系统本地安全策略

合集下载

本地安全策略

使用本地安全策略加强windows主机的整体防御1.1学习目的与要求1.1.1 学习目的学生通过该能力模块的学习,能够独立完成和熟练掌握WindowsXP的本地安全策略设置。

1.1.2 学习要求1.学习重点✧禁止枚举账号✧指派本地用户权利✧设置IP安全策略✧配置密码安全策略2.学习难点IP安全策略：IP安全策略是一个给予通讯分析的策略，它将通讯内容与设定好的规则进行比较以判断通讯是否与预期相吻合，然后决定是允许还是拒绝通讯的传输，它弥补了传统TCP/IP设计上的"随意信任"重大安全漏洞，可以实现更仔细更精确的TCP/IP安全，也就是说，当我们配置好IP安全策略后，就相当于拥有了一个免费，但功能完善的个人防火墙。

1.2 本能力单元涉及的知识组织1.2.1本能力单元涉及的主要知识点1.什么是枚举账号2.什么事本地安全策略3.什么是密码安全1.2.2本能力单元需要解决的问题1.按照项目的需求，重点针对WindowsXP的本地安全策略进行设置，达到对本地安全策略的进行深入的理解。

1.3 知识准备1.3.1 本地安全策略安全策略是影响计算机安全性的安全设置的组合。

可以利用本地安全策略来编辑本地计算机上的帐户策略和本地策略。

通过本地安全策略可以控制：∙访问计算机的用户。

∙授权用户使用计算机上的哪些资源。

∙是否在事件日志中记录用户或组的操作。

1.3.2 枚举账号禁用枚举账号的意义一般来说，黑客攻击入侵，大部分利用漏洞，然后提升权限，成为管理员，这一切都跟用户帐号紧密相连。

一般的黑客要攻击Windows 2000/XP等系统，必须要知道账号和密码。

而账号更为关键，那么如何来避免这种情况的发生呢？我们可以利用禁止枚举帐号来限制黑客攻击我们的账户和密码。

由于Windows 2000/XP的默认安装允许任何用户通过空用户得到系统所有账号和共享列表，但是，任何一个远程用户通过同样的方法都能得到账户列表，使用暴力法破解账户密码后，对我们的电脑进行攻击，所以有必要禁止枚举帐号，我们可以通过修改注册表和设置本地安全策略来禁止。

配置本地安全策略

安全漏洞扫描和修复
定期进行安全漏洞扫描，发现漏洞及时修复，减少系统被攻击的风险。
网络访问控制
通过VPN、VLAN等手段，对网络进行分区隔离，实现对网络资源的合理管控。
03
配置本地安全策略的步骤
分析当前安全状况
要点一
确定网络拓扑结构
要点二
识别关键资产
了解当前网络环境，包括服务器、工作站、路由器等设备的分布和连接方式。
05
结论
配置本地安全策略的意义
保障计算机系统安全性
配置正常运行和数据安全。
提高网络安全性
通过配置本地安全策略，可以加强对网络访问和数据传输的安全管理，有效防止网络攻击和数据泄露。
保护个人隐私
配置本地安全策略可以限制不必要的网络连接和数据传输，降低个人隐私泄露的风险。
密码至少包含8个字符，且包含大写字母、小写字母、数字
和特殊字符。
密码定期更换
要求用户每90天更换一次密码，降低密码被破解的风险。
密码使用规范
禁止使用常用密码、生日等容易被猜到的密码，规范密码的使用行为。
网络安全策略
网络安全架构设计
设计合理的网络安全架构，部署防火墙、入侵检测系统等安全设备。
未来发展及趋势
01
加强数据加密
随着网络攻击手段的不断升级，数据加密技术将越来越受到重视，未
来的安全策略将更加注重数据加密技术的运用。
02
AI赋能安全策略
随着人工智能技术的不断发展，AI将赋能安全策略，通过智能分析、
自动防御等技术提高安全策略的效率和精准度。
03
全面风险管理
未来的安全策略将更加注重全面风险管理，通过对各个方面的风险进
加强内部管控

Win XP本地安全策略(secpol.msc)四大应用技巧

[img]/catchpic/D/D2/D2F99D70AC80C65EEE2DF3188AC12B1A.jpg[/img]
三、活用IP策略
我们知道，无论是木马、后门，还是漏洞、嗅探，大多都是通过端口作为通道。
因此，我危险端口的资料，以做到有备而战。
一、加固系统账户
1.禁止枚举账号
我们知道，某些具有黑客行为的蠕虫病毒，可以通过扫描Windows 2000/XP系统的指定端口，然后通过共享会话猜测管理员系统口令。因此，我们需要通过在“本地安全策略”中设置禁止枚举账号，从而抵御此类入侵行为，操作步骤如下:
在“本地安全策略”左侧列表的“安全设置”目录树中，逐层展开“本地策略→安全选项”。查看右侧的相关策略列表，在此找到“网络访问:不允许SAM账户和共享的匿名枚举”，用鼠标右键单击，在弹出菜单中选择“属性”，而后会弹出一个对话框，在此激活“已启用”选项，最后点击“应用”按钮使设置生效。
此外，通过“本地安全设置”，还可以进行通过设置“审核对象访问”，跟踪用于访问文件或其他对象的用户账户、登录尝试、系统关闭或重新启动以及类似的事件。诸如此类的安全设置，不一而足。大家在实际应用中会逐渐发觉“本地安全设置”的确是一个不可或缺的系统安全工具。
[[i] 本帖最后由 saly 于 2007-6-7 09:28 编辑 [/i]]
2.账户管理
为了防止入侵者利用漏洞登录机器，我们要在此设置重命名系统管理员账户名称及禁用来宾账户。设置方法为:在“本地策略→安全选项”分支中，找到“账户:来宾账户状态”策略，点右键弹出菜单中选择“属性”，而后在弹出的属性对话框中设置其状态为“已停用”，最后“确定”退出。
下面，我们再查看“账户:重命名系统管理员账户”这项策略，调出其属性对话框，在其中的文本框中可自定义账户名称(图1)。

