Windows Server 2003组策略排障六法

Win 2003 Server 服务器安全设置（七）服务器安全设置之--本地安全策略设置
安全策略自动更新命令：GPUpdate /force (应用组策略自动生效不需重新启动) 开始菜单—>管理工具—>本地安全策略
A、本地策略——>审核策略
审核策略更改成功失败
审核登录事件成功失败
审核对象访问失败
审核过程跟踪无审核
审核目录服务访问失败
审核特权使用失败
审核系统事件成功失败
审核账户登录事件成功失败
审核账户管理成功失败
B、本地策略——>用户权限分配
关闭系统：只有Administrators组、其它全部删除。

通过终端服务拒绝登陆：加入Guests、User组
通过终端服务允许登陆：只加入Administrators组，其他全部删除
C、本地策略——>安全选项
交互式登陆：不显示上次的用户名启用
网络访问：不允许SAM帐户和共享的匿名枚举启用
网络访问：不允许为网络身份验证储存凭证启用
网络访问：可匿名访问的共享全部删除
网络访问：可匿名访问的命全部删除
网络访问：可远程访问的注册表路径全部删除
网络访问：可远程访问的注册表路径和子路径全部删除
帐户：重命名来宾帐户重命名一个帐户
帐户：重命名系统管理员帐户重命名一个帐户。

Windows Server 2003设置及优化方案Win2003是一个很有争议的操作系统，会用的人感觉很好用，不会用的人感觉很差劲。

这是为什么呢，原因就是设置的问题。

首先，windows server 2003是迄今为止微软最强大最稳定的服务器操作系统，尽管最新的2008已经出来，但是目前服务器业界还是2003为主。

从NT4.0以来，基于NT核心的操作系统针对不同使用环境分为工作站和服务器。

工作站就是我们熟悉的2000/XP/vista，服务器就是2000server/2003/2008。

虽然都是NT核心操作系统，但是面对的客户目标不同，在初始设置上还是有所区别和侧重。

个人认为，工作站系统应该是简化并多媒体化的NT系统，在保证基本的稳定性上侧重娱乐。

而做为服务器，重点除了稳定性还是稳定性。

另外由于需要长时间运行对于磁盘管理和内存管理更加完美。

由于服务器的侧重点不在于娱乐，一些娱乐功能或被屏蔽，比如主题。

为了节能加上大多服务器都是基于远程桌面操作无需配备显示设备，显卡硬件加速被降低以达到节能的目的。

等等。

因为侧重点不同，初始系统体现的操作性也不同，导致很多人对服务器系统望而却步。

简单来说：server系统就是比工作站系统采用更加完善的NT技术但是被人为限制多媒体性能的系统。

所以，当我们手动一一取消这些限制，一个非常完美的个人操作系统立即呈现在我们面前。

它体现出来的高效，强悍是本质上带来的。

一、下面先说2003和XP的一些异同驱动支持：很多人主观上认为2003的驱动很少，其实，2003本身自带的驱动官方文献说是非常非常多的，毕竟2003系统是微软决心抢占服务器领域的一件重要武器，它需要比linux更广泛的硬件支持，它对硬件支持的设计初衷比XP还要多，XP自带驱动的硬件比2003标准版还要少。

而且2003是基于XP的框架进行完善的。

所以在驱动上基本XP能够安装的它都能够安装，并不是硬件厂商仅仅说明for XP就不支持2003。

Windows server 2003安全策略
1.纵深防御的概念
2.什么是安全策略：打补丁+配置
3.安全策略
在开始—管理工具---本地安全策略打开。

4.如何使用安全模板
运行内敲命令---mmc---文件—添加删除管理单元，找到安全模板，添加。

然后在控制台内单机安全模板。

可以将某个模板另存，然后在另存的内改动。

也可新建模板。

在域模型里，可将安全模板导入到GPO里。

在工作组模型下，可将安全模板导入到本地安全策略里。

域模型下：打开AD用户计算机，右击域—属性—组策略标签----新建组策略----编辑（就打开了组策略）----右击安全设置----导入策略----选择要导入的策略，在工作组模型下基本相同。

