WINDOWS网络安全与策略笔记

1、.目录1.保护administrator账号22.windows server 2008 隐藏最后登录用户名23.windows安全配置密码策略24.windows安全配置账号锁定策略25.windows禁止用户关机的设置方法win2008等26.windows禁止用户安装软件37.windows server 2008更新计算机安全策略38.windows server 2008加强系统安全提示39.windows从网络中浏览列表中隐藏计算机410.windows隐藏自己电脑的ip地址411.windows server 2008 ip安全策略关闭端口512.windows禁止来自外网的非法

2、ping攻击513.windows server 2008拒绝网络病毒藏于临时文件614.windows server 2008禁止普通用户随意上网访问715.windows server 2008断开远程连接恢复系统状态816.windows巧妙实时监控系统运行安全917.windows server 2008及时监控系统账号恶意创建1018.在windows2003中加固抗dos攻击能力1119.远程控制向windows2008设置要安全1120.windows 2008允许多用户登陆远程桌面1121.强行使用复杂密码阻止暴力破解1122.windows7在启动时自动挂载虚拟磁盘1223.

3、在windows 2008 r2上建 sntp/ntp server1224.测试ntp时间服务器1225.windows服务增加及删除操作13精品.1. 保护administrator账号可以采用下面的步骤来禁用本地管理员帐户： 使用管理员帐户或者具有管理权限的用户帐户登录。 用鼠标右键点击“我的电脑”，然后选择“管理”。 打开“本地用户和组”，然后选择用户。 双击“管理员”。 选择“禁用帐户”选择框，然后点击“ok”。 管理“计算机管理”窗口。等到你退出后，所修改的设置将生效。2. windows server 2008 隐藏最后登录用户名点击“开始”“运行”，输入“gpedit.msc”

4、，打开组策略编辑器，计算机配置windows设置安全设置本地策略安全选项交互式登陆：不显示最后的用户名（启用）3. windows安全配置密码策略windows server 2008账号的密码策略对一个网络的安全非常重要。账号策略一般包括密码长度、复杂性、密码时间和账号锁定4个部分。设置方法：”本地组策略编辑器”-“计算机配置”- “windows设置”-“安全设置”-“帐户策略”-“密码策略”。启用密码码必须符合复杂性要求；密码长度最小值7个字符号；密码最长有效期42天；密码最短有效期1天；强制密码历史5个记住的密码。4. windows安全配置账号锁定策略开始-程序-管理工具-本地安全策

5、略，选择计算机配置-windows设置-安全设置-账户策略-账户锁定策略，将账户设为“三次登陆无效”，“锁定时间为30分钟”，“复位锁定计数设为10分钟”。5. windows禁止用户关机的设置方法win2008等禁止用户关机的设置方法点击“开始”“运行”，输入“gpedit.msc”，打开组策略编辑器，计算机配置windows设置安全设置本地策略用户权限分配关闭系统。双击打开关闭系统项目的属性页面，修改用户框内容，把允许关机的用户添加进去，不允许关机的用户删除掉即可。精品.6. windows禁止用户安装软件运行 gpedit.msc 打开组策略,在管理模板里打开 windows 组件,有个

6、 windows 安装服务,将右 边的东西你看一下,具体方法:运行 gpedit.msc-计算机配置-管理模板-windows 组件-windows installer-启动禁用 windows installer以及禁止用户安装7. windows server 2008更新计算机安全策略单击“开始”“运行”，输入“gpupdate”，刷新策略。8. windows server 2008加强系统安全提示为了防止在windowsserver2008服务器系统中不小心进行了一些不安全操作，我们建议各位还是将该系统自带的uac功能启用起来，并且该功能还能有效防范一些木马程序自动在系统后台进行安装

7、操作，下面就是具体的启用步骤：首先以系统管理员身份进入windowsserver2008系统，在该系统桌面中依次点选开始、运行命令，在弹出的系统运行文本框中，输入msconfig字符串命令，单击确定按钮后，进入对应系统的实用程序配置界面;其次在实用程序配置界面中单击工具标签，进入如图所示的标签设置页面，从该设置页面的工具列表中找到启用uac项目，再单击启动按钮，最后单击确定按钮并重新启动一下windowsserver2008系统，如此一来用户日后在windowsserver2008服务器系统中不小心进行一些不安全操作时，系统就能及时弹出安全提示。精品.9. windows从网络中浏览列表中隐藏