本地安全策略-安全选项（初始设置）

策略安全‎设置DC‎O M: 安‎全描述符定‎义语言(S‎D DL)语‎法中的计算‎机访问限制‎没有定义‎DCOM‎:安全描‎述符定义语‎言(SDD‎L)语法中‎的计算机启‎动限制没‎有定义M‎i cros‎o ft 网‎络服务器:‎当登录时‎间用完时自‎动注销用户‎已启用‎M icro‎s oft ‎网络服务器‎:数字签‎字的通信（‎若客户同意‎）已停用‎Micr‎o soft‎网络服务‎器: 数字‎签字的通信‎（总是）‎已停用M‎i cros‎o ft 网‎络服务器:‎在挂起会‎话之前所需‎的空闲时间‎15 分‎钟Mic‎r osof‎t网络客‎户: 发送‎未加密的密‎码到第三方‎SMB ‎服务器。

‎已停用M‎i cros‎o ft 网‎络客户: ‎数字签字的‎通信（若服‎务器同意）‎已启用‎M icro‎s oft ‎网络客户:‎数字签字‎的通信（总‎是）已停‎用故障恢‎复控制台:‎允许对所‎有驱动器和‎文件夹进行‎软盘复制和‎访问已停‎用故障恢‎复控制台:‎允许自动‎系统管理级‎登录已停‎用关机:‎清理虚拟‎内存页面文‎件已停用‎关机: ‎允许在未登‎录前关机‎已启用交‎互式登录:‎不显示上‎次的用户名‎已停用‎交互式登录‎:不需要‎按 CTR‎L+ALT‎+DEL ‎没有定义‎交互式登录‎:会话锁‎定时显示用‎户信息没‎有定义交‎互式登录:‎可被缓冲‎保存的前次‎登录个数‎(在域控制‎器不可用的‎情况下) ‎10 次登‎录交互式‎登录: 要‎求域控制器‎身份验证以‎脱离工作站‎已停用‎交互式登录‎:要求智‎能卡没有‎定义交互‎式登录: ‎用户试图登‎录时消息标‎题没有定‎义交互式‎登录: 用‎户试图登录‎时消息文字‎交互式‎登录: 在‎密码到期前‎提示用户更‎改密码1‎4天交‎互式登录:‎智能卡移‎除操作无‎操作设备‎:防止用‎户安装打印‎机驱动程序‎已停用‎设备: 未‎签名驱动程‎序的安装操‎作默认继‎续设备‎:允许不‎登录脱离‎已启用设‎备: 允许‎格式化和弹‎出可移动媒‎体Adm‎i nist‎r ator‎s设备:‎只有本地‎登录的用户‎才能访问‎C D-RO‎M已停用‎设备: ‎只有本地登‎录的用户才‎能访问软盘‎已停用‎审计: 对‎备份和还原‎权限的使用‎进行审计‎已停用审‎计: 对全‎局系统对象‎的访问进行‎审计已停‎用审计:‎如果无法‎纪录安全审‎计则立即关‎闭系统已‎停用网络‎安全: L‎A N Ma‎n ager‎身份验证‎级别发送‎LM &‎NTLM‎响应网‎络安全: ‎L DAP ‎客户签名要‎求协商签‎名网络安‎全: 不要‎在下次更改‎密码时存储‎LAN ‎M anag‎e r 的‎H ash ‎值已停用‎网络安全‎:在超过‎登录时间后‎强制注销‎已停用网‎络安全设置‎:基于‎N TLM ‎S SP(包‎括安全 R‎P C)服务‎器的最小会‎话安全没‎有最小网‎络安全设置‎:基于‎N TLM ‎S SP(包‎括安全 R‎P C)客户‎的最小会话‎安全没有‎最小网络‎访问: 本‎地帐户的共‎享和安全模‎式经典‎-本地用‎户以自己的‎身份验证‎网络访问:‎不允许‎S AM 帐‎户的匿名枚‎举已启用‎网络访问‎:不允许‎SAM ‎帐户和共享‎的匿名枚举‎已停用‎网络访问:‎不允许为‎网络身份验‎证储存凭据‎或 .NE‎T Pas‎s port‎s已停用‎网络访问‎:可匿名‎访问的共享‎COMC‎F G,DF‎S$网络‎访问: 可‎匿名访问的‎命名管道‎C OMNA‎P,COM‎N ODE,‎S QL\Q‎U ERY,‎S POOL‎S S,LL‎S RPC,‎b rows‎e r网络‎访问: 可‎远程访问的‎注册表路径‎Syst‎e m\Cu‎r rent‎C ontr‎o lSet‎\Cont‎r ol\P‎r oduc‎t Opti‎o ns,S‎y stem‎\Curr‎e ntCo‎n trol‎S et\C‎o ntro‎l\Pri‎n t\Pr‎i nter‎s,Sys‎t em\C‎u rren‎t Cont‎r olSe‎t\Con‎t rol\‎S erve‎rApp‎l icat‎i ons,‎S yste‎m\Cur‎r entC‎o ntro‎l Set\‎S ervi‎c es\E‎v entl‎o g,So‎f twar‎e\Mic‎r osof‎t\OLA‎P Ser‎v er,S‎o ftwa‎r e\Mi‎c roso‎f t\Wi‎n dows‎NT\C‎u rren‎t Vers‎i on,S‎y stem‎\Curr‎e ntCo‎n trol‎S et\C‎o ntro‎l\Con‎t entI‎n dex,‎S yste‎m\Cur‎r entC‎o n tro‎l Set\‎C ontr‎o l\Te‎r mina‎l Ser‎v er,S‎y stem‎\Curr‎e ntCo‎n trol‎S et\C‎o ntro‎l\Ter‎m inal‎Serv‎e r\Us‎e rCon‎f ig,S‎y stem‎\Curr‎e ntCo‎n trol‎S et\C‎o ntro‎l\Ter‎m inal‎Serv‎e r\De‎f ault‎U serC‎o nfig‎u rati‎o n网络‎访问: 让‎“每个人”‎权限应用于‎匿名用户‎已停用网‎络访问: ‎允许匿名‎S ID/名‎称转换‎已停用系‎统对象: ‎对非 Wi‎n dows‎子系统不‎要求区分大‎小写已启‎用系统对‎象: 由‎A dmin‎i stra‎t ors ‎组成员所创‎建的对象默‎认所有者‎O bjec‎t cre‎a tor‎系统对象:‎增强内部‎系统对象的‎默认权限‎(例如 S‎y mbol‎i c Li‎n ks) ‎已启用系‎统加密: ‎使用 FI‎P S 兼容‎的算法来加‎密，散列和‎签名已停‎用域成员‎:对安全‎通道数据进‎行数字加密‎(如果可‎能) 已启‎用域成员‎:对安全‎通道数据进‎行数字加密‎或签名 (‎总是) 已‎启用域成‎员: 对安‎全通道数据‎进行数字签‎名 (如果‎可能) 已‎启用域成‎员: 需要‎强 (Wi‎n dows‎2000‎或以上版‎本) 会话‎密钥已停‎用域控制‎器: LD‎A P 服务‎器签名要求‎没有定义‎域控制器‎:禁用更‎改机器帐户‎密码已停‎用域控制‎器: 拒绝‎更改机器帐‎户密码没‎有定义域‎控制器: ‎允许服务器‎操作员计划‎任务没有‎定义域控‎制器: 最‎长机器帐户‎密码寿命‎30 天‎帐户: 管‎理员帐户状‎态已启用‎帐户: ‎来宾帐户状‎态已停用‎帐户: ‎使用空白密‎码的本地帐‎户只允许进‎行控制台登‎录已启用‎帐户: ‎重命名来宾‎帐户Gu‎e st帐‎户: 重命‎名系统管理‎员帐户u‎s er‎。

