本地安全策略-用户权限分配策略的配置及安全选项策略的配置

系统本地安全策略

3、只开放服务需要的端口与协议。
具体方法为:按顺序打开“网上邻居→属性→本地连接→属性→Internet 协议→属性→高级→选项→TCP/IP筛选→属性”，添加需要的TCP、UDP端口以及IP协议即可。根据服务开设口.
常用的TCP口有:80口用于Web服务;21用于FTP服务;25口用于SMTP;23口用于Telnet服务;110口用于POP3(邮件服务)。
关闭139端口的方法是在“网络和拨号连接”——“本地连接”中选取“Internet协议(TCP/IP)”属性，进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端口。
对于个人用户来说，可以在以上各项服务属性设置中设为“禁用”，以免下次重启服务也重新启动后端口再次打开。现在你不用担心你的端口和默认共享了。
⑤只给用户真正需要的权限，权限的最小化原则是安全的重要保障。
⑥预防ICMP攻击。ICMP的风暴攻击和碎片攻击是NT主机比较头疼的攻击方法，而Windows 2000/2003应付的方法很简单。Windows 2000/2003自带一个Routing & Remote Access工具，这个工具初具路由器的雏形。在这个工具中，我们可以轻易地定义输入输出包过滤器。如设定输入ICMP代码255丢弃就表示丢弃所有的外来ICMP报文。
常用的UDP端口有:53口-DNS域名解析服务;161口-snmp简单的网络管理协议。8000、4000用于OICQ，服务器用8000来接收信息，客户端用4000发送信息。如果没有上面这些服务就没有必要打开这些端口。
4、禁止建立空连接
Windows 2000/XP的默认安装允许任何用户可通过空连接连上服务器，枚举账号并猜测密码。空连接用的端口是139，通过空连接，可以复制文件到远端服务器，计划执行一个任务，这就是一个漏洞。可以通过以下两种方法禁止建立空连接:

Win 2003 Server 服务器安全设置(六)本地安全策略

Win 2003 Server 服务器安全设置（七）服务器安全设置之--本地安全策略设置
安全策略自动更新命令：GPUpdate /force (应用组策略自动生效不需重新启动) 开始菜单—>管理工具—>本地安全策略
A、本地策略——>审核策略
审核策略更改成功失败
审核登录事件成功失败
审核对象访问失败
审核过程跟踪无审核
审核目录服务访问失败
审核特权使用失败
审核系统事件成功失败
审核账户登录事件成功失败
审核账户管理成功失败
B、本地策略——>用户权限分配
关闭系统：只有Administrators组、其它全部删除。

通过终端服务拒绝登陆：加入Guests、User组
通过终端服务允许登陆：只加入Administrators组，其他全部删除
C、本地策略——>安全选项
交互式登陆：不显示上次的用户名启用
网络访问：不允许SAM帐户和共享的匿名枚举启用
网络访问：不允许为网络身份验证储存凭证启用
网络访问：可匿名访问的共享全部删除
网络访问：可匿名访问的命全部删除
网络访问：可远程访问的注册表路径全部删除
网络访问：可远程访问的注册表路径和子路径全部删除
帐户：重命名来宾帐户重命名一个帐户
帐户：重命名系统管理员帐户重命名一个帐户。

登录失败：未授予用户在此计算机上的请求登录类型。无法访问

”\“例外”\在程序与服务下勾选“文件和打印机共享”。
（5)删除“拒绝从网络上访问这台计算机”项中的guest账户：运行组策略（gpedit.msc）\本地计算机\
计算机配置\windows设置\安全设置\本地策略\用户权利指派\拒绝从网络访问这台计算机。如果其中有gu
est，则将其删除。（原因是：有时xp的guest是不允许访问共享的）
建议，如果你的局域网不用上Internet便只需要安装NetBEUI协议就行了。在小型局域网（拥有200台左右电脑的网络）中NetBEUI是占用内存最少、速度最快的一种协议，NWLink IPX/SPX/NetBIOS兼容协议则应当删除掉。
如果你的局域网要上Internet则必须安装TCP/IP协议。但为了网络的快速访问，建议指定每台工作站的IP地址（除非网络中有DHCP服务器），否则工作站总是不断查找DHCP服务器使网速变慢。
a.确认右边的“网络访问：本地帐户的共享与安全模式”为“经典”；
b.确认右边的“Microsoft网络客户：为通讯启用数字签名（总是）”为“已停用”；
c.确认右边的“Microsoft网络客户：为通讯启用数字签名（如果服务器允许）”为“已启用”；
d.确认右边的“Microsoft网络服务器：为通讯启用数字签名（总是）”为“已停用”；
下午终于找到了解决方法，
1.在运行中输入GPEDIT.MSC运行组策略.计算机配置/WINDOWS设置/安全设置/本地策略/安全选项中,找到网络访问—本地帐户的共享和安全模式—选择经典.
2.计算机配置/WINDOWS设置/安全设置/本地策略/用户权利指派中，将Guests在拒绝从网络访问这台计算机中删除掉，当然你首先要将Guests启用