如果只需要将安安全模板配置应用到有限的服务器上，需要用到安全配置和分析。

具体操作：还是先在mms内添加安全配置和分析。

右击安全配置和分析----打开数据库----创建数据库----导入需要的安全模板。

首先分析一下模板。

右击安全配置和分析----立即分析计算机（分析当前模板设置和计算机设置是否一样，一样则为对勾，不一样则为错叉）
右击。

立即配置计算机，则把计算机的安全设置应用为导入的数据库中的安全模板。

这个操作在哪个计算机上操作，就在哪个计算机上得以应用了。

教学时刻第五周2021-3-18教学课时3教案序号12-14教学目标1、掌握如何建立和治理OU2、学会在win2003中应用组策略教学过程：一、OU〔组织单元〕的治理1、OU的概念域是最小的治理单位，在活动名目中，域一般对应公司，而OU那么对应于公司中的部门。

OU是活动名目中的容器，能够在OU中建立用户、组等其他对象，也能够在OU中建立OU。

2、建立OU及子对象〔1〕注重图标。

〔2〕建立步骤：在需要创立的空白处右击，选择“新建〞——“组织单元〞，在对话框内输进OU名称即可。

〔3〕在OU中能够放用户、组、打印机、共享文件夹、子OU等。

实验一：OU的治理1、在test下中新建“教师〞和“学生〞两个OU，再在“教师〞OU下新建“一般教师〞OU。

2、“教师〞OU中包括t1，t2账户，“学生〞OU中包括s1，s2账户，“一般教师〞OU中包括c1，c2账户。

二、组策略概述1、组策略的概念〔1〕组策略是一种在用户或计算机集合上强制使用一些配置的方法，使用组策略能够给同组的计算机或者用户强加一套统一的标准，包括治理模板设置、Windows设置、软件设置。

〔2〕组策略配置包含在一个组策略对象〔GPO〕中，该对象又与选定的活动名目效劳容器〔如站点、域、组织单元OU等〕相关联，可不能碍事没有参加域的计算机和用户。

〔3〕组策略配置类型有：计算机配置和用户配置。

〔4〕组策略分为：本地平安策略和活动名目的组策略。

本地平安策略适用于本地用户和组，我们所讲的是活动名目的组策略，活动名目安装好以后就自动建立了两个组策略〔域操纵器平安策略和域平安策略〕。

2、组策略的应用顺序〔1〕本地组策略〔2〕域组策略〔3〕域操纵器组策略〔4〕组织单元组策略三、组策略对象的治理我们能够通过ActiveDirectory用户和计算机建立链接到域和OU的策略，ActiveDirectory站点和效劳建立链接到站点的策略。

1、创立组策略步骤：右击-属性-“组策略〞选项卡-“新建〞按钮2、设置组策略步骤：右击-属性-“组策略〞选项卡-“编辑〞按钮3、用组策略治理用户工作环境实验二：1、教师OU的所有用户的IE扫瞄器的代理效劳器的地址都自动设置为192.168.0.1，端口号设置为8080。

第10章组策略配置、应用与管理10.1 组策略基础组策略是Active Directory（活动目录）服务中允许管理员针对用户和计算机进行配置的基础架构。

它与注册表的功能类似，但其设置组织形式更加直观，更加便于操作、配置与管理。

它将系统重要的配置功能汇集成各种配置模块，供用户直接使用，从而达到方便管理计算机的目的。

10.1.1 组策略结构组策略设置主要包括：用户计算机环境（如"开始"菜单、桌面快捷项、控制面板选项、可用程序等）、计算机和用户的本地或网络访问权利，以及其他安全控制策略（如组策略中的各种安全选项、IP安全策略等）。