如何设置Windows系统中的防火墙和安全策略

如何设置Windows系统中的防火墙和安全策略在Windows系统中，防火墙和安全策略的设置是确保计算机安全和网络安全的重要措施。

正确设置防火墙和安全策略可以阻止恶意软件的入侵，保护个人隐私和敏感数据的安全。

下面将介绍如何设置Windows系统中的防火墙和安全策略。

一、配置防火墙设置Windows系统自带了一个防火墙程序，可以帮助过滤传入和传出的网络流量，保护计算机免受网络攻击。

下面是配置防火墙的步骤：1. 打开控制面板：点击Windows开始菜单，选择“控制面板”。

2. 进入系统和安全设置：在控制面板中，找到并点击“系统和安全”。

3. 打开Windows防火墙：在“系统和安全”页面中，点击“Windows Defender防火墙”或“Windows防火墙”。

4. 配置入站规则：在Windows防火墙窗口中，选择“高级设置”。

5. 添加入站规则：在高级安全设置窗口中，点击“入站规则”选项，然后选择“新建规则”。

6. 设置规则类型：根据实际需要，选择“程序”、“端口”、“预定义”等规则类型，并按照向导提示进行设置。

7. 配置规则动作：根据需要，选择允许或阻止该规则的动作，并根据规则类型进行进一步的设置。

8. 配置规则范围：根据需要，指定规则适用的IP地址范围、端口范围等细节。

9. 完成配置：按照向导的提示完成规则的配置。

10. 配置出站规则：重复步骤5-9，将规则类型设置为“出站规则”，按照需要进行配置。

二、设置安全策略除了防火墙外，Windows系统还提供了安全策略设置，可以进一步保护计算机和网络的安全。

下面是设置安全策略的步骤：1. 打开本地安全策略编辑器：点击Windows开始菜单，输入“secpol.msc”并回车，打开本地安全策略编辑器。

2. 设置密码策略：在本地安全策略编辑器中，展开“帐户策略”>“密码策略”选项。

3. 配置密码复杂度：双击“密码必须符合复杂性要求”策略，并将其设置为“已启用”。

本地安全策略怎么打开

本地安全策略怎么打开本地安全策略是指在计算机系统中对本地资源进行管理和保护的一种策略，通过设置本地安全策略可以有效地保护计算机系统的安全性。

那么，接下来我们就来看一下如何打开本地安全策略。

首先，我们需要打开计算机的控制面板。

在Windows操作系统中，可以通过点击“开始”菜单，然后选择“控制面板”来打开控制面板界面。

在控制面板界面中，我们可以看到各种系统和安全相关的选项，其中包括“管理工具”选项。

我们需要点击“管理工具”选项，然后在其中找到“本地安全策略”这一项。

点击“本地安全策略”后，会弹出一个新的窗口，这个窗口就是本地安全策略的设置界面。

在这个界面中，我们可以对本地安全策略进行各种设置和配置。

在本地安全策略的设置界面中，我们可以看到左侧是各种安全设置的分类，包括账户政策、密码策略、账户锁定策略、用户权限分配等等。

我们可以根据自己的需求，点击相应的分类，然后在右侧进行具体的设置和配置。

比如，如果我们需要设置密码策略，可以点击左侧的“密码策略”，然后在右侧可以看到包括密码长度、密码复杂性、密码历史等各种设置选项。

我们可以根据实际情况，对这些选项进行设置和调整。

除了密码策略之外，还可以对账户政策进行设置，包括密码最长使用期限、密码最短使用期限、强制密码历史等等。

另外，还可以对用户权限进行分配，包括用户的登录权限、文件和打印机的访问权限等等。

在进行设置和配置时，需要注意的是，一些设置可能会对系统的正常使用产生影响，因此需要根据实际情况进行谨慎调整。

在设置完成后，需要点击“应用”或“确定”按钮，使设置生效。

通过以上步骤，我们就可以打开并进行本地安全策略的设置和配置。

通过合理的设置和配置，可以有效地提高计算机系统的安全性，保护本地资源不受未经授权的访问和使用。

总的来说，本地安全策略的设置和配置对于计算机系统的安全至关重要，希望大家能够认真对待，并根据实际需求进行合理的设置，以保护计算机系统和本地资源的安全。

本地安全策略命令

本地安全策略命令本地安全策略命令是Windows操作系统中用于设置本机安全策略的命令行工具。

通过本地安全策略命令，管理员可以配置包括账户和密码策略、用户权限、安全选项和事件日志等在内的多项安全设置，从而提高系统的安全性和可靠性。

本文将介绍几个常用的本地安全策略命令及其用法。

1. seceditsecedit命令在Windows中可以用于分析当前系统安全策略、导出和导入安全模板以及应用安全策略。

管理员可以使用该命令在不同的计算机之间复制安全策略，或将某个计算机的安全策略保存到一个文件中以备份或将其应用到其他计算机上。

以下是一些secedit常用的子命令：- /analyze：分析并打印当前系统的安全策略。

- /export：将当前系统的安全策略导出到一个文件中。

- /import：将一个安全策略文件导入到系统中应用。

- /configure：将一个安全策略模板配置应用到系统中。

例如，通过以下命令可以将当前系统的安全策略导出到一个文件中：secedit /export /cfg c:\security.cfg /overwrite其中，/cfg参数指定了要导出到的文件路径，/overwrite参数表示如果该文件已存在则覆盖之。

