，笔者试图通过手工开放这些端口来寻找解决办法：在本地连接的“属性”菜单中切换至“高级”选项卡，单击“Windows防火墙”项目下的“设置”按钮，打开“Windows防火墙”对话框，切换至“例外”选项，单击“添加端口”按钮，将需要开放的端口添加进来，最后单击“确定”按钮退出。但是结果并没有达到预期的目的，互访仍然没有成功，即使在笔者干脆将防火墙关闭后也是如此。 联想到图1提示框所指的“没有权限，未授权”，笔者突然想起在Windows XP的组策略中有一项名为“用户权利指派”的项目，问题会不会出在这里呢?于是，笔者通过单击“单击→运行”，输入gpedit.msc后回车进入组策略编辑器，依次展开“本机计算机策略→计算机配置→Windows设置→安全设置→本地策略”，其中果然有一项“用户权利指派”。单击该项目，在右侧窗口中便出现了众多的相关选项，其中笔者注意到了一条名为“从网络访问此计算机”的条目，而该条目的安全设置是一串很长的代码;双击该条目打开其属性对话框，在允许访

设置安全策略步骤

实验七设置安全策略实验背景 某公司所有员工的初始密码为benet2!。管理员担心公司员工更改的密码过于简单，容易被扫描软件扫描扫到，同时管理员担心用户长久不更改密码影响安全性。对于公司域控制器，管理员需要验证都有谁在什么时候登录。有人反应公司的文件服务器上的资料有丢失现象，管理员需要查找是否有人有意的删除文件。 由于域用户帐号一旦登录域内成员主机成功，访问文件服务器不在需要做身份验证，为了放置有人恶意尝试用户密码，公司要求所有员工有三次输入密码机会，三次输入错误自动锁定帐号。试行一段时间后很多人帐号经常锁定，不得不频繁找管理员，管理员需设定用户帐号的30分钟自动解锁。 公司有人反应访问加入域后，用域用户帐号登录后不能自动关机，公司要求所有员工下班必须关机离开，管理员解决这个问题。 有部分输入domain users组的员工需要登录域控制器，可这些员工反应他们无法登录域控制器，管理员解决这个问题 文件服务器公司要求所有员工可以网络访问，但不可以对文件服务器本地登录，公司要求管理员完成，并对文件服务器做登录审核。 对于文件服务器，公司要求本地登录成功后需要提示：标题：重要警告，内容：服务器重地，请不要做任何删除和剪切。 实验目标 1 所有域用户帐号在设置密码时，必须符合复杂密码要求，密码长度至少7位，密码必须每60天更新一次 2 设置三次密码锁定，设置锁定复位时间30分钟。 3 为域控制器启动帐号的登录审核，对文件服务器启动对象审核 4 把域用户帐号加入关闭系统，保证可以下班关机 5 把域用户帐号加入本地登录安全策略 6 文件服务器上把所有的用户帐号加入拒绝网络访问，对文件服务器启动审核 7 对文件服务器设置登录提示 实验环境 1 一人一组 2 准备2台Windows Server 200 3 虚拟机（1台域控制器，1台成员主机） 实验步骤： 1 在域控制器上完成 以域管理员登录域控制器，设置域安全策略

网络安全报告 本地安全策略

计算机工程系实验报告 课程名称：网络安全与管理 实验项目名称：Windows 操作系统的安全设置 班级：计科15-3 姓名： 学号： 实 验 目 的: 掌握Windows 操作系统的常用基本安全设置； 1、 Windows 账户与密码的安全设置； 2、 文件系统的加密和保护； 3、 安全策略与安全模板的使用； 4、 审核和日志的启用； 5、 数据的备份和还原 实验环境：一台安装Windows XP 操作系统的计算机，磁盘格式配置为NTFS 。 实验一 关闭端口 实 验 内 容 及 过 程: 1、 开始/运行，输入cmd/在命令行输入netstat-a ，可以查看已开发的端口。如图一 图1 2、 关闭自己的139端口，IPC 和RPC 漏洞存于此处。 网络连接/本地连接/本地连接属性/internet 协议（tcp/ip ）属性/高级/WINS 选项卡中，禁 用TCP/IP 上的NetBIOS 。如图2

图2 3、关闭445端口。修改注册表，添加一个键值“HKEY_LOCAL_MACHINE\System \CurrentControlSet \Services\NetBT\Parameters”在右面的窗口建立一个“SMBDeviceEnabled”DWORD值，类型为REG_DWORD，键值为“0”。如图3 图3 4、禁止终端服务远程控制和远程协助 右键我的电脑/属性/远程/取消允许用户远程连接到此计算机、允许从这台计算机发送远程协助邀请。这两个选项正是“冲击波”病毒所要攻击的RPC在XP上的表现形式。如图4

图4 5、屏蔽闲置端口 a、“控制面板”“系统和安全”“Windows防火墙” b、“高级设置”“入站规则”或“出站规则” c、点击“新建规则”,选择“端口”，并点击“下一步”,这里就可以选择协议类型TCP或UDP，以及需要筛选的端口，设置完成后，点击“下一步”,选择需要的操作，并点击“下一步”,选择此规则应用的区域，并点击“下一步”,最后填写此规则的名称和描述（可选），点击“完成”。 d、设置出站规则（同入站规则） 如图5，6 图5