Windows XP组策略操作.doc

你可以在采用Windows XP、2000和Server 2003操作系统的本地计算机上使用这些方法，或者在Server 2003和2000中的OU域名级上使用这些方法。为了简明扼要和提供最新的信息，我准备介绍一下如何设置基于Windows Server 2003的域名。请记住，这些只是你在你的域名中能够设置的组策略对象中最有可能出现问题的。按照我的观点，这些设置可以保持或者破坏Windows的安全。而且由于设置的不同，你的进展也不同。因此，我鼓励你在使用每一个设置之前都进行深入的研究，以确保这些设置能够兼容你的网络。如果有可能的话，对这些设置进行试验(如果你很幸运有一个测试环境的话)。 如果你没有进行测试，我建议你下载和安装微软的组策略管理控制台(GPMC)来做这些改变。这个程序能够把组策略管理任务集中到一个单一的界面让你更全面地查看你的域名。要开始这个编辑流程，你就上载GPMC，扩展你的域名，用鼠标右键点击“缺省域名策略”，然后选择“编辑”。这样就装载了组策略对象编辑器。如果你要以更快的速度或者“次企业级”的方式编辑你的域名组策略对象，你可以在“开始”菜单中运行“gpedit.msc”。 1.确定一个缺省的口令策略，使你的机构设置位于“计算机配置/Windows设置/安全设置/账号策略/口令策略”之下。 2.为了防止自动口令破解，在“计算机配置/Windows设置/安全设置/账号策略/账号关闭策略”中进行如下设置: 账号关闭持续时间(确定至少5-10分钟) 账号关闭极限(确定最多允许5至10次非法登录) 随后重新启动关闭的账号(确定至少10-15分钟以后) 3.在“计算机配置/Windows设置/安全设置/本地策略/检查策略”中启用如下功能: 检查账号管理 检查登录事件 检查策略改变 检查权限使用 检查系统事件 理想的情况是，你要启用记录成功和失败的登录。但是，这取决于你要保留什么类型的记录以及你是否能够管理这些记录。Roberta Bragg在这里介绍了一些普通的检查记录设置。要记住，启用每一种类型的记录都需要你的系统处理器和硬盘提供更多的资源。 4.作为增强Windows安全的最佳做法和为攻击者设置更多的障碍以减少对Windows的攻击，你可以在“计算机配置/Windows设置/安全设置/本地策略/安全选项”中进行如下设置: 账号:重新命名管理员账号-不是要求更有效而是增加一个安全层(确定一个新名字) 账号:重新命名客户账号(确定一个新名字) 交互式登录:不要显示最后一个用户的名字(设置为启用) 交互式登录:不需要最后一个用户的名字(设置为关闭) 交互式登录: 为企图登录的用户提供一个消息文本(确定为让用户阅读banner text(旗帜文本)，内容大致为“这是专用和受控的系统。 如果你滥用本系统，你将受到制裁。-首先让你的律师运行这个程序) 交互式登录: 为企图登录的用户提供的消息题目-在警告!后面写的东西 网络接入:不允许SAM账号和共享目录(设置为“启用”) 网络接入:将“允许每一个人申请匿名用户”设置为关闭 网络安全:“不得存储局域网管理员关于下一个口令变化的散列值”设置为“启用” 关机:“允许系统在没有登录的情况下关闭”设置为“关闭” 关机:“清除虚拟内存的页面文件”设置为“启用” 如果你没有Windows Server 2003域名控制器，你在这里可以找到有哪些Windows XP本地安全设置的细节，以及这里有哪些详细的Windows 2000 Server组策略的设置。要了解更多的有关Windows Server 2003组策略的信息，请查看微软的专门网页。 十一、如何设置IE中的安全设置选项按钮？问:我在Windows 2000桌面右击IE图标并选择“属性”，选择了“安全”标签后，发现“自定义级别”和“默认级别”按钮变成灰色不可选状态，无法改变IE的安全等级。请问该如何解决？ 答:出现这个问题的原因是系统在注册表中添加了一个“SecChangeSettings”键进行了限制。