8、计算机在windows域和工作组网络中，会有一台计算机维护着网络上的计算机名称的列表，该列表称为浏览列表，包含网络上的共享、打印机等列表。因此应当将那些不提供网络资源的计算机从浏览列表上删除。 使用net config server 命令将计算机从浏览列表中隐藏隐藏计算机，命令net config server /hidden:yes取消隐藏计算机，命令net config server /hidden:no可能要等待30分钟，该计算机才能从浏览列表中删除 修改注册表注册表路径：hklmsystemcurrentcontrolsetserviceslanmanserverparameters注

9、册表项：hidden数值类型：reg_dword值：110. windows隐藏自己电脑的ip地址你的电脑总会受到别人攻击吗？隐藏自己电脑的ip地址，可以让别人难以攻击。这里就为大家介绍一种隐藏ip的方法：第一步：用本地安全策略，先打开ip安全策略，方法是在“运行”里输入 secpol.msc或着在控制面板里打开 创建ip安全策略右击刚刚添加的“ip安全策略，在本地机器”，选择“创建ip安全策略”，单击“下 一步”，然后输入一个策略描述，如“noping”。单击“下一步”，选中“激活默认响应规则”复选项，单击“下一步”。开始设置身份验证方式，选中“此字符串用来保护密钥交换(预共享密钥)”选项，

10、然后随便输入一些字符(下面还会用到这些字符)。单击“下一步”，就会提示已完成ip安全策略，确认选中了“编辑属性”复选框，单击“完成”按钮，会打开其属性对话框。第二步：配置安全策略单击“添加”按钮，并在打开安全规则向导中单击“下一步”进行隧道终结设置，在这里选择“此规则不指定隧道”。单击“下一步”，并选择“所有网络连接”以保证所有的计算机都ping不通。单击“下一步”，设置身份验证方式，与上面一样选择第三个选项“此字符串用来保护密钥交换(预共享密钥)”并填入与刚才相同的内容。单击“下一步”，在打开窗口中单击“添加”按钮，打开“ip筛选器列表”窗口。单击“添加”，单击“下一步”，设置源地址为“我的

11、ip地址”，单击“下一步”，设置目标地址为“任何ip地址”，单击“下一步”，选择协议为icmp，现在就可依次单击“完成”和“关闭”按钮返回。此时，可以在ip筛选器列表中看到刚刚创建的筛选器，将其选中之后单击“下一步”，选择筛选器操作为“要求安全设置”选项，然后依次点击“完成”，“关闭”按钮，保存相关的设置返回治理控制台第三步：指派安全策略精品.最后只需在“控制台根节点”中右击配置好的“禁止ping”策略，选择“指派”命令使配置生效。经过上面的设置，当其他计算机再ping该计算机时，就不再相通了。但假如自己ping本地计算机，仍可相通。在网上邻居上隐藏你的计算机。编辑注册表：将hkey_loca

12、l_machinesystemcurrentcontrolsetserviceslanmanserverparameters 下hidden的值从0设置为1,该值是dword类型。11. windows server 2008 ip安全策略关闭端口windows默认情况下有很多端口是开放的，在你上网的时候，网络病毒和黑客可以通过这些端口连上你的电脑。为了让你的系统变得相对安全，应该封闭一些不常用的端口，主要有：tcp 135、139、445、593、1025 端口和 udp 135、137、138、445 端口，一些流行病毒的后门端口（如 tcp 2745、3127、6129 端口），以及远程

13、服务访问端口3389。现在简要介绍一下关闭windows server2008一些端口的步骤： 1.点击 控制面板-管理工具，双击打开本地策略，选中ip安全策略，在本地计算机“右边的空白位置右击鼠标，弹出快捷菜单，选择创建ip安全策略”，弹出向导。在向导中点击下一步，当显示“安全通信请求”画面时，“激活默认相应规则”左边的按默认留空，点“完成”就创建了一个新的ip安全策略。 2.右击刚才创建的新的ip安全策略，在“属性”对话框中，把“使用添加向导”左边的钩去掉，然后再点击右边的“添加”按纽添加新的规则，随后弹出“新规则属性”对话框，在画面上点击“添加”按纽，弹出ip筛选器列表窗口。在列表中，首