本地安全策略-安全选项（初始设置）

策略安全‎设置DC‎O M: 安‎全描述符定‎义语言(S‎D DL)语‎法中的计算‎机访问限制‎没有定义‎DCOM‎:安全描‎述符定义语‎言(SDD‎L)语法中‎的计算机启‎动限制没‎有定义M‎i cros‎o ft 网‎络服务器:‎当登录时‎间用完时自‎动注销用户‎已启用‎M icro‎s oft ‎网络服务器‎:数字签‎字的通信（‎若客户同意‎）已停用‎Micr‎o soft‎网络服务‎器: 数字‎签字的通信‎（总是）‎已停用M‎i cros‎o ft 网‎络服务器:‎在挂起会‎话之前所需‎的空闲时间‎15 分‎钟Mic‎r osof‎t网络客‎户: 发送‎未加密的密‎码到第三方‎SMB ‎服务器。

‎已停用M‎i cros‎o ft 网‎络客户: ‎数字签字的‎通信（若服‎务器同意）‎已启用‎M icro‎s oft ‎网络客户:‎数字签字‎的通信（总‎是）已停‎用故障恢‎复控制台:‎允许对所‎有驱动器和‎文件夹进行‎软盘复制和‎访问已停‎用故障恢‎复控制台:‎允许自动‎系统管理级‎登录已停‎用关机:‎清理虚拟‎内存页面文‎件已停用‎关机: ‎允许在未登‎录前关机‎已启用交‎互式登录:‎不显示上‎次的用户名‎已停用‎交互式登录‎:不需要‎按 CTR‎L+ALT‎+DEL ‎没有定义‎交互式登录‎:会话锁‎定时显示用‎户信息没‎有定义交‎互式登录:‎可被缓冲‎保存的前次‎登录个数‎(在域控制‎器不可用的‎情况下) ‎10 次登‎录交互式‎登录: 要‎求域控制器‎身份验证以‎脱离工作站‎已停用‎交互式登录‎:要求智‎能卡没有‎定义交互‎式登录: ‎用户试图登‎录时消息标‎题没有定‎义交互式‎登录: 用‎户试图登录‎时消息文字‎交互式‎登录: 在‎密码到期前‎提示用户更‎改密码1‎4天交‎互式登录:‎智能卡移‎除操作无‎操作设备‎:防止用‎户安装打印‎机驱动程序‎已停用‎设备: 未‎签名驱动程‎序的安装操‎作默认继‎续设备‎:允许不‎登录脱离‎已启用设‎备: 允许‎格式化和弹‎出可移动媒‎体Adm‎i nist‎r ator‎s设备:‎只有本地‎登录的用户‎才能访问‎C D-RO‎M已停用‎设备: ‎只有本地登‎录的用户才‎能访问软盘‎已停用‎审计: 对‎备份和还原‎权限的使用‎进行审计‎已停用审‎计: 对全‎局系统对象‎的访问进行‎审计已停‎用审计:‎如果无法‎纪录安全审‎计则立即关‎闭系统已‎停用网络‎安全: L‎A N Ma‎n ager‎身份验证‎级别发送‎LM &‎NTLM‎响应网‎络安全: ‎L DAP ‎客户签名要‎求协商签‎名网络安‎全: 不要‎在下次更改‎密码时存储‎LAN ‎M anag‎e r 的‎H ash ‎值已停用‎网络安全‎:在超过‎登录时间后‎强制注销‎已停用网‎络安全设置‎:基于‎N TLM ‎S SP(包‎括安全 R‎P C)服务‎器的最小会‎话安全没‎有最小网‎络安全设置‎:基于‎N TLM ‎S SP(包‎括安全 R‎P C)客户‎的最小会话‎安全没有‎最小网络‎访问: 本‎地帐户的共‎享和安全模‎式经典‎-本地用‎户以自己的‎身份验证‎网络访问:‎不允许‎S AM 帐‎户的匿名枚‎举已启用‎网络访问‎:不允许‎SAM ‎帐户和共享‎的匿名枚举‎已停用‎网络访问:‎不允许为‎网络身份验‎证储存凭据‎或 .NE‎T Pas‎s