请打开注册表编辑器，找到HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl Panel，将右侧窗口中的“SecChangeSettings”键删除后，重启IE即可解决问题。 十二、FAT32转换为NTFS如果要使用文件访问权限，文件还必须位于NTFS文件系统的分区上。跟FAT和FAT32文件系统相比，NTFS文件系统可以在保持簇大小不变的情况下支持更大的分区，还有一系列的安全特性，建议使用。不过DOS和Windows 9x操作系统并不能支持这种文件系统。有两种方法获得NTFS文件系统的分区：创建一个分区，然后格式化为NTFS文件系统；或者把现有的FAT或者FAT32文件系统的分区在保留数据的前提下转化为NTFS文件系统。这个转化可以使用Windows自带的convert.exe程序，在命令行状态下输入“convert c:/fs:ntfs”并回车就可以把C盘转换，其他盘需要替换C为相应的盘符。另外要注意，转换系统盘可能需要你重启动系统才能完成。十三、用组策略从十大方面保护Windows安全Windows操作系统中组策略的应用无处不在，如何让系统更安全，也是一个常论不休的话题，下面就让我们一起来看看通过组策略如何给Windows系统练就一身金钟罩。一、给我们的IP添加安全策略 在“计算机配置”“Windows设置”“安全设置”“IP 安全策略，在本地计算机”下与有与网络有关的几个设置项目(如图1)。如果大家对Internet较为熟悉，那也可以通过它来添加或修改更多的网络安全设置，这样在Windows上运行网络程序或者畅游Internet时将会更加安全。 小提示 :由于此项较为专业，其间会涉及到很多的专业概念，一般用户用不到，在这里只是给网络管理员们提个醒，因此在此略过。二、隐藏驱动器平时我们隐藏文件夹后，别人只需在文件夹选项里显示所有文件，就可以看见了，我们可以在组策略里删除这个选项：选择“用户配置管理模板Windows组件Windows资源管理器”。三、禁用指定的文件类型在“组策略”中，我们可以禁用SHS、MSI、BAT、CMD、COM、EXE等程序文件类型，而且不影响系统的正常运行。这里假设我们要禁用注册表的REG文件，不让系统运行REG文件，具体操作方法如下：1. 打开组策略，点击“计算机配置Windows设置安全设置软件限制策略”，在弹出的右键菜单上选择“创建软件限制策略”，即生成“安全级别”、“其他规则”及“强制”、“指派的文件类型”、“受信任的出版商”项。2. 双击“指派的文件类型”打开“指派的文件类型属性”窗口，只留下REG文件类型，将其他的文件全部删除，如果还有其他的文件类型要禁用，可以再次打开这个窗口，在“文件扩展名”空白栏里输入要禁用的文件类型，将它添加上去。3. 双击“安全级别不允许的”项，点击“设为默认”按钮。然后注销系统或者重新启动系统，此策略即生效，运行REG文件时，会提示“由于一个软件限制策略的阻止，Windows无法打开此程序”。4.要取消此软件限制策略的话，双击“安全级别不受限的”，打开“不受限的属性”窗口，按“设为默认值”即可。如果你鼠标右键点击“计算机配置Windows设置安全设置软件限制策略其他规则”，你会看到它可以建立哈希规则、Internet 区域规则、路径规则等策略，利用这些规则我们可以让系统更加安全，比如利用“路径规则”可以为电子邮件程序用来运行附件的文件夹创建路径规则，并将安全级别设置为“不允许的”，以防止电子邮件病毒。提示：为了避免“软件限制策略”将系统管理员也限制，我们可以双击“强制”，选择“除本地管理员以外的所有用户”。如果用你的是文件类型限制策略，此选项可以确保管理员有权运行被限制的文件类型，而其他用户无权运行。四、未经许可，不得在本机登录使用电脑时，我们有时要离开座位一段时间。如果有很多正在打开的文档还没有处理完成或者正在下载东西、挂POPO等等，为了避免有人动用电脑，我们一般会把电脑锁定。但是在局域网中，为了方便网络登录，我们有时候会建立一些来宾账户，如果对方利用这些账户来注销当前账户登录到别的账户，那就麻烦了。既然我们不能删除或禁用这些账户，那么我们可以通过“组策略”来禁止一些账户在本机上登录，让对方只能通过网络登录。