2. gpresultgpresult命令可以用于显示当前计算机或用户的组策略结果。

管理员可以使用该命令来确定某个计算机或用户的组策略是否被正确应用，以及哪些组策略设置被应用了。

以下是一些gpresult常用的子命令：- /user：指定要显示组策略结果的用户账户。

- /scope：指定要显示组策略结果的计算机范围，默认为“当前计算机”。

- /v：显示详细的组策略结果信息。

- /h：将组策略结果保存到一个HTML文件中。

例如，通过以下命令可以显示当前计算机的组策略结果：gpresult /r3. netsh advfirewallnetsh advfirewall命令可以用于配置Windows防火墙规则，包括允许或拒绝各种应用程序或端口的访问。

本地安全策略命令

本地安全策略命令本地安全策略是Windows操作系统中的一个重要功能，它可以帮助用户管理计算机的安全设置，包括密码策略、账户锁定策略、用户权限等。

通过本地安全策略命令，用户可以在命令行界面下进行相关设置和管理操作。

本文将介绍一些常用的本地安全策略命令，帮助用户更好地了解和使用这一功能。

首先，我们需要打开命令提示符窗口，可以通过在Windows搜索栏中输入“cmd”并回车来打开。

接下来，我们可以输入以下命令来进行相应的设置和管理操作：1. secedit。

secedit命令可以帮助用户分析安全策略数据库并应用安全模板。

用户可以使用secedit命令来导入和导出安全模板，以及分析安全模板的配置情况。

例如，可以使用以下命令来导出当前安全设置：secedit /export /cfg "C:\security.cfg"这将会将当前的安全设置导出为一个security.cfg文件，用户可以在需要的时候进行导入操作。

2. net accounts。

net accounts命令可以帮助用户查看和更改计算机的密码策略设置。

用户可以使用net accounts命令来查看当前密码策略的详细信息，并可以根据需要进行修改。

例如，可以使用以下命令来设置密码最短长度为8个字符：net accounts /minpwlen:8。

这将会修改密码策略，要求所有用户的密码长度不得少于8个字符。

3. net user。

net user命令可以帮助用户管理本地用户账户，包括创建新用户、删除用户、修改用户密码等操作。

用户可以使用net user命令来查看当前系统中的用户账户信息，并进行相应的管理操作。

例如，可以使用以下命令来创建一个新用户账户：net user testuser 123456 /add。

这将会创建一个用户名为testuser，密码为123456的新用户账户。

4. gpupdate。

gpupdate命令可以帮助用户立即刷新本地计算机或当前用户的组策略设置。

教程--本地安全策略设置

教程--本地安全策略设置本地安全策略是指Windows中的一种安全设置，在本地计算机上对设备的访问和控制权限进行设置和管理。

设置本地安全策略可以帮助我们更好的保护我们的计算机和系统，避免遭受攻击和数据泄露，下面介绍如何设置本地安全策略。

1.打开本地安全策略首先我们需要打开本地安全策略，可以直接在Windows 的“开始”菜单中搜索“本地安全策略”打开。

2.设置账户策略在本地安全策略中，我们可以设置许多不同的安全控制策略。

其中最常用的是账户策略。

在“本地安全策略”中，展开“账户策略”；在“账户策略”中，我们可以设置密码策略。

可以设置密码长度、复杂度以及密码历史纪录等。

3.设置本地策略在本地安全策略中，我们可以设置许多不同的安全控制策略。

其中最常用的是本地策略。

在“本地安全策略”中，展开“本地策略”；在“本地策略”中，我们可以设置许多不同的安全控制策略。

例如，可以设置用户登录的限制、账户锁定策略、安全选项、用户权限以及安全事件等。

4.设置安全选项在安全选项中，我们可以设置很多不同的安全措施。

其中最常用的是设置本地安全选项。

在“本地安全策略”中，展开“本地策略”；在“本地策略”中，展开“安全选项”；在安全选项中，我们可以设置Windows的安全设置和配置如何在操作系统中处理安全事件。

例如，可以设置Windows强制用户必须按Ctrl+Alt+Del键才能登录，或者设置Windows在用户安全登录后自动锁定屏幕等。

5.设置用户权限在本地安全策略中，我们可以设置用户的权限，包括查看文件和文件夹、安装和使用软件、配置系统等。

因此在设置用户权限时，需要慎重考虑每个用户所需的权限，并为每个用户分配适当的权限。

在“本地安全策略”中，展开“本地策略”；在“本地策略”中，展开“用户权限分配”；在用户权限分配中，我们可以设置每个用户可以访问的资源和文件夹。

可以为每个用户分配不同的权限，例如，可以将某个用户设置为管理员权限或普通用户权限。

本地安全策略、动态磁盘、文件共享服务、FTP服务

本地安全策略、动态磁盘、⽂件共享服务、FTP服务本地安全策略本地安全策略影响本地计算机的安全设置两种打开⽅式：开始→Windows管理⼯具→本地安全策略运⾏secpol.msc命令1.帐户策略设置A.密码策略：密码必须符合复杂性要求密码长度最⼩值密码最长使⽤期限密码最短使⽤期限强制密码历史⽤可还原的加密来储存密码B.帐户锁定策略：账户锁定阈值账户锁定时间重置账户锁定计数器2.本地策略A.审核策略通过审核（auditing)可以让系统管理员来跟踪是否有⽤户访问计算机内的资源、跟踪计算机运⾏情况等。

审核⼯作通常需要经过以下三个步骤：启⽤审核策略：Administrators成员才有权限设置将要审核的资源：必须有管理审核及安全⽇志权限的⽤户才可以审核资源，默认是 Administrators成员才有此权限。

查看安全⽇志⽂件：管理⼯具--事件查看器--windows⽇志--安全案例1：审核策略更改⾏为案例2：审核账户登录访问⾏为案例3：审核系统事件⾏为案例4：审核⽬录访问⾏为B.⽤户权限分配：允许本地登录、拒绝本地登录、允许⽤户直接在本台计算机上按ctrl+alt+del键、将⼯作站添加到域中、闭系统、更改系统时间.....C.安全选项：交互登录：⽆须按ctrl+alt+del键、不显⽰最后的⽤户名、提⽰⽤户密码过期前更改密码、试图登录的⽤户的消息⽂本、试图登录的⽤户的消息标题.....动态硬盘⼀、基本磁盘分区类型：MBR、GPTMBR:硬盘分区，有三种：主分区，扩展分区，逻辑分区MBR分区表中逻辑地址以32位⼆进制表⽰，所以最⼤只能表⽰2^32个地址，所以最⼤容量为2^32*512字节（默认每个扇区⼤⼩）=2048G ⼀个硬盘主分区⾄少有1个，最多4个，扩展分区可以没有，最多1个。