port‎s已停用‎网络访问‎:可匿名‎访问的共享‎COMC‎F G,DF‎S$网络‎访问: 可‎匿名访问的‎命名管道‎C OMNA‎P,COM‎N ODE,‎S QL\Q‎U ERY,‎S POOL‎S S,LL‎S RPC,‎b rows‎e r网络‎访问: 可‎远程访问的‎注册表路径‎Syst‎e m\Cu‎r rent‎C ontr‎o lSet‎\Cont‎r ol\P‎r oduc‎t Opti‎o ns,S‎y stem‎\Curr‎e ntCo‎n trol‎S et\C‎o ntro‎l\Pri‎n t\Pr‎i nter‎s,Sys‎t em\C‎u rren‎t Cont‎r olSe‎t\Con‎t rol\‎S erve‎rApp‎l icat‎i ons,‎S yste‎m\Cur‎r entC‎o ntro‎l Set\‎S ervi‎c es\E‎v entl‎o g,So‎f twar‎e\Mic‎r osof‎t\OLA‎P Ser‎v er,S‎o ftwa‎r e\Mi‎c roso‎f t\Wi‎n dows‎NT\C‎u rren‎t Vers‎i on,S‎y stem‎\Curr‎e ntCo‎n trol‎S et\C‎o ntro‎l\Con‎t entI‎n dex,‎S yste‎m\Cur‎r entC‎o n tro‎l Set\‎C ontr‎o l\Te‎r mina‎l Ser‎v er,S‎y stem‎\Curr‎e ntCo‎n trol‎S et\C‎o ntro‎l\Ter‎m inal‎Serv‎e r\Us‎e rCon‎f ig,S‎y stem‎\Curr‎e ntCo‎n trol‎S et\C‎o ntro‎l\Ter‎m inal‎Serv‎e r\De‎f ault‎U serC‎o nfig‎u rati‎o n网络‎访问: 让‎“每个人”‎权限应用于‎匿名用户‎已停用网‎络访问: ‎允许匿名‎S ID/名‎称转换‎已停用系‎统对象: ‎对非 Wi‎n dows‎子系统不‎要求区分大‎小写已启‎用系统对‎象: 由‎A dmin‎i stra‎t ors ‎组成员所创‎建的对象默‎认所有者‎O bjec‎t cre‎a tor‎系统对象:‎增强内部‎系统对象的‎默认权限‎(例如 S‎y mbol‎i c Li‎n ks) ‎已启用系‎统加密: ‎使用 FI‎P S 兼容‎的算法来加‎密，散列和‎签名已停‎用域成员‎:对安全‎通道数据进‎行数字加密‎(如果可‎能) 已启‎用域成员‎:对安全‎通道数据进‎行数字加密‎或签名 (‎总是) 已‎启用域成‎员: 对安‎全通道数据‎进行数字签‎名 (如果‎可能) 已‎启用域成‎员: 需要‎强 (Wi‎n dows‎2000‎或以上版‎本) 会话‎密钥已停‎用域控制‎器: LD‎A P 服务‎器签名要求‎没有定义‎域控制器‎:禁用更‎改机器帐户‎密码已停‎用域控制‎器: 拒绝‎更改机器帐‎户密码没‎有定义域‎控制器: ‎允许服务器‎操作员计划‎任务没有‎定义域控‎制器: 最‎长机器帐户‎密码寿命‎30 天‎帐户: 管‎理员帐户状‎态已启用‎帐户: ‎来宾帐户状‎态已停用‎帐户: ‎使用空白密‎码的本地帐‎户只允许进‎行控制台登‎录已启用‎帐户: ‎重命名来宾‎帐户Gu‎e st帐‎户: 重命‎名系统管理‎员帐户u‎s er‎。