14、先把“使用添加向导”左边的钩去掉，然后再点击右边的添加按纽 添加新的筛选器。 3.进入“筛选器属性”对话框，首先看到的是寻地址，源地址选“任何ip地址”，目标地址选“我的ip地址”，点击“协议”选项卡，在“选择协议类型”的下拉列表中选择“tcp”，然后在“到此端口”的下的文本框中输入“135”，点击确定。这样就添加了一个屏蔽tcp135 端口的筛选器，可以防止外界通过135端口连上你的电脑。12. windows禁止来自外网的非法ping攻击系统桌面上的“开始”/“运行”命令，在弹出的系统运行对话框中，输入字符串命令“gpedit.msc”，单击回车键后，进入对应系统的控制台窗口;其次选中该控

15、制台左侧列表中的“计算机配置”节点选项，并从目标节点下面逐一点选“windows设置”、“安全设置”、“高级安全windows防火墙”、“高级安全windows防火墙本地组策略对象”选项，再用鼠标选中目标选项下面的“入站规则”项目;接着在对应“入站规则”项目右侧的“操作”列表中，点选“新规则”选项，此时系统屏幕会自动弹出新建入站规则向导对话框，依照向导屏幕的提示，先将“自定义”选项选中，再将“所有程序”项目选中，之后从协议类型列表中选中“icmpv4”，如图所示;精品.之后向导屏幕会提示我们选择什么类型的连接条件时，我们可以选中“阻止连接”选项，同时依照实际情况设置好对应入站规则的应用环境，最

16、后为当前创建的入站规则设置一个适当的名称。完成上面的设置任务后，将windows server 2008服务器系统重新启动一下，这么一来windows server 2008服务器系统日后就不会轻易受到来自外网的非法ping测试攻击了。13. windows server 2008拒绝网络病毒藏于临时文件首先打开windows server 2008系统的“开始”菜单，从中点选“运行”命令，在弹出的系统运行对话框中，输入组策略编辑命令“gpedit.msc”，单击“确定”按钮后，进入对应系统的组策略控制台窗口; 精品.其次在该控制台窗口的左侧位置处，依次选中“计算机配置”/“windows设置

17、”/“安全设置”/“软件限制策略”/“其他规则”选项，同时用鼠标右键单击该选项，并执行快捷菜单中的“新建路径规则”命令，打开如图所示的设置对话框;单击其中的“浏览”按钮，从弹出的文件选择对话框中，选中并导入windows server 2008系统的临时文件夹，同时再将“安全级别”参数设置为“不允许”，最后单击“确定”按钮保存好上述设置操作，这样一来网络病毒日后就不能躲藏到系统的临时文件夹中了。14. windows server 2008禁止普通用户随意上网访问通常windows server 2008系统都被安装到重要的计算机中，为了防止该计算机系统受到安全威胁，我们往往需要想办法限制普通

18、用户在该系统中随意上网访问;但是如果简单关闭该系统的上网访问权限，又会影响特权用户正常上网，那么我们如何才能限制普通用户上网，而又不影响特权用户进行上网访问呢?其实很简单，我们可以按照下面的操作来修改windows server 2008系统的组策略参数：首先以普通权限的帐号登录windows server 2008系统，打开对应系统中的ie浏览器窗口，单击其中的“工具”菜单项，从下拉菜单中点选“internet选项”命令，弹出internet选项设置窗口;精品.其次点选internet选项设置窗口中的“连接”选项卡，进入连接选项设置页面，单击该设置页面中的“局域网设置”按钮，选中其后设置页面

19、中的“为lan使用代理服务器”选项，再任意输入一个代理服务器的主机地址以及端口号码，再单击“确定”按钮执行参数设置保存操作;之后注销windows server 2008系统，换用具有特殊权限的用户帐号重新登录进入windows server 2008系统，依次点选“开始”、“运行”命令，在其后出现的系统运行框中输入“gpedit.msc”命令，单击“确定”按钮后，进入对应系统的组策略控制台窗口;选中该控制台窗口左侧位置处的“计算机配置”节点选项，再从目标节点下面依次展开“管理模板”、“windows组件”、“internet explorer”、“internet控制面板”子项，再用鼠标双击

