Windows 2008配置本地安全策略

Windows server 2008系统基础优化技巧windows 2008基础优化技巧：1.取消登录时按“ctrl+alt+del”登录系统开始菜单---管理工具---本地安全策略依次进入：本地策略--安全选项找到：交互式登录无需按ctrl+alt+del然后双击，设置为“已启用”这样每次开机的时候，就可以直接输入密码登录系统了2.加快登录的时间关闭“关机事件跟踪”如果不想每次关机的时候都出现“关机事件跟踪”的对话框在开始菜单的运行输入“gpedit.msc”打开组策略编辑器依次进入：计算机配置--管理模板--系统在最下面找到“显示关闭事件跟踪程序”双击进入属性，设为“禁用”就可以了3.调整默认IE ESC(IE增强安全设置)2008的ie7默认情况下开启了安全设置，不修改的情况下，每次打开新的网站ie都会问是否安全站点，作为服务器使用的话，可以提高服务器的安全性，但是如果作为桌面使用的话，就会很烦人。

打开“服务器管理器”，在“安全信息”下面点击“配置IE ESC”设置“管理员”和“用户”都是“禁用”即可解决4.作为桌面系统使用的时候，我们需要对2008进行一些调整：调整系统性能进入控制面板的系统和维护，打开“高级系统设置”选择性能下面的“设置”在“视觉效果”标签下面选择“调整为最佳性能”在“高级”标签下面的“处理器计划”选择“程序”在“高级”标签下面的“虚拟内存”选择“让系统自动管理”在“数据执行保护”标签下面，选择“仅为基本windows 服务和程序启用DEP”点击“添加功能”进入添加功能界面，勾选“.NET Framework 3.0功能”，“高质量Windows 音频视频体验”，“简单TCP/IP服务”，“桌面体验”(如果想打开AERO玻璃效果，还要勾选“Windows PowerShell")后点击安装(需要重启电脑)在“服务”中将“Themes”服务设为自动并开启在“控制面板、外观和个性化”里面就可以使用vista主题了。

（1）防止黑客建立IPC$空连接打开注册表编辑器，定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA分支，在右边修改RestrictAnonymous为1.（2）账户问题。

首先以系统管理员身份进入Windows Server 2008系统桌面，从中依次点选"开始"/"运行"命令，打开系统运行文本框，在其中输入"gpedit.msc"字符串命令，单击回车键后，进入对应系统的组策略编辑界面；其次选中组策略编辑界面左侧列表中的"计算机配置"节点选项，再从该节点选项下面依次点选"管理模板"、"Windows组件"、"Windows登录选项"分支选项，从目标分支选项下面找到"在用户登录期间显示有关以前登录的信息"目标组策略选项，并用鼠标双击该选项，进入如图8所示的选项设置界面；(图挂了你自己猜吧) 在该选项设置界面中检查"已启用"选项有没有被选中，倘若看到该选项还没有被选中时，我们应该重新选中它，再单击"确定"按钮保存上面的设置操作，这样的话Windows Server 2008服务器系统自带的显示以前登录信息功能就被成功启用了。

日后，当有危险登录行为发生在Windows Server 2008服务器系统中时，目标危险登录账号信息就会被Windows Server 2008系统自动跟踪记忆下来，网络管理员下次重启服务器系统时，就能非常清楚地看到上次登录系统的所有账号信息，其中来自陌生账号的登录行为可能就是危险登录行为，根据这个危险登录行为网络管理员应该及时采取安全措施进行应对，以便杜绝该现象的再次发生。