如何设置Windows系统中的防火墙和安全策略

如何设置Windows系统中的防火墙和安全策略在Windows系统中，防火墙和安全策略的设置是确保计算机安全和网络安全的重要措施。

正确设置防火墙和安全策略可以阻止恶意软件的入侵，保护个人隐私和敏感数据的安全。

下面将介绍如何设置Windows系统中的防火墙和安全策略。

一、配置防火墙设置Windows系统自带了一个防火墙程序，可以帮助过滤传入和传出的网络流量，保护计算机免受网络攻击。

下面是配置防火墙的步骤：1. 打开控制面板：点击Windows开始菜单，选择“控制面板”。

2. 进入系统和安全设置：在控制面板中，找到并点击“系统和安全”。

3. 打开Windows防火墙：在“系统和安全”页面中，点击“Windows Defender防火墙”或“Windows防火墙”。

4. 配置入站规则：在Windows防火墙窗口中，选择“高级设置”。

5. 添加入站规则：在高级安全设置窗口中，点击“入站规则”选项，然后选择“新建规则”。

6. 设置规则类型：根据实际需要，选择“程序”、“端口”、“预定义”等规则类型，并按照向导提示进行设置。

7. 配置规则动作：根据需要，选择允许或阻止该规则的动作，并根据规则类型进行进一步的设置。

8. 配置规则范围：根据需要，指定规则适用的IP地址范围、端口范围等细节。

9. 完成配置：按照向导的提示完成规则的配置。

10. 配置出站规则：重复步骤5-9，将规则类型设置为“出站规则”，按照需要进行配置。

二、设置安全策略除了防火墙外，Windows系统还提供了安全策略设置，可以进一步保护计算机和网络的安全。

下面是设置安全策略的步骤：1. 打开本地安全策略编辑器：点击Windows开始菜单，输入“secpol.msc”并回车，打开本地安全策略编辑器。

2. 设置密码策略：在本地安全策略编辑器中，展开“帐户策略”>“密码策略”选项。

3. 配置密码复杂度：双击“密码必须符合复杂性要求”策略，并将其设置为“已启用”。

教程--本地安全策略设置3篇

教程--本地安全策略设置第一篇：了解本地安全策略在信息化时代，互联网已经成为人们工作、学习、生活的必要工具。

但是，与此同时，网络攻击也愈发猖獗。

为了保护计算机安全，防范网络攻击，我们需要学会如何设置本地安全策略。

本地安全策略是指计算机上用来管理安全性的一系列设置。

这些设置可以限制用户拥有的权限，确保只有授权用户才能对计算机进行更改。

本地安全策略分为计算机和用户两种。

计算机安全策略包括密码策略、账户锁定策略和安全选项等。

用户安全策略包括最小密码长度和最短密码使用期限等。

这些设置可以保护计算机不被未经授权的人员访问、操作，防范黑客攻击等威胁。

接下来，我们将介绍如何设置本地安全策略。

第二篇：如何设置本地安全策略1.打开本地安全策略首先，我们需要在Windows系统中打开本地安全策略。

具体方法是：打开“开始菜单”，在搜索栏中输入“secpol.msc”，然后点击“本地安全策略”。

2.设置计算机安全策略在本地安全策略中，我们可以看到“计算机策略”和“用户策略”两个选项。

首先，我们要设置计算机的安全策略。

计算机策略包括安全选项、账户策略和本地策略等。

我们可以具体根据实际情况进行设置。

比如，我们可以选择“安全选项”，然后在右侧窗口中找到“防止访问此计算机网络共享的本地帐户为空的共享”选项，将其设置为“启用”。

3.设置用户安全策略接下来，我们需要设置用户的安全策略。

在本地安全策略中，找到“用户策略”选项。

我们可以选择“密码策略”，然后在右侧窗口中调整密码相关的设置。

例如，最小密码长度、最短密码使用期限、密码必须符合复杂性要求等。

这些设置可以有效提高密码的安全性，防止密码被猜测、劫持。

第三篇：本地安全策略设置的注意事项在设置本地安全策略时，我们需要注意一些关键点，以避免出现问题。

1.谨慎设置权限权限设置是本地安全策略的重中之重。

我们需要谨慎设置，避免给未经授权的人员开放计算机的访问、操作权限。

通常情况下，我们可以将管理员权限授予特定的用户或用户组，控制用户的操作范围。

用户权限分配、安全选项、本地组策略设置

1、用户权限分配
通过用户权限分配，可以为某些用户和组授予或拒绝一些特殊的权限，如更改系统时间，拒
绝本地登录等
下列表中列出了一些常用的用户权限分配中的安全策略
策略
说明从网络访问计算机
拒绝从网络访问这台
计算机
默认情况下任何用户都可以从网络访问计算机，可以根据实际需要撤销某用户或某组账户从网络访问计算机的权限如果某些用户只在本地使用，不允许其通过网络访问此计算机，就可以再此策略的设置中加入该用户
2、安全选项
通过本地策略中的安全选项，可以控制一些和操作系统安全相关的设置，安全选项如下图所示：
注意：要使本地安全策略生效，需要运行“gpupdate"命令或者重启计算机2、本地组策略
在“开始”菜单-运行“gpedit.msc”命令打开本地组策略编辑器
注意：针对计算机设置的策略，只对计算机生效，需要重启计算机针对用户做的策略，只对用户生效！。

