Windows网络组策略实施方法

1、在“组策略编辑器”中，依次的打开“本地计算机策略” →“用户配置”
→“Windows设置” →“安全设置” →“本地策略” →“安全选项”。
如图

2、选择 “交互式登录：不显示上次的用户名” （双击）→选中 “已启用” 单选按钮→按 “确定”，设置完成。
5、域中添加工作站
通过给用户“域中添加工作站”的权限，可以让用户在一个域中添加最多10 台计算机。 操作步骤 1、在“组策略编辑器”左栏中依次打开“本地计算机策略” →“计算机配 置” →“windows配置” →“安全设置” →“本地策略” →“用户权利指 派”如图

3、组策略应用的领域
一、活动目录结构 二、配置安全策略 三、管理用户环境 四、文件夹重定向 五、桌面策略 六、系统性能策略 等其他策略

4部署“安全”的组策略

1、远程关机 2、解锁组侧表 3、关闭端口 4、交互式登录“不显示上次的用户名” 5、域中添加工作站 6、阻止黑客攻击 7、网络访问权限设置 8、IP地址保护 9、启用审核 10、防止匿名登录
2、组策略及作用
说到组策略，就不得不提注册表。注册表是Windows系统中保存系统、应用 软件配置的数据库，随着Windows功能的越来越丰富，注册表里的配置项目 也越来越多。很多配置都是 可以自定义设置的，但这些配置发布在注册表的 各个角落，如果是手工配置，可想是多么困难和烦杂。而组策略则将系统重 要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管 理计算机的目的。 简单点说，组策略就是修改注册表中的配置，也是由 系统管理员管理和维护的，系统管理员使用（MMC，Microsoft Manage Controller）工具来对用户组和计算机组设置策略。 而组策略是系统管理员为计算机和用用户定义的，用来控制应用程序，系统 设置和管理模板的一种机制。他是介于控制面板和组侧表之间的一种修改系 统，设置程序的工具。 当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进 行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。

选择“已禁用”的按钮→按“确定”即可。
谢谢


(2)管理信息存储和传输的加密与完整性，Web浏览器和网络管理服务器 之间采用安全套接字层(SSL)传输协议，对管理信息加密传输并保证其完整性； 内部存储的机密信息，如登录口令等，也是经过加密的。 (3)网络管理用户分组管理与访问控制，网络管理系统的用户(即管理员) 按任务的不同分成若干用户组，不同的用户组中有不同的权限范围，对用户 的操作由访问控制检查，保证用户不能越权使用网络管理系统。 (4)系统日志分析，记录用户所有的操作，使系统的操作和对网络对象的 修改有据可查，同时也有助于故障的跟踪与恢复
同样的 在在组策略编辑器中，一次展开“本地计算机”策略->计算机配置>windows 配置->安全配置->本地策略->用户权利指派->关闭系统 双击 在其 属性中添加“Guest”对象。（接下去同上面的步骤） 最后在命令行输入：


在远程机子桌面便会出现如下方框：
2、解锁注册表
操作过程 由用户配置（双击）→选择 管理模板（双击）→选择 防止访问注册表编辑工 具（双击）→点击 已禁用 →按 确定


2、双击右侧栏中的“域中添加工作站”策略，显示“域中添加工作站 属性” 对话框，选中“定义这些策略设置” →“添加用户或组” →“浏览” →“选择用户或组”
选择“添加域中工作站”点击确定即可
组策略的打开 打开开始→选择运行→输入gpedit.msc
6、阻止黑客攻击



现在智能化的网络安全漏洞扫描越来越多了。 在黑客入侵的时候经 常要在对方的机器上执行一些Windows本身的程序，如：net.exe、 cmd.exe和at.exe等，如果能禁止这些程序的运行，那么就可以有效 的防止黑客的入侵。 1、使用组策略禁止程序的运行 在“组策略编辑器”依次打开“本地计算机策略”—>“用户配置”— >“管理模板”—>“系统”，如图：


第二步，以“审核策略更改”为例。双击“审核更改策略”，显示其属性。 如果选中“成功”复选框，服务器日后将会对所有事件的成功操作进行审核； 如果选中“失败”复选框，服务器日后将会对所有事件的失败操作进行审核， 如图：
10、防止匿名登录



攻击者会利用Windows计算机中的匿名登录访问到关系安全的信息。利用组策略对象，可以保护的 Windows计算机，限制匿名登录。 1.保护的范围： 在计算机里的用户列表，包括活动目录； 在计算机里的组列表，包括活动目录； 用户账号的安全标示（SIDS）； 安全标识的用户账号； 在计算机里的共享列表； 在计算机里的咋还能更好策略； 在计算机里的NetBIOS名； 的域所信赖的域列表。 2.保护的级别： ①网络访问： 首先：打开开始→选择运行→输入gpedit.msc→在 “组策略编辑器”→在右侧选择 “计算机配 置” （双击）→选择 “Windows设置”（双击）→选择“安全设置”（双击）→选择“本地策略” （双击）→选择“安全选项”（双击）→查找 “网络访问：允许匿名SID╱名”。

双击“不要运行指定的Windows应用程序”，显示其属性，在选择“已启 用”，然后点击“显示”，如图：

在弹出的对话框中单击“添加”

最后在显示的“添加项目”对话框，，在“输入要添加的项目”文本 框中输需要禁止运行的程序名，单击“确定”就可以了，此后，这些 指定的应用程序将不能运行。
7、网络权限访问设置