在“组策略”窗口中依次打开“计算机配置Windows设置安全设置本地策略用户权限分配”，然后双击右侧窗格的“拒绝本地登录”项，在弹出的窗口中添加要禁止的用户或组即可实现。如果我们想反其道而行之，禁止用户从网络登录，只能从本地登录，可以双击“拒绝从网络访问这台计算机”项将用户加上去。五、给“休眠”和“待机”加个密码只有“屏幕保护”有密码是远远不够安全的，我们还要给“休眠”和“待机”加上密码，这样才会更安全。让我们来给“休眠”和“待机”加上密码吧。在“组策略”窗口中展开“用户配置管理模板系统电源管理”，在右边的窗格中双击“从休眠/挂起恢复时提示输入密码”，将其设置为“已启用”(图5)，那么当我们从“待机”或“休眠”状态返回时将会要求你输入用户密码。六、自动给操作做个记录在“计算机配置Windows设置安全设置本地策略审核策略”上，我们可以看到它可以审核策略更改、登录事件、对象访问、过程追踪、目录服务访问、特权使用等(图6)。这些审核可以记录下你某年某月某日某时某分某秒做过了什么操作：几时登录、关闭系统或更改过哪些策略等等。我们应该养成经常在“控制面板管理工具事件查看器”里查看事件的好习惯。比如，当你修改过“组策略”后，系统就发生了问题，此时“事件查看器”就会及时告诉你改了哪些策略。在“登录事件”里，你可以查看到详细的登录事件，知道有人曾尝试使用禁用的账户登录、谁的账户密码已过期而要启用哪些审核，只要双击相应的项目，选中“成功”和“失败”两个选项即可。注意：Windows XP Home Edition没有“组策略”，只有Windows XP Professional版本才有“组策略”，这一点注意。 七、限制IE浏览器的保存功能 当多人共用一台计算机时，为了保持硬盘的整洁，需要对浏览器的保存功能进行限制使用，那么如何才能实现呢?具体方法为：选择“用户设置”“管理模板”“Windows组件”“Internet Explorer”“浏览器菜单”分支。双击右侧窗格中的“文件菜单：禁用另存为菜单项”，在打开的设置窗口中选中“已启用”单选按钮(如图7)。提示 : 我们还可以对“文件菜单：禁用另存为网页菜单项”、“查看菜单：禁用源文件菜单项”和“禁用上下文菜单”等策略项目进行修改，这样我们的IE将会安全一些。八、禁止修改IE浏览器的主页 如果您不希望他人或网络上的一些恶意代码对自己设定的IE浏览器主页进行随意更改的话，我们可以选择“用户配置”“管理模板”“Windows 组件”“Internet Explorer”分支，然后在右侧窗格中，双击“禁用更改主页设置”策略启用即可。 (1)在图8，还提供了更改历史记录设置、更改颜色设置和更改Internet临时文件设置等项目的禁用功能。如果启用了这个策略，在IE浏览器的“Internet 选项”对话框中，其“常规”选项卡的“主页”区域的设置将变灰。 (2)如果设置了位于“用户配置”“管理模板”“Windows 组件”“Internet Explorer”“Internet 控制面板”中的“禁用常规页”策略，则无需设置该策略，因为“禁用常规页”策略将删除界面上的“常规”选项卡。 (3)逐级展开“用户设置”“管理模板”“Windows组件”“Internet Explorer”分支，我们可以在其下发现“Internet控制面板”、“脱机页”、“浏览器菜单”、“工具栏”、“持续行为”和“管理员认可的控件”等策略选项。利用它可以充分打造一个极有个性和安全的IE。 九、把Administrator藏起来Windows系统默认的系统管理员账户名是Administrator。因此，为了避免有人恶意破解系统管理员Administrator账户的密码，我们可以将Administrator改为其他名字以加强安全。点击“开始运行”，输入gpedit.msc，打开“组策略”，如图9所示，选择“计算机配置Windows设置安全设置本地策略安全选项”，在右边窗格里双击“账户：重命名系统管理员账户”项，在上面输入你想要的用户名。重新启动计算机后，输入的新用户名即刻生效。如果再新建一个Guest用户，用户名为Administrator，然后再加上十分复杂的密码就更安全。