弹弹堂服务端详细设置说明

一、服务器架构图……………………………………………………………………二、服务器硬件（带宽）检查………………………………………………………三、需求代理商提供域名指向....…………………………………………………….四、服务器安全部署前相关软件安装……………………………………………….五、服务器安全部署………………………………………………………………….六、中心服务器(DB)部署…………………………………………………………….七、IIS服务器部署…………………………………………………………………...八、GM后台部署…………………………………………………………………….九、游戏服务器部署………………………………………………………………….十、测试……………………………………………………………………………….Parter_ID 代理商编号(一个区一个编号,由我们分配)IP_Db 数据库服务器的IP(一般为192.168.0.2)Port_Db 数据库端口(一般设置为2433)Pass_Tank77 数据库账号tank77的密码Pass_Count77 数据库账号count77的密码Pass_LoginKey 合作伙伴的登陆地址（一般由代理商提供给我们）Pass_ChargeKey 合作伙伴的充值地址（一般由代理商提供给我们）Version 游戏版本号(由我们提供) 游戏主域名，游戏的入口 Web请求站点的域名，处理一些普通的数据业务。

资源文件站点的域名LoginPage 登陆地址()MainPage 首页(现在已经无用，可以填同登陆地址一致)RegistePage 注册地址(现在已经无用)PayPage 充值地址注意，文档中以【x】编著的部分，表示此变量x的值。

File 模板站点(格式一般为file1.ddt.官方域名)Gameadmin后台站点(格式一般为gameadmin.ddt.官方域名)Channel_ID 频道的ID，在数据库录入。

配置本地安全策略

账户策略本地策略高级安全Windows防火墙
5
❖ 密码必须账符合户复杂策性要略求－密码策略
❖ 密码长度最小值 ❖ 密码最长使用期限 ❖ 密码最短使用期限 ❖ 强制密码历史 ❖ 用可还原的加密来
储存密码
6
账账户户账锁锁定定户阈时策值间略－账户锁定策略
复位账户锁定计数器
7
❖ 案例案需例求：：账户锁定策略应用有一台系统为Windows Server 2008的服务器，为了提高系统的安全性，如果用户在一天之内3次输错密码，就锁定相应的用户账户
❖ 实现思路：
新建入站规则
指定协议、端口和操教作员演示操
配置入站规则属性作过程
19
案例：出站规则配置
❖ 案例需求：
有一台Web服务器的IP地址为192.168.1.10，本地计算机的默认出站连接设置为允许，如何通过出站规则阻止本地计算机通过IE访问Web服务器
❖ 实现思路：
新建出站规则
指定程序路径和操作
启用本地策略的审核对象访问访问数据查看审核记录文件夹必须位于NTFS分区中
26
实验案例2：审核策略的应用
❖ 学员练习：
创建文件夹D:/data 启用本地安全策略中的“审核对象访问” 添加文件夹的审核访问文件夹查看审核40分结钟果完成
27
10
审核策略设审置的核安策全设略置选的项配包括置：成功失败无审核
11
❖ 作用：
事件查看器
安全浏日览志和：管理事件日志
审核成功审核失败
12
❖ 案例案需例求：：审核文件和文件夹
服务器filesvr上有一个文件夹“公司文件”，其中存放着公司的日常工作规范等文档，管理员希望将来能够查看员工对该文件夹的成功访问和失败访问的情况

教程--本地安全策略设置

教程--本地安全策略设置本地安全策略是指Windows中的一种安全设置，在本地计算机上对设备的访问和控制权限进行设置和管理。

设置本地安全策略可以帮助我们更好的保护我们的计算机和系统，避免遭受攻击和数据泄露，下面介绍如何设置本地安全策略。

1.打开本地安全策略首先我们需要打开本地安全策略，可以直接在Windows 的“开始”菜单中搜索“本地安全策略”打开。

2.设置账户策略在本地安全策略中，我们可以设置许多不同的安全控制策略。

其中最常用的是账户策略。

在“本地安全策略”中，展开“账户策略”；在“账户策略”中，我们可以设置密码策略。

可以设置密码长度、复杂度以及密码历史纪录等。

3.设置本地策略在本地安全策略中，我们可以设置许多不同的安全控制策略。

其中最常用的是本地策略。

在“本地安全策略”中，展开“本地策略”；在“本地策略”中，我们可以设置许多不同的安全控制策略。

例如，可以设置用户登录的限制、账户锁定策略、安全选项、用户权限以及安全事件等。

4.设置安全选项在安全选项中，我们可以设置很多不同的安全措施。

其中最常用的是设置本地安全选项。

在“本地安全策略”中，展开“本地策略”；在“本地策略”中，展开“安全选项”；在安全选项中，我们可以设置Windows的安全设置和配置如何在操作系统中处理安全事件。