第二步，双击“禁用TCP/IP高级配置”策略，显示其属性，，点击“已启用” 如图：

组策略生效后，任何一个工作站用户日后打开TCP/IP属性设置窗口时，将会 发现无法进入“高级”设置窗口，修改工作站的IP地址或其他网络参数，这 样就达到不允许用户修改自己电脑的IP设置目的。
9、启用审核
为追踪服务器恶意攻击事件，启用安全审核策略，保护好服务器的安全。 第一步，在“组策略编辑器”中依次展开“本地计算机策略”—>“计算机配 置”—>“Windows配置”—>“安全设置”—>“本地策略”—>“审核策略”， 如图：

注册表编辑器→在运行 对话框 输入 regedit→在注册表中将 IE主页地址修改成默认即可~~
3、关闭端口


黑客子在攻击服务器时，都需要先于服务器建立网络连接， 然后才能通过135网络端口对服务器进行破坏，因此，我 们只要能“拒绝”其他客户端通过网络来访问服务器，就 能达到间接关闭135网络端口的目的，从而确保服务器不 受远程攻击力。 操作过程 1，在“组策略编辑器”中，依次打开“本地计算机策略” →“计算机配置” →“windows 设置” →“安全设置” →“本地设置” →“用户权限分配” 。如图

在对应“用户权利指派”项目的右侧窗口区域中，双击右侧栏中的“拒绝 本地登录”策略，显示“拒绝本地登录 属性”对话框

单击“添加用户或组”按钮，在“选择用户或组”对话框中选择所要设置 的用户，再单击“确定”按钮
8、IP地址保护
在局域网中常常会出现工作站IP地址被随意修改，造成IP冲突现象的发生， 从而影响局域网的运行效率。目前有许多方法可以避免地址发生冲突，最简 单的办法就是借助组策略功能，可以很轻松的限制局域网工作站的网络配置 参数被随意修改，从而有效避免网络中的IP地址发生冲突。 第一步，在“组策略编辑器”中依次展开“本地计算机策略”—>“用户配 置”—>“管理模板”—>“网络”—>“网络连接”，如图：

本机屏幕会显示如下：

远程关机实例： 首先要在被关机的来自子上如下设置：
打开开始→选择运行→输入gpedit.msc

在组策略编辑器中，一次展开“本地计算机”策略->计算机配置->windows 配置->安全配置->本地策略->用户权利指派->从远端系统强制关机 双击 在其 属性中添加“Guest”对象。
Windows 网络组策略实 施方法
1、网络管理的需求 及网络安全管 理




网络管理 网络管理包括对硬件、软件和人力的使用、综合与协调，以便对网络资源进 行监视、测试、配置、分析、评价和控制，这样就能以合理的价格满足网络 的一些需求，如实时运行性能、服务质量等。网络管理常简称为网管。 网络安全管理 安全性一直是网络的薄弱环节之一,而用户对网络安全的要求又相当高,因此网 络安全管理非常重要。网络中主要有以下几大安全问题: 网络数据的私有性(保护网络数据不被侵 入者非法获取), 授权(authentication)(防止侵入者在网络上发送错误信息), 访问控制(控制访问控制(控制对网络资源的访问)。 相应的,网络安全管理应包括对授权机制、访问控制 、加密和加密关键字 的管理,另外还要维护和检查安全日志。包括: 网络管理过程中，存储和传输的管理和控制信息对网络的运行和管理至 关重要，一旦泄密、被篡改和伪造，将给网络造成灾难性的破坏。网络管理 本身的安全由以下机制来保证： (1)管理员身份认证，采用基于公开密钥的证 书认证机制；为提高系统效率，对于信任域内(如局域网)的用户，可以使用简 单口令认证。

2，双击右侧栏中的“拒绝从网络访问这台计算机”策略，显示“拒绝从网络 访问这台计算机 属性”对话框，如图

3，单击”添加用户或组”，显示“选择用户或组”对话框，选择 “Everyone”账号后点确定，如图
4、交换登陆“不显示上次的用户名”
使用组策略功能不显示上次登录的用户名。 在局域网中，用户按住“CTRL+ALT+DEL”登录，会显示上次登录的用户名。 为了企业安全和用户身份的保密，使用组策略完成此安全设置。 操作步骤


服务器中包含许多用户，但为了保护服务器的安全，希望这些用户对服务 器的访问控制权限各不相同，以便如后服务器遇到意外时，能根据权限高 低的不同，就能快速的找到“从中作乱”的用户。要想对不同的用户，分 配不同的访问权制权限，使用服务器组策略就可以轻松完成。 操作步骤： 1、在“组策略编辑器”左栏中依次打开“本地计算机策略” →“计算机 配置” →“windows配置” →“安全设置” →“本地策略” →“用户权 利指派”如图
1、远程关机

在Windows XP中，新增了一条命令行工具“shutdown”，其作用是“关闭或重新启动 本地或远程计算机”。利用它，我们不但可以注销用户，关闭或重新启动计算机，还 可以实现定时关机、远程关机。 该命令的语法格式如下： shutdown [-i |-l|-s |-r |-a] [-f] [-m [\\ComputerName]] [-t xx] [-c “message”] 其中，各参数的含义为： -i 显示图形界面的对话框。 -l 注销当前用户，这是默认设置。 -m ComputerName优先。 -s 关闭计算机。 -r 关闭之后重新启动。 -a 中止关闭。除了-l 和ComputerName 外，系统将忽略其它参数。在超 时期间，您只可以使用-a。 -f 强制运行要关闭的应用程序。 -m [\\ComputerName] 指定要关闭的计算机。 -t xx 将用于系统关闭的定时器设置为 xx 秒。默认值是20秒。 -c “message” 指定将在“系统关闭”窗口中的“消息”区域显示的消息。最多可 以使用 127 个字符。引号中必须包含消息。 关闭本机实例： 在命令行输入如下：