且主分区+扩展分区总共不能超过4个。

逻辑分区可以有若⼲个。

其中扩展分区不能直接⽤，必须⽤来分出逻辑分区，逻辑分区存活于扩展分区中。

本地安全策略怎么打开

本地安全策略怎么打开本地安全策略是保护计算机和网络安全的一种方法。

它可以帮助用户限制计算机上的访问权限，防止未经授权的访问和潜在的威胁。

本文将介绍如何打开本地安全策略，并提供相关注意事项。

本地安全策略是Windows操作系统中内置的一种工具，提供了一系列的安全设置，用户可以根据自己的需求进行配置。

打开本地安全策略需要管理员权限，以下是详细步骤：第一步，在Windows操作系统的桌面上，找到开始菜单并点击。

在开始菜单中，找到“运行”选项，点击打开运行对话框。

第二步，在运行对话框中，输入“secpol.msc”并点击“确定”。

这将打开本地安全策略管理器。

第三步，在本地安全策略管理器中，可以看到左侧面板上有一系列的安全设置选项。

这些选项包括账户策略、本地策略、安全选项等等。

用户可以根据需要展开这些选项，并对其中的设置进行修改。

第四步，在修改完相应的设置后，点击“确定”保存更改。

请注意，一些设置可能需要重新启动计算机才能生效。

在使用本地安全策略时，请注意以下几点：1. 确保你具有管理员权限。

只有管理员权限的用户才能进行安全策略的修改。

2. 仔细阅读并理解每个设置的含义。

在修改安全策略之前，确保对相应的设置了如指掌，并确保不会对计算机的正常运行造成影响。

3. 谨慎修改重要的安全设置。

一些设置可能会严重影响系统的安全性和功能。

在修改这些设置之前，建议先备份当前的设置，以防出现问题时可以恢复。

4. 长期关注安全策略的变化。

随着技术的发展，安全威胁也在不断演变。

建议定期了解相关安全领域的最新动态，并相应地更新和调整本地安全策略。

希望本文对你了解如何打开本地安全策略有所帮助。

记住，在进行任何修改前，请确保你理解每个设置的含义，并谨慎操作。

保护计算机和网络的安全是一个持续的过程，需要我们不断学习和跟进。

谢谢阅读！。

本地安全策略命令

本地安全策略命令本地安全策略命令是指在计算机上运行的操作系统中用于管理用户账户和安全设置的命令集合。

本文将介绍一些常用的本地安全策略命令，并讨论它们的功能和用法。

一、用户账户管理命令1. net user：这个命令用于创建、修改或删除本地用户账户。

例如，使用"net user testuser password123 /add"这个命令可以创建一个用户名为testuser，密码为password123的新用户账户。

2. net group：这个命令用于创建、修改或删除用户组，用户组可以用于对一组用户进行管理。

例如，使用"net group testgroup/add"这个命令可以创建一个名为testgroup的新用户组。

3. net localgroup：这个命令用于在本地计算机上创建、修改或删除本地用户组。

例如，使用"net localgroup administrators testuser /add"这个命令可以将testuser用户添加到管理员组中。

二、安全设置管理命令1. secedit：这个命令用于配置和分析安全策略。

例如，使用"secedit /configure /cfg security.inf"这个命令可以根据security.inf文件中的配置信息来应用安全策略。

2. gpupdate：这个命令用于更新本地计算机或用户的组策略设置。

例如，使用"gpupdate /force"这个命令可以强制立即更新组策略设置。

3. auditpol：这个命令用于配置本地计算机上的安全审核策略。

例如，使用"auditpol /set /subcategory:"logon/logoff"/success:enable"这个命令可以启用成功登录或注销事件的审核。

本地安全策略怎么打开3篇

本地安全策略怎么打开
第一篇：本地安全策略是什么以及如何打开
本地安全策略是计算机系统中的一个重要组成部分，它可以提供对系统安全的更好掌控以及更强的保护能力。

通过本地安全策略，可以对计算机上的用户账户、计算机安全设置以及安全日志进行管理和控制。

在Windows系统中，打开本地安全策略可以按照以下步骤进行：
1. 打开“运行”窗口
在Windows系统中，可以按下Win+R快捷键，或者通过开始菜单中的搜索栏搜索“运行”来打开运行窗口。

2. 输入“secpol.msc”
在运行窗口输入“secpol.msc”命令并回车，即可打开本地安全策略界面。

3. 浏览管理选项
在打开的本地安全策略界面中，可以浏览计算机安全设置、本地策略、安全选项、账户策略等多个管理选项，以实现更加精细化的管理控制。

需要注意的是，本地安全策略只对本地计算机有效，若需要对多个计算机进行安全管理，则需要使用更加高级的集中管理工具。

总而言之，本地安全策略是计算机系统中限制访问和控制访问的重要工具，通过它可以更好地保障计算机的安全。

配置本地安全策略

操作系统安全设置
防火墙配置
确保防火墙能够阻止未授权的访问，并只允许必要的网络流量通过。
防病毒软件安装
使用可靠的防病毒软件，定期更新病毒库，并定期进行全面系统扫描。
安全更新
及时应用操作系统的安全更新，以修复已知的安全漏洞。
密码策略
密码复杂度要求
要求密码包含大小写字母、数字和特殊字符，以增加破解难度。
总结和展望总结
未来发展趋势和挑战
随着网络技术的不断发展和应用场景的不断扩大，网络安全面临着越来越多的挑战和威胁。因此，需要不断更新和完善本地安全策略，以适应新的安全需求和风险。
针对未来发展趋势和挑战，可以采取以下措施
加强网络安全教育和培训，提高用户的安全意识和技能；加强网络安全监测和预警，及时发现和处理安全威胁；加强网络安全技术创新和研发，提高网络安全防御能力。
安全审计是一种对系统的安全性进行评估的方法，它可以帮助组织了解其系统的安全性，发现潜在的安全风险，并采取措施来改善安全性。
安全审计的目的
安全审计的目的是为了评估系统的安全性，包括数据的机密性、完整性和可用性，以及系统的物理和逻辑安全性。
安全审计的范围
安全审计的范围可以包括系统的硬件、软件和网络设备，以及系统的操作和业务流程。
对防火墙的日志进行实时监控，以便及时发现并应对攻击。
配置防火墙策略
开放必要的端口
仅开放应用程序或服务所需的端口。
限制访问权限
根据安全策略，限制特定用户或IP地址的访问权限。
配置安全协议
配置合适的安全协议，如SSL、TLS 等。
定期更新
定期更新防火墙软件，以防范新出现的威胁。
03
配置操地安全策略的目的在于保护网络免受未经授权的访问、恶意攻击和其他安全威胁。通过定义和实施一系列安全策略，确保只有授权用户能够访问网络资源，同时防止潜在的安全风险。任务包括定义用户账户、授权访问权限、限制网络流量等。