例如，可以设置Windows强制用户必须按Ctrl+Alt+Del键才能登录，或者设置Windows在用户安全登录后自动锁定屏幕等。

5.设置用户权限在本地安全策略中，我们可以设置用户的权限，包括查看文件和文件夹、安装和使用软件、配置系统等。

因此在设置用户权限时，需要慎重考虑每个用户所需的权限，并为每个用户分配适当的权限。

在“本地安全策略”中，展开“本地策略”；在“本地策略”中，展开“用户权限分配”；在用户权限分配中，我们可以设置每个用户可以访问的资源和文件夹。

可以为每个用户分配不同的权限，例如，可以将某个用户设置为管理员权限或普通用户权限。

您可能没有权限使用网络资源_请与这台服务器的管理员联系以查明您是否有访问权限

登录失败：未授予用户在此计算机上的请求登录类型。

无法访问。

您可能没有权限使用网络资源。

请与这台服务器的管理员联系以查明您是否有访问权限。

如果出现“xxx计算机无法访问，您可能没有权限使用网络资源。

请与这台服务器的管理员联系以查明您是否有访问权限”的报错，这可能是计算机的安全设置被改动过了，导致目标计算机无法被访问。

可以采取以下步骤解决：1. 取消简单文件共享。

打开“我的电脑”，在菜单上选择“工具”->“文件夹选项”->“查看”，清除“使用简单文件共享（推荐）”的选择。

2. 启用guest账户。

右键点击“我的电脑”，选择“管理”，选择“本地用户和组”->“用户”，右键点击Guest用户，选“属性”，清除“帐户已停用”的选择。

3. 在组策略中设置，安全策略。

开始--运行--gpedit.msc--计算机配置--windows设置--安全设置--本地策略--“用户权力指派”，双击右边的“从网络访问此计算机”，保证其中有Everyone，双击左边的“拒绝从网络访问此计算机”，保证其是空的。

4. 选择左边的“本地策略”->“安全选项”，a.确认右边的“网络访问：本地帐户的共享与安全模式”为“经典”；b.确认右边的“Microsoft网络客户：为通讯启用数字签名（总是）”为“已停用”；c.确认右边的“Microsoft网络客户：为通讯启用数字签名（如果服务器允许）”为“已启用”；d.确认右边的“Microsoft网络服务器：为通讯启用数字签名（总是）”为“已停用”；e.确认右边的“Microsoft网络服务器：为通讯启用数字签名（如果服务器允许）”为“已启用”。

5．正确配置网络防火墙1>很多机器安装了网络防火墙，它的设置不当，同样导致用户无法访问本机的共享资源，这时就要开放本机共享资源所需的NetBIOS端口。

笔者以天网防火墙为例，在“自定义IP规则”窗口中选中“允许局域网的机器使用我的共享资源”规则，最后点击“保存”按钮，这样就开放了NetBIOS端口。

组策略设置系列之“安全选项”

设置账户锁定策略，防止多次失败登录尝试，保护账户不被非法访问。
账户管理
限制不必要的账户创建和删除，定期清理不活跃账户，以减少潜在的安全风险。
本地策略配置注意事项及建议
文件和目录权限
合理设置文件和目录的权限，确保只有授权用户能够访问和修改相关资源。
审核策略
启用审核策略，对重要操作进行记录和监控，以便及时发现和应对安全事件。
组策略作用
组策略可以用于配置系统安全、软件安装、桌面配置等，帮助系统管理员实现统一的计算机管理，提高系统安全性。
组策略在Windows系统中的地位
核心管理工具
组策略是Windows系统中的核心管理工具之一，它提供了丰富的配置选项，可以对系统进行全方位的管理。
高级管理功能
组策略拥有许多高级管理功能，如软件安装、脚本执行、安全设置等，是其他管理工具所无法替代的。
案例分析
例如，某公司需要监控员工对敏感文件的访问情况，以防止数据泄露。通过审核策略，可以记录员工的文件访问行为，并在出现异常情况时及时告警。
05
安全选项配置注意事项及建议
账户策略配置注意事项及建议
01
02
03
密码策略
设置密码策略，包括密码长度、复杂度、更换频率等，以增强账户安全性。
账户锁定
04
安全选项应用场景及案例分析
账户策略应用场景及案例分析
应用场景
账户策略用于管理用户账户，包括创建、修改、删除账户以及设置账户权限等。
案例分析
例如，某公司需要为员工创建账户，并设置不同的权限级别，如管理员、普通用户等。通过账户策略，可以批量创建和修改账户，提高管理效率。
本地策略应用场景及案例分析