可以用组策略定义用户和计算机组的配置，如可以为基于注册表的策略、安全、软件安装、脚本、文件夹重定向、远程安装服务以及IE的维护指定策略设置。

创建的组策略设置包含在组策略对象（GPO）中，通过将GPO与所选的Active Directory系统容器--站点、域和组织单位相关联，实现组策略设置的具体应用。

还可以将GPO策略设置应用于Active Directory容器中的具体用户和计算机。

组策略可基于活动目录中的用户和计算机账户两种对象分别进行配置，所以在GPO中的组策略设置项中包括"计算机配置"和"用户配置"两大部分（如图10-1所示），这就是组策略的基本结构。

而且可以看到，在这两大部分中，有许多设置项是相同的，如都有"软件设置"、"Windows设置"和"管理模板"等这几部分，而且在这些部分中，又有许多相同的子设置选项。

我们知道，"计算机配置"是针对计算机对象而言的，"用户配置"是针对用户对象而言的，而用户配置又是通过计算机来应用的，这就存在一个可能两者的相同选项设置不一致、有冲突的问题，这时又该应用哪个设置呢？根据组策略规定，当两者的配置有冲突时，最终以计算机策略为依据。

Windows 2003系统最完美的安全权限设置方案（转）我在电信局做网管，原来管理过三十多台服务器，从多年积累的经验，写出以下详细的Windows2003服务系统的安全方案,我应用以下方案，安全运行了二年，无黑客有成功入侵的记录，也有黑客入侵成功的在案，但最终还是没有拿到肉鸡的最高管理员身份,只是可以浏览跳转到服务器上所有客户的网站。

服务器安全设置>> IIS6.0的安装开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件应用程序———（可选）|——启用网络 COM+ 访问（必选）|——Internet 信息服务(IIS)———Internet 信息服务管理器（必选）|——公用文件（必选）|——万维网服务———Active Server pages（必选）|——Internet 数据连接器（可选）|——WebDAV 发布（可选）|——万维网服务（必选）|——在服务器端的包含文件（可选）>> 在”网络连接”里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议（TCP/IP）和Microsoft网络客户端。

在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS（S）"。

>>在“本地连接”打开Windows 2003 自带的防火墙，可以屏蔽端口，基本达到一个IPSec的功能,只保留有用的端口,比如远程(3389)和 Web(80),Ftp(21),邮件服务器(25,110),https(443),SQL(1433)>> IIS (Internet信息服务器管理器) 在"主目录"选项设置以下读允许写不允许脚本源访问不允许目录浏览建议关闭记录访问建议关闭索引资源建议关闭执行权限推荐选择“纯脚本”>> 建议使用W3C扩充日志文件格式，每天记录客户IP地址，用户名，服务器端口，方法，URI字根，HTTP状态，用户代理，而且每天均要审查日志。

WindowsServer2003中组策略应用作为一个网络治理员，我们期望有一种方便的、灵活的方法能够操纵整个公司的职员的用户桌面环境，能够给用户安装他们所需要的软件而不用您亲自一台一台地去安装。

在Windows Server 2003中提供了这种方便灵活地实现方法——组策略。

专门是在域模式的情形下，应用组策略能够提供更加方便灵活的功能。

18.1创建和配置组策略18.1.1 组策略简介组策略设置定义了系统治理员需要治理的用户桌面环境的各种组件，例如，用户可用的程序、用户桌面上显现的程序以及〝开始〞菜单项选择项。