提示：为了避免让人在Windows的登录框中看到曾经登录过的用户名，就要双击“交互式登录：不显示上次的用户名”子项，选择“已启用”将该策略启用。这样上次登录到计算机的用户名就不会显示在Windows的登录画面中。 十.禁用IE组件自动安装 选择“计算机配置”“管理模板”“Windows组件”“Internet Explorer”项目，双击右边窗口中“禁用Internet Explorer组件的自动安装”项目，在打开的窗口中选择“已启用”单选按钮(如图10)，将会禁止 Internet Explorer 自动安装组件。这样可以防止 Internet Explorer 在用户访问到需要某个组件的网站时下载该组件，篡改IE的行为也会得到遏制!相对来说IE也会安全许多! 小提示 如果禁用该策略或不对其进行配置，则用户在访问需要某个组件的网站时，将会收到一则消息，提示用户下载并安装该组件。有时用户看也不看就选择“安装”则往往会出问题。网上的很多恶意代码往往都是这样工作的。 十四、Windows 2000 安全检查清单在网上偶尔看到这篇关于Window 2000安全的问题，虽然有点老了，但觉得还是挺实用的，于是就转过来了，希望大家有所帮助。注意：很多操作请不要在服务器上直接尝试，因为操作不当可能会引起服务器很多功能出错或无法使用，建议您在个人的机器上操作成功后再试。 -51windows(海娃) 前段时间，中美网络大战，我看了一些被黑的服务器，发现绝大部分被黑的服务器都是Nt/win2000的机器，真是惨不忍睹。Windows2000 真的那么不安全么？其实，Windows2000 含有很多的安全功能和选项，如果你合理的配置它们，那么windows 2000将会是一个很安全的操作系统.我抽空翻了一些网站，翻译加凑数的整理了一篇checklist出来。希望对win2000管理员有些帮助。本文并没有什么高深的东西，所谓的清单，也并不完善，很多东西要等以后慢慢加了，希望能给管理员作一参考。具体清单如下：初级安全篇1.物理安全服务器应该安放在安装了监视器的隔离房间内，并且监视器要保留15天以上的摄像记录。另外，机箱,键盘，电脑桌抽屉要上锁，以确保旁人即使进入房间也无法使用电脑，钥匙要放在另外的安全的地方。2.停掉Guest 帐号在计算机管理的用户里面把guest帐号停用掉，任何时候都不允许guest帐号登陆系统。为了保险起见，最好给guest 加一个复杂的密码，你可以打开记事本，在里面输入一串包含特殊字符,数字，字母的长字符串，然后把它作为guest帐号的密码拷进去。3限制不必要的用户数量去掉所有的duplicate user 帐户, 测试用帐户, 共享帐号，普通部门帐号等等。用户组策略设置相应权限，并且经常检查系统的帐户，删除已经不在使用的帐户。这些帐户很多时候都是黑客们入侵系统的突破口，系统的帐户越多，黑客们得到合法用户的权限可能性一般也就越大。国内的nt/2000主机，如果系统帐户超过10个，一般都能找出一两个弱口令帐户。我曾经发现一台主机197个帐户中竟然有180个帐号都是弱口令帐户。4创建2个管理员用帐号虽然这点看上去和上面这点有些矛盾，但事实上是服从上面的规则的。创建一个一般权限帐号用来收信以及处理一些日常事物，另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 “ RunAS” 命令来执行一些需要特权才能作的一些工作，以方便管理。5把系统administrator帐号改名大家都知道，windows 2000 的administrator帐号是不能被停用的，这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。当然，请不要使用Admin之类的名字，改了等于没改，尽量把它伪装成普通用户，比如改成：guestone 。6创建一个陷阱帐号什么是陷阱帐号? Look!创建一个名为” Administrator”的本地帐户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。