20、目标子项下面的“禁用连接页”组策略项目，此时系统屏幕上会弹出如图4所示的目标组策略属性设置对话框，选中“已启用”选项，再单击“确定”按钮执行设置保存操作，这么一来，普通权限的用户日后在windows server 2008系统中尝试访问网络时，ie浏览器会自动连接一个失效的代理服务器，那么ie浏览器自然也就不能正常显示网络页面内容了;而具有特殊权限的用户在windows server 2008系统中尝试进行网络访问时，ie浏览器会直接显示出目标站点的内容，不需要通过代理服务器进行中转。15. windows server 2008断开远程连接恢复系统状态很多时候，一些不怀好意的用户往往会同时建

21、立多个远程连接，来消耗windows server 2008服务器系统的宝贵资源，最终达到搞垮服务器系统的目的;为此，在实际管理windows server 2008服务器系统的过程中，一旦我们发现服务器系统运行状态突然不正常时，可以按照下面的办法强行断开所有与windows server 2008服务器系统建立连接的各个远程连接，以便及时将服务器系统的工作状态恢复正常：首先在windows server 2008服务器系统桌面中依次点选“开始”、“运行”选项，在弹出的系统运行对话框中，输入“gpedit.msc”命令，单击回车键后，进入目标服务器系统的组策略控制台窗口;精品.其次选中组策略控

22、制台窗口左侧位置处的“用户配置”节点分支，并用鼠标逐一点选目标节点分支下面的“管理模板”/“网络”/“网络连接”组策略选项，之后双击“网络连接”分支下面的“删除所有用户远程访问连接”选项，在弹出的如图所示的选项设置对话框中，选中“已启用”选项，再单击“确定”按钮保存好上述设置，这样一来windows server 2008服务器系统中的的各个远程连接都会被自动断开，此时对应系统的工作状态可能会立即恢复正常。16. windows巧妙实时监控系统运行安全点选win2008系统桌面中的“开始”/“运行”命令，在弹出的系统运行对话框中，输入字符串命令“services.msc”，单击回车键后，打开系

23、统服务列表窗口;其次从系统服务列表窗口的左侧位置处，找到目标系统服务选项“windowsdefender”，并用鼠标右键单击该选项，从弹出的快捷菜单中执行“属性”命令，打开windowsdefender服务的属性设置窗口，在该窗口的“常规”标签页面中，我们可以非常清楚地看到目标系统服务的运行状态是否正常，要是发现该服务已经被关闭运行时，我们必须及时单击“启动”按钮将它重新启动起来，同时将它的启动类型参数修改为“自动”，最后单击“确定”按钮保存好上述设置操作，这么一来我们就能确保windowsdefender服务时刻来保护win2008系统的安全了。为了让windowsdefender服务更有针

24、对性地进行实时监控，我们还可以修改win2008系统的组策略参数，让windowsdefender程序对已知文件或未知文件进行监测，同时对监测结果进行跟踪记录，下面就是具体的修改步骤：首先在win2008系统桌面中依次单击“开始”/“运行”命令，在弹出的系统运行对话框中，输入字符串命令“gpedit.msc”，单击回车键后，打开系统的组策略控制台窗口;其次在该控制台窗口的左侧显示区域处，依次点选“计算机配置”/“管理模板”/“windows组件”/“windowsdefender”组策略子项，从目标子项下面找到“启用记录已知的正确检测”选项，并用鼠标右键单击该选项，从弹出的快捷菜单中执行“属性

25、”命令，打开目标组策略的属性设置窗口，如图所示;这么一来win2008系统日后就会对各种类型的文件进行自动检测、记录，我们只要定期查看记录内容就能知道本地系统是否存在安全威胁了。精品.17. windows server 2008及时监控系统账号恶意创建在win2008系统桌面中，依次点选“开始”/“运行”命令，从弹出的系统运行框中执行“secpol.msc”命令，进入本地安全策略设置界面，从该界面的左侧位置处逐一展开“安全设置”、“本地策略”、“审核策略”节点选项，再从目标节点下面找到“审核帐户管理”组策略选项，打开如图所示的设置对话框，将该对话框中的“成功”、“失败”选项全部选中，再单击“