要为特定用户组创建专门的桌面配置，请使用组策略对象编辑器。

您指定的组策略设置包含在组策略对象中，而组策略对象又与选定的Active Directory 对象〔即站点、域或组织单位〕相关联。

组策略不仅应用于用户和客户端运算机，还应用于成员服务器、域操纵器以及治理范畴内的任何其他Microsoft Windows 2003 运算机。

默认情形下，应用于域的组策略会阻碍域中的所有运算机和用户。

〝Active Directory 用户和运算机〞还提供内置的〝Domain Controllers〞组织单位。

假如将域操纵器帐户储存在那儿，那么能够使用组策略对象〝Default Domain Controllers Policy〞将域操纵器与其他运算机分开治理。

组策略包括阻碍用户的〝用户配置〞策略设置和阻碍运算机的〝运算机配置〞策略设置。

使用组策略可执行以下任务：●通过〝治理模板〞治理基于注册表的策略。

组策略创建了一个包含注册表设置的文件，这些注册表设置写入注册表数据库的〝User〞或〝Local Machine〞部分。

登录到给定工作站或服务器的用户的特定用户配置文件写在注册表的HKEY_CURRENT_USER (HKCU) 下，而运算机特定设置写在HKEY_LOCAL_MACHINE (HKLM) 下。

一、Windows Server2003的安装1、安装系统最少两需要个分区，分区格式都采用NTFS格式2、在断开网络的情况安装好2003系统3、安装IIS，仅安装必要的IIS 组件(禁用不需要的如FTP 和SMTP 服务)。

默认情况下，IIS服务没有安装，在添加/删除Win组件中选择“应用程序服务器”，然后点击“详细信息”，双击Internet信息服务(iis)，勾选以下选项：Internet 信息服务管理器；公用文件；后台智能传输服务(BITS) 服务器扩展；万维网服务。

如果你使用FrontPage 扩展的Web 站点再勾选：FrontPage 2002 Server Extensions4、安装MSSQL及其它所需要的软件然后进行Update。

5、使用Microsoft 提供的MBSA(Microsoft Baseline Security Analyzer) 工具分析计算机的安全配置，并标识缺少的修补程序和更新。

下载地址：见页末的链接二、设置和管理账户1、系统管理员账户最好少建，更改默认的管理员帐户名(Administrator)和描述，密码最好采用数字加大小写字母加数字的上档键组合，长度最好不少于14位。

2、新建一个名为Administrator的陷阱帐号，为其设置最小的权限，然后随便输入组合的最好不低于20位的密码3、将Guest账户禁用并更改名称和描述，然后输入一个复杂的密码，当然现在也有一个DelGuest的工具，也许你也可以利用它来删除Guest账户，但我没有试过。

4、在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略，将账户设为“三次登陆无效”，“锁定时渖栉?0分钟”，“复位锁定计数设为30分钟”。

5、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用6、在安全设置-本地策略-用户权利分配中将“从网络访问此计算机”中只保留Internet来宾账户、启动IIS进程账户。

Windows 2003 服务器六条安全策略策略一：关闭windows2003不必要的服务·computer browser 维护网络上计算机的最新列表以及提供这个列表·task scheduler 允许程序在指定时间运行·routing and remote access 在局域网以及广域网环境中为企业提供路由服务·removable storage 管理可移动媒体、驱动程序和库·remote registry service 允许远程注册表操作·print spooler 将文件加载到内存中以便以后打印。

·ipsec policy agent 管理ip安全策略及启动isakmp/oakleyike)和ip安全驱动程序·distributed link tracking client 当文件在网络域的ntfs卷中移动时发送通知·com+ event system 提供事件的自动发布到订阅com组件·alerter 通知选定的用户和计算机管理警报·error reporting service 收集、存储和向microsoft 报告异常应用程序·messenger 传输客户端和服务器之间的net send 和警报器服务消息·telnet 允许远程用户登录到此计算机并运行程序策略二：磁盘权限设置c盘只给administrators和system权限，其他的权限不给，其他的盘也可以这样设置，这里给的system权限也不一定需要给，只是由于某些第三方应用程序是以服务形式启动的，需要加上这个用户，否则造成启动不了。

windows目录要加上给users的默认权限，否则asp和aspx等应用程序就无法运行。

策略三：关闭不需要的端口本地连接--属性--internet协议(tcp/ip)--高级--选项--tcp/ip筛选--属性--把勾打上，然后添加你需要的端口即可。

当前域环境：在单域中有一些用户、组、计算机帐户，还有三个组织单位（OU），其中财务部还有一个子组织单位“资产管理”，每一个组织单位都有一个委派管理员，左侧有一些要实现的组策略对象（GPO）,本例中域控制器名：jame，域中另一台计算机名：Glasgow。