电脑找不到本地安全策略怎么办

电脑找不到本地安全策略怎么办
本地安全策略是我们在进行一些widow安全操作时的配置文件，那么电脑找不到本地安全策略怎么办呢?接下来大家跟着店铺一起来了解一下电脑找不到本地安全策略的解决方法吧。

电脑找不到本地安全策略解决方法
开始--运行--MMC--文件--添加删除管理单元--添加--组策略--添加，后面的你应该会了。

看你要开哪个策略，就添加哪个策略.
看是不是注册表中锁住了组策略“HKEY_CURRENT_USER\Software\Microsoft\Windows \CurrentVersion\Policies\Explorer”，把“RestrictRun”的键值改为0即可。

电脑打开本地安全策略的方法
1、在开始菜单中找到“控制面板选项”!
2、在控制面板中打开“系统和安全”!
3、在弹窗的新页面中，我们再次点击“管理工具”进入;
4、这时在弹出的窗口中我们找到“管理工具”，再依次找到“本地安全策略”，点击即可打开，如下图所示。

本地安全策略打不开问题3篇

本地安全策略打不开问题第一篇：本地安全策略打不开问题原因及解决方案本地安全策略是Windows操作系统中的一个重要功能，用于设置访问控制、安全设置和用户账户等各种安全选项。

然而，有些用户在尝试打开本地安全策略时，却会遇到打不开的问题。

这时候，我们应该如何解决呢？一、问题的可能原因1、用户权限问题如果你不是计算机管理员，在尝试打开本地安全策略时，会提示“访问被拒绝”的错误。

这时候，你需要要求计算机管理员提升你的用户权限，或者让计算机管理员来操作。

2、服务未开启Windows操作系统的一些服务是需要启用的，否则会导致一些功能无法正常使用。

如果本地安全策略服务未启用，你尝试打开时会收到“请求的事务操作无法完成”提示。

这时候，你需要将本地安全策略服务启动，并在服务属性中将其设为自动启动。

3、文件缺失或损坏本地安全策略文件被损坏或删除也是导致无法打开的原因之一。

此时，你需要通过系统维护工具将其修复或者重新安装操作系统。

4、病毒感染有些病毒会影响系统中的一些功能，包括安全策略。

如果你的电脑感染了病毒，很有可能导致本地安全策略无法打开。

这时候，你需要使用杀毒软件进行清除。

二、解决方案1、用管理员账号进入系统如果你不是计算机管理员，那么你需要要求计算机管理员提升你的用户权限来访问本地安全策略。

如果你是计算机管理员，但是没有使用管理员账号登陆，在打开本地安全策略时也会出现访问被拒绝错误，这时候，你可以使用管理员账号重新登陆系统试试。

2、启动本地安全策略服务在Windows中，本地安全策略服务默认是不启用的。

如果你尝试打开本地安全策略时提示请求的事务操作无法完成，说明该服务未启用。

此时，你可以在系统服务中将其启用，并将其设为自动启动。

启用本地安全策略服务的方法是：依次打开“开始菜单->控制面板->管理工具->服务”，在本地安全策略中将其设为启动即可。

3、修复文件或重新安装系统当本地安全策略文件受到损坏或删除时，你需要使用系统维护工具将其修复或重新安装操作系统。

配置本地安全策略

配置本地安全策略IP安全策略设置方法一、适用范围：它适用于2000以上Windows系统的专业版；对家庭版的用户能够看一下是不是能通过：操纵台（运行mmc）－文件－添加/删除管理单元－添加－添加独立单元，添加上“IP安全策略管理”，如行的话则可在左边的窗口中看到“IP安全策略，在本地计算机”了，接下来的操作就跟专业版一样了。

二、找到“IP安全策略，在本地计算机”：“IP安全策略，在本地计算机”选项在“本地安全设置”下，因此要找到它就打开“本地安全设置”的方法，要紧使用下列两种方法来打开：1是点“开始”－“运行”－输入secpol.msc，点确定；2是“操纵面板”－“管理工具”－“本地安全策略”。

打开“本地安全策略”对话框就能在左边的窗口中看到“IP安全策略，在本地计算机”了。

右击它，在它的下级菜单中能看到“创建IP安全策略”与“管理IP筛选器表与筛选器操作”等菜单（也能够在此级菜单中的“所有任务”项的下级菜单中看到上面的两个菜单）。

三、建立新的筛选器：1、在“IP安全策略，在本地计算机”的下级菜单中选择“管理IP筛选器与筛选器操作”菜单，打开“管理IP筛选器与筛选器操作”对话框，里面有两个标签：“管理IP 筛选器列表”与“管理筛选器操作”。

选择“管理IP筛选器列表”标签，在“IP筛选器列表”下的文本框下面能看到三个按钮：“添加”、“编辑”与“删除”。

2、点“添加”按钮，打开叫做“IP筛选器列表”的对话框，里面有三个文本框，从上到下分别是：“名称”、“描述”与“筛选器”。

在“名称”与“描述”文本框右边，能看到“添加”、“编辑”与“删除”三个按钮（对没有内容的筛选器而言，它的“编辑”与“删除”按钮不可用），在这三个按钮下有一个复选框，复选框后面有“使用‘添加向导’”这样的文本说明。

3、取消默认的对“使用‘添加向导’”的勾选，在“名称”下面的文本框中把默认的“新IP筛选器列表”修改成下面要建立的筛选器列表的名称，我们这里先输入：“病毒常驻端口”，在“描述”下面的空白文本框中输进去“病毒常驻端口”后面的全部端口号（能够用复制、粘贴来操作），要紧作用是便于下一步参照着添加作为“筛选器”具体内容的“端口”。