26、确定”按钮保存好上述设置操作;精品.18. 在windows2003中加固抗dos攻击能力以下是与tcp/ip相关的注册表可用于增强windows 2003中的tcp/ip堆栈对拒绝服务网攻击的地抵御能力c:/regedithkey_local_machinesystemcurrentcontorlsetservices 将synattackprotect设置为0（默认值）可对syn攻击提供一般防御。 将synattackprotect设置为1可以更有效地防御syn攻击。19. 远程控制向windows2008设置要安全拒绝administrator进行攻击测试，就是将管理员账号更改自己容易记

27、的帐账号。c: secpol.msc打开对应系统的本地安全组策略控制台窗口。将鼠标定位于其中的“安全设置”节点选项，在目标节点分支下面选中“本地策略”-“安全选项”，在对应“安全选项”分支下面找到目标安全组策略“帐户：重命名系统管理员帐户”。 可以将administrator账号的名称修改为其他人不容易猜中的名称，例如可以将其修改为“sunboy”，最后单击“确定”按钮保存好上述设置操作，这样一来非法攻击者企图通过administrator账号对windows server 2008服务器系统进行攻击测试时，就无法取得成功，那么服务器系统的安全性能就可以得到有效保证了。20. windows

28、2008允许多用户登陆远程桌面windows server 2008默认只支持一个administrator用户登陆，一个登录后另一个就被踢掉了，解决多用户同时在线问题。打开控制面板-管理工具，终端服务-终端服务配置 1、连接：rdp-tcp 点右键，属性。网络适配器-最大连接数2、默认情况下如果你不添加终端服务功能，最大只能调整为同时2个连接。21. 强行使用复杂密码阻止暴力破解我们可只要对windows server 2008服务器系统进行如下设置操作，来启用系统自带的密码策略，强制用户必须对远程控制账号设置比较复杂的密码。在windows server 2008服务器系统桌面中依次单击“

29、开始”/“程序”/“管理工具”命令，在其后出现的系统管理工具列表窗口中，用鼠标双击其中的“本地安全策略”图标，打开对应系统的本地安全设置对话框;用鼠标选中其中的“账户策略”分支选项，然后再将目标分支选项下面的“密码策略”子项选中，在对应“密码策略”子项的右侧显示区域，我们会看到六个有关密码的设置策略选项，用鼠标双击其中的“密码必须符合复杂性要求”组策略选项，点已启用选择“确认”完成。接下来，我们再对“强制密码历史”、“密码长度最小值”、“用可还原的加密来储存密码”、“密码最长使用期限”、“密码最短使用期限”等策略进行按需修改，最后单击“确定”按钮完成所有设置操作，如此一来远程登录密码就能被强行

30、设置得复杂了。精品.22. windows7在启动时自动挂载虚拟磁盘以前我都是使用truecrypt来虚拟磁盘，用来加密存放我的工作文件，现在有了vhd再配合win7自带的bitlocker就可以让系统来实现这个功能了，相比truecrypt来说有更强大的功能，不过在使用中碰到一个问题，每次系统重启以后虚拟磁盘不会自动挂载，需要再次用系统的磁盘管理工具重新挂载vhd，甚是麻烦。研究了一下，终于找到了解决方法：首先，编写一个diskpart用的挂载vhd的脚本文件mount.txt，例如：select vdisk file=d:work.vhdattach vdiskexit然后，在计算机管理界

31、面中新建一个任务计划，任务内容为：diskpart /s c:mount.txt接着设置一下任务的属性：触发条件为：用户登录勾选一下使用最高权限运行重启一下，就可以看到虚拟磁盘被自动挂载了23. 在windows 2008 r2上建 sntp/ntp server当你配置正确，你可以用windows time(w32time)service 建一个sntp/ntp服务器为windows或非windows客户端提供时间服务。 步骤如下：1.打开开始菜单，点击运行输入regedit打开windows注册表。2.找到如下位置 hkey_local_machinesystemcurrentcontrolsetservicesw32timeconfig 3.找到announceflags 双击修改值为5保存。4. 开启ntpserver 1.在注册表中找到如下位置：hkey_local_machinesystemcurrentcontrolsetservicesw32timetimepr