Windows Server系统安全加固

Windows Server系统安全加固1.1系统基础信息查看命令1.Windows微标键+R#打开cmd命令窗口2.winver#查看系统版本3.wmic os get ServicePackMajorVersion#查看系统SP版本号4.wmic qfe get hotfixid,InstalledOn#查看系统已安装的hotfix安全补丁5.hostname#查看系统所设置的主机名称6.ipconfig /all#查看系统中所有网卡的网络配置7.ipconfig /flushdns#清空本机的DNS缓存8.route print#查看Windows系统中的路由信息9.arp -a#查看Windows系统中的ARP缓存表stat -ano#查看Windows系统已开放的端口信息1.2安全补丁升级Windows操作系统从发布到生命周期结束的过程中会不断的曝出系统漏洞，微软公司就会不停的打补丁进行BUG和安全漏洞的修复，所以及时的更新系统补丁(尤其是安全补丁)对于系统安全性是非常有效的。

但是注意本项操作存在一定的风险，尤其是生产环境中，系统更新之后需要重启生效，需要选择一个合适的时间段进行；所以一般是在初始部署的时候进行系统版本和补丁更新，正式使用之后，建议关闭自动更新功能，后期只针对安全性漏洞进行手动打补丁。

如下图所示，找不到位置的可以直接搜索“更新”，点击“检查更新”按钮，如果微软官网有更新的补丁就会自动检测并安装。

1.3账号优化1.使用“compmgmt.msc”命令打开“计算机管理”，也可以右击“此电脑”选择管理在“工具”项中选择“计算机管理”。

统默认的、业务系统交互所必须的账户禁用，尤其是Guest账户。

3.禁用指定账户操作步骤如下图所示，也可以使用以下cmd命令行进行账户的禁用操作net user test /del #删除系统账户名称为test的账户net user xxxx /add #创建系统账户名称为test的账户net user test /active:yes #激活test账户net user xxxx /active:no #禁用test账户1.4账号锁定和密码策略优化通过密码策略的优化配置，增强系统密码的复杂度及账户锁定策略，可以极大的降低被暴力破解的可能性。

6：Win2003 Server本地策略配置

对于这种情形，密码策略的配置方法如下：第1步：执行〖开始〗→〖管理工具〗→ 〖Active Directory用户和计算机〗菜单操作，打开如图所示的“Active Directory用户和计算机”管理工具界面。
第2步：在控制台树中要设置组策略的域或组织单位上（本例以域为例）单击右键，然后选择“属性”选项，在打开的对话框中选择“组策略”选项卡，对话框如图所示。

1、对于本地计算机对于本地计算机的用户帐户，其密码策略设置是在“本地安全设置”管理工个中进行的。下面是具体的配置方法。
第一步：执行〖开始〗→〖管理工具〗→〖本地安全策略〗菜单操作，打开如图所示的“本地安全设置”界面。对于本地计算机中用户“帐户和本地策略”都查在此管理工具中进行配置的。
2、帐户锁定阈值
该安全设置确定造成用户帐户被锁定的登录失败尝试的次数。无法使用锁定的帐户，除非管理员进行了重新设置或该帐户的锁定时间已过期。登录尝试失败的范围可设置为0至999之间。如果将此值设为0，则将无法锁定帐户。对于使用Ctrl+Alt+Delete组合键或带有密码保护的屏幕保护程序锁定的工作站或成员服务器计算机上，失败的密码尝试计入失败的登录尝试次数中。
【注意】要维持密码历史记录的有效性，则在通过启用密码最短使用期限安全策略设置更改密码之后，不允许立即更改密码。
密码最长使用期限该安全设置确定系统要求用户更改密码之前可以使用该密码的时间（单位为天）。可将密码的过期天数设置在1至999天之间；如果将天数设置为0，则指定密码永不过期。如果密码最长使用期限在1至999天之间，那么 “密码最短使用期限”（下面将介绍）必须小于密码最长使用期限。如果密码最长使用期限设置为0，则密码最短使用期限可以是1至998天之间的任何值。默认值：42。【技巧】使密码每隔30至90天过期一次是一种安全最佳操作，取决于您的环境。通过这种方式，攻击者只能够在有限的时间内破解用户密码并访问您的网络资源。