这样可以让那些 Scripts s忙上一段时间了，并且可以借此发现它们的入侵企图。或者在它的login scripts上面做点手脚。嘿嘿，够损！7把共享文件的权限从”everyone”组改成“授权用户”“everyone” 在win2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成”everyone”组。包括打印共享，默认的属性就是”everyone”组的，一定不要忘了改。8使用安全密码一个好的密码对于一个网络是非常重要的，但是它是最容易被忽略的。前面的所说的也许已经可以说明这一点了。一些公司的管理员创建帐号的时候往往用公司名，计算机名，或者一些别的一猜就到的东西做用户名，然后又把这些帐户的密码设置得N简单，比如 “welcome” “iloveyou” “letmein”或者和用户名相同等等。这样的帐户应该要求用户首此登陆的时候更改成复杂的密码，还要注意经常更改密码。前些天在IRC和人讨论这一问题的时候，我们给好密码下了个定义：安全期内无法破解出来的密码就是好密码，也就是说，如果人家得到了你的密码文档，必须花43天或者更长的时间才能破解出来，而你的密码策略是42天必须改密码。9设置屏幕保护密码很简单也很有必要，设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。注意不要使用OpenGL和一些复杂的屏幕保护程序，浪费系统资源，让他黑屏就可以了。还有一点，所有系统用户所使用的机器也最好加上屏幕保护密码。10 使用NTFS格式分区把服务器的所有分区都改成NTFS格式。NTFS文件系统要比FAT,FAT32的文件系统安全得多。这点不必多说，想必大家得服务器都已经是NTFS的了。11运行防毒软件我见过的Win2000/Nt服务器从来没有见到有安装了防毒软件的，其实这一点非常重要。一些好的杀毒软件不仅能杀掉一些著名的病毒，还能查杀大量木马和后门程序。这样的话，“黑客”们使用的那些有名的木马就毫无用武之地了。不要忘了经常升级病毒库12保障备份盘的安全一旦系统资料被破坏，备份盘将是你恢复资料的唯一途径。备份完资料后，把备份盘防在安全的地方。千万别把资料备份在同一台服务器上，那样的话，还不如不要备份。中级安全篇：1利用win2000的安全配置工具来配置策略微软提供了一套的基于MMC(管理控制台)安全配置和分析工具，利用他们你可以很方便的配置你的服务器以满足你的要求。具体内容请参考微软主页：/windows2000/techinfo/howitworks/security/sctoolset.asp2关闭不必要的服务windows 2000 的 Terminal Services（终端服务），IIS ,和RAS都可能给你的系统带来安全漏洞。为了能够在远程方便的管理服务器，很多机器的终端服务都是开着的，如果你的也开了，要确认你已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行。要留意服务器上面开启的所有服务，中期性(每天)的检查他们。下面是C2级别安装的默认服务：Computer Browser service TCP/IP NetBIOS HelperMicrosoft DNS server SpoolerNTLM SSP ServerRPC Locator WINSRPC service WorkstationNetlogon Event log3关闭不必要的端口关闭端口意味着减少功能，在安全和功能上面需要你作一点决策。如果服务器安装在防火墙的后面，冒的险就会少些，但是，永远不要认为你可以高枕无忧了。用端口扫描器扫描系统所开放的端口，确定开放了哪些服务是黑客入侵你的系统的第一步。system32driversetcservices 文件中有知名端口和服务的对照表可供参考。具体方法为：网上邻居属性本地连接属性internet 协议(tcp/ip)属性高级选项tcp/ip筛选属性打开tcp/ip筛选，添加需要的tcp,udp,协议即可。4打开审核策略开启安全审核是win2000最基本的入侵检测方法。当有人尝