系统的本地安全策略禁止端口

PS:关闭135‎端口的方法‎一.创建IP筛‎选器和筛选‎器操作1."开始"->"程序"->"管理工具"->"本地安全策‎略".微软建议使‎用本地安全‎策略进行I‎P sec的‎设置,因为本地安‎全策略只应‎用到本地计‎算机上,而通常ip‎sec都是‎针对某台计‎算机量身定‎作的.2.右击"Ip安全策‎略,在本地机器‎",选择"管理IP 筛选器表和‎筛选器操作‎",启动管理IP 筛选器表和‎筛选器操作‎对话框.我们要先创‎建一个IP‎筛选器和相‎关操作才能‎够建立一个‎相应的IP ‎s e c安全‎策略.3.在"管理IP筛选器表"中,按"添加"按钮建立新‎的IP筛选‎器:1)在跳出的I‎P筛选器列‎表对话框内‎,填上合适的‎名称,我们这儿使‎用"tcp13‎5",描述随便填‎写.单击右侧的‎"添加..."按钮,启动IP筛‎选器向导.2)跳过欢迎对‎话框,下一步.3)在IP通信‎源页面,源地方选"任何IP地‎址",因为我们要‎阻止传入的‎访问.下一步.4)在IP通信‎目标页面,目标地址选‎"我的IP地‎址".下一步.5)在IP协议‎类型页面,选择"TCP".下一步.6)在IP协议‎端口页面,选择"到此端口"并设置为"135",其它不变.下一步.7)完成.关闭IP筛‎选器列表对‎话框.会发现tc‎p135I‎P筛选器出‎现在IP筛‎选器列表中‎.4.选择"管理筛选器‎操作"标签,创建一个拒‎绝操作:1)单击"添加"按钮,启动"筛选器操作‎向导",跳过欢迎页‎面,下一步.2)在筛选器操‎作名称页面‎,填写名称,这儿填写"拒绝".下一步.3)在筛选器操‎作常规选项‎页面,将行为设置‎为"阻止".下一步.4)完成.5.关闭"管理IP筛选器表和‎筛选器操作‎"对话框.二.创建IP安‎全策略1.右击"Ip安全策‎略,在本地机器‎",选择"创建IP安‎全策略",启动IP安‎全策略向导‎.跳过欢迎页‎面,下一步.2.在IP安全‎策略名称页‎面,填写合适的‎IP安全策‎略名称,这儿我们可‎以填写"拒绝对tc‎p135端‎口的访问",描述可以随‎便填写.下一步.3.在安全通信‎要求页面,不选择"激活默认响‎应规则".下一步.4.在完成页面‎,选择"编辑属性".完成.5.在"拒绝对tc‎p135端‎口的访问属‎性"对话框中进‎行设置.首先设置规‎则:1)单击下面的‎"添加..."按钮,启动安全规‎则向导.跳过欢迎页‎面,下一步.2)在隧道终结‎点页面,选择默认的‎"此规则不指‎定隧道".下一步.3)在网络类型‎页面,选择默认的‎"所有网络连‎接".下一步.4)在身份验证‎方法页面,选择默认的‎"windo‎ws 2000默‎认值(Kerbe‎ros V5 协议)".下一步.5)在IP筛选‎器列表页面‎选择我们刚‎才建立的"tcp13‎5"筛选器.下一步.6)在筛选器操‎作页面,选择我们刚‎才建立的"拒绝"操作.下一步.7)在完成页面‎,不选择"编辑属性",确定.6.关闭"拒绝对tc‎p135端‎口的访问属‎性"对话框.三.指派和应用‎IPsec‎安全策略1.缺省情况下‎,任何IPs‎e c安全策‎略都未被指‎派.首先我们要‎对新建立的‎安全策略进‎行指派.在本地安全‎策略MMC‎中,右击我们刚‎刚建立的""拒绝对tc‎p135端‎口的访问属‎性"安全策略,选择"指派".2.立即刷新组‎策略.使用"seced‎i t /refre‎shpol‎i c y machi‎n e_po‎l i cy"命令可立即‎刷新组策略‎.指派意思相‎当于启动，不指派相当‎于停止ＰＳ：附上１３５‎端口资料135端口‎：135端口‎主要用于使‎用R PC（Remot‎e Proce‎d ure Call，远程过程调‎用）协议并提供‎D COM（分布式组件‎对象模型）服务。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