安全策略

安全选项
控制一些和操作系统安全相关的设置
本地策略3-2 本地策略
用户权限分配举例用户权限分配举例
作为服务器的计算机不能让普通用户交互式登录（在本地登录）作为服务器的计算机不能让普通用户交互式登录（在本地登录）
本地策略3-3 本地策略
安全选项举例安全选项举例
在独立的计算机上要让用户在登录前(Ctrl+Alt+Delete后)，必须后，在独立的计算机上要让用户在登录前阅读公司使用计算机的注意事项
本地安全策略
本地安全策略影响本计算机的安全设置本地安全策略主要包含
帐户策略本地策略
账户策略2-1 账户策略
密码策略
密码必须符合复杂性要求密码长度最小值密码最长使用期限密码最短使用期限强制密码历史用可还原的加密来存储密码
账户锁定策略
账户锁定阈值账户锁定时间复位账户锁定计数器
账户策略2-2 账户策略
三种安全策略的关系
成员计算机和域的设置项冲突时，成员计算机和域的设置项冲突时，域安全策略生效域控制器和域的设置项冲突时，域控制器安全策略生效域控制器和域的设置项冲突时， • 本地安全策略 • 域控制器安全策略 • 域安全策略
域账户策略应用
帐户策略设置需求
域账户密码长度至少7个字符域账户密码长度至少个字符密码符合复杂性要求密码至少30天修改一次密码至少天修改一次设置密码锁定策略：输入5次密码不正确就锁定该用户帐户设置密码锁定策略：输入次密码不正确就锁定该用户帐户
帐户策略举例
在独立的计算机上要让账户的密码长度最小为8，在独立的计算机上要让账户的密码长度最小为，账户如果连续 3次输错密码就会被锁定次输错密码就会被锁定

力控OPCSERVER和DCOM配置

力控OPCSERVER和DCOM配置
1、配置opcserver
1）初始启动程序勾选opcserver
2）注册力控opcserver
3）所有点分配至opcserver
2、配置dcom
1）“运行”输入命令dcomcnfg或者mmc comexp.msc /32
2) 组件服务-我的电脑-属性-配置是相关信息
3) 组件服务-我的电脑-dcom配置-opcenum-属性-配置是相关信息
4) 组件服务-我的电脑-dcom配置-opcserver-属性-配置是相关信息
3、本地安全策略检查配置
1）“运行”输入命令secpol.msc
2）本地安全策略-用户权限分配-配置两项
3）本地安全策略-安全选项-配置三项
4、配置用户组
将opcserver所属用户添加至“distributed COM users”组中
5、防火墙
1）配置opc入站出站规则
2) 防火墙开135端口
3）防火墙入站出站规则增加opcenum
4）防火墙入站出站规则增加opcserver
6、配置host文件
Server与client所在服务器的host文件互相配置对方IP+计算机名。

网络安全与管理课后练习与答案

第一章课后练习选择题1.向有限的空间输入超长的字符串是（A ）攻击手段。

A、缓冲区溢出B、网络监听C、端口扫描D、IP欺骗2.使网络服务器中充斥着大量要求回复的信息，消耗带宽，导致网络或系统停止正常服务，这属于（A ）漏洞。

A、拒绝服务B、文件共享C、BIND漏洞D、远程过程调用3.不属于黑客被动攻击的是（A ）A、缓冲区溢出B、运行恶意软件C、浏览恶意代码网页D、打开病毒4. 抵御电子入侵措施中，不正确的是（D）A、不用生日做密码B、不要使用少于5位的密码C、不要使用纯数字D、自己做服务器5. 不属于常见的危险密码的是（D）。

A、跟用户名相同的密码B、使用生日作为密码C、只有4位数的密码D、10的综合型密码6．属于黑客入侵的常用手段的是（D）。

A、口令设置B、群发C、窃取情报D、IP欺骗7．计算机网络系统的安全威胁不包括（D）。

A、黑客攻击B、网络部的安全威胁C、病毒攻击D、自然灾害8．信息安全危害的两大源头是病毒和黑客，因为黑客是（C）。

A、计算机编程高手B、Cookies的发布者C、网络的非法入侵者D、信息垃圾的制造者9．以下不属于计算机安全措施的是（D）。

A、下载并安装系统漏洞补丁程序B、安装并定时升级正版杀毒软件C、安装软件防火墙D、不将计算机连入互联网10.为了降低风险，不建议使用的Internet服务是（B）。

（找不到）A、Web服务B、外部访问部系统C、部访问InternetD、FTP服务11．截至2008年6月底，中国网民数量达到（A），网民规模跃居世界第一位。

A、2.53亿B、3.35亿C、0.53亿D、1.53亿填空题1．比较常用的防黑客的技术产品是（）、（）和安全工具包/软件。

（找不到）2．用户的密码按照时间或使用次数不断动态变化，每个密码只使用一次，这种密码叫做（动态密码）。

3．生物特征识别技术是通过计算机，利用人体所固有的生理特征或行为特征来进行个人身份鉴定。

常用的生物特征包括指纹、掌纹、（虹膜）、（声音）、（笔记）、脸像等。