下面各例用于学习GPO对象的创建、链接、它的冲突解决，继承、阻止继承、强制以及在工作环境中怎样使用组策略来管理域。

（以下各例都在组策略管理工具中完成，在上一课已经安装了GPMC.MSI这个组策略管理工具）一、强制实现域中所有用户使用统一桌面背景。

1. 实现这一策略如下图：先建立一个统一桌面背景的GPO，把它链接到域，并设置这个GPO 为强制。

2. 准备一张图片，放在一个只读共享文件夹中，并确认在网上邻居中可定位它的UNC路径。

图片的UNC路径是：\\Jame\公用共享\背景.jpg。

3. 打开：开始→管理工具→组策略管理，再展开林→域→Nwtraders.msft→组策略对象，在右侧“内容”中右击，选“新建”。

4. 取一个组策略名5. 对新建的GPO右击选“编辑”，进入组策略对象的编辑。

6. 展开用户配置→管理模板→桌面→Active Desktop，首先启用“启用Active Desktop”用于支持Jpg和HTML格式为桌面背景。

在右侧窗口，双击“Active Desktop墙纸”并如下设置。

（不要使用图片的本地路径，这样会使网络中其他计算机不能访问，而要使用UNC路径）7. 把“统一背景”这个GPO链接到域：对域右击，选“链接现有GPO”。

对统一背景GPO右击，设置“强制”，使此GPO的组策略继承是强制继承，不能被阻止继承。

8. 用域用户Kaka登陆域测试一下，背景已经有图片，表示部署成功。

二、除了域管理员和委派管理员外所有域用户禁用控制面板。

1. 本例实现的GPO链接示意图2. 展开“组策略对象”在右侧如上例一样建立一个新的GPO。

对“禁用控制面板”GPO进行编辑。

组策略之软件限制策略——完全教程与规则示例（规则已发布）翻了一下HIPS区之前已有的组策略教程，发现存在几个问题：1.对于路径规则的优先级、通配符问题没有说清，甚至存在误区2.规则的权限设置只有“不允许的”和“不受限的”两个级别，不够灵活3.没有涉及权限和继承的问题4.规则的保护范围有限，甚至不能防网马所以，就有了此文在总结前人经验的基础上，重新解释组策略的软件限制策略第一课，理论部分软件限制策略包括证书规则、散列规则、Internet 区域规则和路径规则。

我们主要用到的是散列规则和路径规则，其中灵活性最好的就是路径规则了，所以一般我们谈到的策略规则，若没有特别说明，则直接指路径规则。

组策略.jpg (32.37 KB)2008-3-2 03:53一.环境变量、通配符和优先级关于环境变量（假定系统盘为 C盘）%USERPROFILE% 表示 C:\Documents and Settings\当前用户名%HOMEPATH% 表示 C:\Documents and Settings\当前用户名%ALLUSERSPROFILE% 表示 C:\Documents and Settings\All Users%ComSpec% 表示 C:\WINDOWS\System32\cmd.exe %APPDATA% 表示 C:\Documents and Settings\当前用户名\Application Data%ALLAPPDATA% 表示 C:\Documents and Settings\All Users\Application Data%SYSTEMDRIVE% 表示 C:%HOMEDRIVE% 表示 C:%SYSTEMROOT% 表示 C:\WINDOWS%WINDIR% 表示 C:\WINDOWS%TEMP% 和 %TMP% 表示 C:\Documents and Settings\当前用户名\Local Settings\Temp%ProgramFiles% 表示 C:\Program Files%CommonProgramFiles% 表示 C:\Program Files\CommonFiles关于通配符：Windows里面默认* ：任意个字符（包括0个），但不包括斜杠? ：1个字符几个例子*\Windows 匹配 C:\Windows、D:\Windows、E:\Windows 以及每个目录下的所有子文件夹。