3、只开放服务需要的端口与协议。
具体方法为:按顺序打开“网上邻居→属性→本地连接→属性→Internet 协议→属性→高级→选项→TCP/IP筛选→属性”，添加需要的TCP、UDP端口以及IP协议即可。根据服务开设口.
常用的TCP口有:80口用于Web服务;21用于FTP服务;25口用于SMTP;23口用于Telnet服务;110口用于POP3(邮件服务)。
关闭139端口的方法是在“网络和拨号连接”——“本地连接”中选取“Internet协议(TCP/IP)”属性，进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端口。
对于个人用户来说，可以在以上各项服务属性设置中设为“禁用”，以免下次重启服务也重新启动后端口再次打开。现在你不用担心你的端口和默认共享了。
⑤只给用户真正需要的权限，权限的最小化原则是安全的重要保障。
⑥预防ICMP攻击。ICMP的风暴攻击和碎片攻击是NT主机比较头疼的攻击方法，而Windows 2000/2003应付的方法很简单。Windows 2000/2003自带一个Routing & Remote Access工具，这个工具初具路由器的雏形。在这个工具中，我们可以轻易地定义输入输出包过滤器。如设定输入ICMP代码255丢弃就表示丢弃所有的外来ICMP报文。
常用的UDP端口有:53口-DNS域名解析服务;161口-snmp简单的网络管理协议。8000、4000用于OICQ，服务器用8000来接收信息，客户端用4000发送信息。如果没有上面这些服务就没有必要打开这些端口。
4、禁止建立空连接
Windows 2000/XP的默认安装允许任何用户可通过空连接连上服务器，枚举账号并猜测密码。空连接用的端口是139，通过空连接，可以复制文件到远端服务器，计划执行一个任务，这就是一个漏洞。可以通过以下两种方法禁止建立空连接:
1、关闭7.9等等端口:关闭Simple TCP/IP Service,支持以下 TCP/IP 服务:Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。
2、关闭80口:关掉WWW服务。在“服务”中显示名称为"World Wide Web Publishing Service"，通过 Internet 信息服务的管理单元提供 Web 连接和管理。
3、增加登录的难度，在“账户策略→密码策略”中设定:“密码复杂性要求启用”，“密码长度最小值8位”，“强制密码历史5次”，“最长存留期 30天”;在“账户策略→账户锁定策略”设定:“账户锁定3次错误登录”，“锁定时间30分钟”，“复位锁定计数30分钟”等，增加了登录的难度对系统的安全大有好处。
8、修改3389:打开注册表HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\Wds\Repwd\Tds\Tcp, 看到那个PortNumber没有?0xd3d，这个是16进制，就是3389啦。我改XXXX这个值是RDP(远程桌面协议)的默认值，也就是说用来配置以后新建的RDP服务的，要改已经建立的RDP服务，我们去下一个键值:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations这里应该有一个或多个类似RDP-TCP的子健(取决于你建立了多少个RDP服务)，一样改掉PortNumber。
四、网络服务安全管理
1、关闭不需要的服务
只留必需的服务，多一些服务可能会给系统带来更多的安全因素。如Windows 2000/2003的Terminal Services(终端服务)、IIS(web服务)、RAS(远程访问服务)等，这些都有产生漏洞的可能。
2、关闭不用的端口。
配好系统对付病毒(文摘)分类:报刊文摘
电脑安全问题一直以来都是个最重要的一个问题，也是电脑爱好者最关心的一清楚的，也不是几天就能够学会的。在这里我总结了一些系统安全配置方面的知识，希望对大家有所帮助。因为只有一台安全的电脑才可以预防病毒的骚扰、抵御黑客的入侵。
UDP端口:1434(这个就不用说了吧)
阻止所有ICMP,即阻止PING命令
2、在这里我用关闭135端口来实例讲解
七、审核策略
具体方法:控制面板→管理工具→本地安全策略→本地策略→审核策略，然后右键点击下列各项，选择“安全性”来设置就可以了。
审核策略更改:成功,失败
六、本地安全策略
1、通过建立IP策略来阻止端口连接
TCP端口:21(FTP,换FTP端口)23(TELNET),53(DNS),135,136,137,138,139,443,445,1028,1433,3389
TCP端口:1080,3128,6588,8080(以上为代理端口).25(SMTP),161(SNMP),67(引导)
二、正确设置和管理账户
1、停止使用Guest账户，并给Guest 加一个复杂的密码。所谓的复杂密码就是密码含大小写字母、数字、特殊字符(～!@#￥%《》，。?)等。比如象:“G7Y3，^)y。
2、账户要尽可能少，并且要经常用一些扫描工具查看一下系统账户、账户权限及密码。删除停用的账户，常用的扫描软件有:流光、HSCAN、X-SCAN、STAT SCANNER等。正确配置账户的权限，密码至少应不少于8位，比如:"3H.#4d&j1)~w",呵呵……让他破吧!!这样的密码他可能把机子跑烂也跑不出来哦 ^_^
三、正确地设置目录和文件权限(这步可以在以后做)
为了控制好服务器上用户的权限，同时也为了预防以后可能的入侵和溢出，还必须非常小心地设置目录和文件的访问权限。Windows 2000/XP Pro的访问权限分为:读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下，大多数的文件夹对所有用户(Everyone这个组)是完全控制的(Full Control)，您需要根据应用的需要重新设置权限。在进行权限控制时，请记住以下几个原则:
A:修改注册表中Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值为1。
B:修改Windows 2000的本地安全策略。设置“本地安全策略→本地策略→选项”中的RestrictAnonymous(匿名连接的额外限制)为“不容许枚举SAM账号和共享”。
在账户锁定策略中设置:"复位账户锁定计数器"为30分钟之后,"账户锁定时间"为30分钟,"账户锁定值"为30分钟。
Windows 2000/XP的默认安装允许任何用户通过空连接得到系统所有账号和共享列表，这本来是为了方便局域网用户共享资源和文件的，但是，同时任何一个远程用户也可以通过同样的方法得到您的用户列表，并可能使用暴力法破解用户密码给整个网络带来破坏。很多人都只知道更改注册表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1来禁止空用户连接，实际上Windows 2000/XP的本地安全策略里(如果是域服务器就是在域服务器安全和域安全策略里)就有RestrictAnonymous选项，其中有三个值:“0”这个值是系统默认的，没有任何限制，远程用户可以知道您机器上所有的账号、组信息、共享目录、网络传输列表(NetServerTransportEnum)等;“1”这个值是只允许非NULL用户存取SAM账号信息和共享信息;“2”这个值只有Windows 2000/XP才支持，需要注意的是，如果使用了这个值，就不能再共享资源了，所以还是推荐把数值设为“1”比较好。
五、关闭无用端口和修改3389端口
Windows的每一项服务都对应相应的端口，比如众如周知的www服务的端口是80，smtp是25，ftp是21，win2000/XP安装中这些服务都是默认开启的。对于个人用户来说确实没有必要，关掉端口也就是关闭了无用的服务。
关闭这些无用的服务可以通过“控制面板”的“管理工具”中的“服务”中来配置。
一、安装过程
1、有选择性地安装组件
安装操作系统时请用NTFS格式，不要按Windows 2000的默认安装组件，本着“最少的服务+最小的权限=最大的安全”原则，只选择安装需要的服务即可。例如:不作为Web服务器或FTP服务器就不安装IIS。常用Web服务器需要的最小组件是: Internet 服务管理器、WWW服务器和与其有关的辅助服务。如果是默认安装了IIS服务自己又不需要的就将其卸载。卸载办法:开始---->设置---->控制面板---->添加删除程序---->添加/删除Windows组件，在“windows组件向导”的“组件(C):”中将“Internet信息服务(IIS)”前面小框中的√去掉，然后“下一步”就卸载了IIS。
一权限是累计的，如果一个用户同时属于两个组，那么他就有了这两个组所允许的所有权限。
②拒绝的权限要比允许的权限高(拒绝策略会先执行)。如果一个用户属于一个被拒绝访问某个资源的组，那么不管其他的权限设置给他开放了多少权限，他也一定不能访问这个资源。
③文件权限比文件夹权限高。
④利用用户组来进行权限控制是一个成熟的系统管理员必须具有的优良习惯。
审核登录事件:成功,失败
审核对象访问:失败
审核对象追踪:成功,失败
审核目录服务访问:失败
审核特权使用:失败
审核系统事件:成功,失败
审核账户登录事件:成功,失败
审核账户管理:成功,失败
密码策略:启用“密码必须符合复杂性要求","密码长度最小值"为6个字符,"强制密码历史"为5次,"密码最长存留期"为30天。