（3）加强连接安全保护Windows Server 2008服务器系统自带的防火墙功能比以往进步了不少，为了让本地系统中的所有网络连接安全性及时地得到Windows防火墙的保护，我们需要对该系统环境下的组策略参数进行合适设置，来让Windows Server 2008服务器系统下的所有网络连接都处于Windows防火墙的安全保护之中，下面就是具体的设置步骤：首先以系统管理员身份进入Windows Server 2008系统桌面，从中依次点选"开始"/"运行"命令，打开系统运行文本框，在其中输入"gpedit.msc"字符串命令，单击回车键后，进入对应系统的组策略编辑界面；其次将鼠标定位于组策略编辑界面左侧列表区域中的"计算机配置"节点选项上，再从该节点选项下面依次点选"管理模板"、"网络"、"网络连接"、"Windows防火墙"、"标准配置文件"组策略子项，在目标组策略子项下面，找到"Windows防火墙：保护所有网络连接"选项，并用鼠标双击该选项，进入如图7所示的选项设置界面；（图挂了你自己猜）检查该设置界面中的"已启用"选项是否处于选中状态，要是发现该选项还没有被选中时，我们应该及时将它选中，再单击"确定"按钮保存上述设置操作，那样的话Windows Server 2008系统下的所有网络连接日后都会处于Windows防火墙的安全保护之下了。

Windows系统中如何设置用户账户控制和安全策略在Windows系统中，设置用户账户控制和安全策略是保障计算机和数据安全的重要措施之一。

本文将为您介绍Windows系统中如何设置用户账户控制（User Account Control，简称UAC）和安全策略，以帮助您提高系统的安全性和防范潜在的安全威胁。

一、用户账户控制（User Account Control，UAC）设置用户账户控制是一种安全特性，可以帮助您控制在计算机上执行的操作，以防止未经授权的更改或恶意软件的运行。

以下是如何设置用户账户控制的步骤：1. 打开控制面板：点击Windows开始菜单，搜索并选择“控制面板”。

2. 进入用户账户控制设置：在控制面板中，选择“用户账户”选项。

3. 调整用户账户控制设置：在用户账户界面，点击“更改用户账户控制设置”链接。

4. 设置用户账户控制级别：通过移动滑块，选择合适的用户账户控制级别。

可以根据自己的需求选择以下四个级别：从不通知、只在程序尝试更改计划设置时通知、始终通知，以及始终拒绝。

5. 确认设置：点击“确定”按钮保存设置。

二、安全策略设置除了用户账户控制外，您还可以通过设置安全策略来增强系统的安全性。

下面是设置安全策略的步骤：1. 打开本地策略编辑器：按下Win + R键，打开“运行”对话框，在对话框中输入“secpol.msc”，并点击“确定”。

2. 进入安全策略设置：在本地策略编辑器中，依次展开“安全设置”、“本地策略”和“安全选项”。

3. 调整安全策略：在安全选项中，您可以找到各种不同的安全策略设置，例如“帐户访问审计策略”、“帐户锁定策略”、“密码策略”等。

通过双击相应策略，可以进行相应设置。

4. 配置安全策略选项：在每个安全策略的属性窗口中，您可以根据需要进行配置。

例如，在“密码策略”中，您可以设置密码的复杂性要求、密码过期时间等。

5. 保存设置：完成安全策略设置后，记得点击“确定”或“应用”按钮保存设置。

实验报告院系：信息与工程学院班级：学号姓名：实验课程：《网络安全技术实验》实验名称：实验四 Windows Server2008系统安全配置指导教师：实验四Windows Server 2008系统安全配置实验学时 2一、实验目的与要求1、了解Windows Sever 2008 操作系统的安全功能、缺陷和安全协议；2、熟悉Windows Sever 2008 操作系统的安全配置过程及方法；二、实验仪器和器材计算机一台VMware workstation 10 Windows Sever 2008操作系统三、实验原理网络防火墙及端口安全管理在“深层防御”体系中，网络防火墙处于周边层，而Windows防火墙处于主机层面。

和Windows XP和Windows 2003的防火墙一样，Windows Server 2008的防火墙也是一款基于主机的状态防火墙，它结合了主机防火墙和IPSec，可以对穿过网络边界防火墙和发自企业内部的网络攻击进行防护，可以说基于主机的防火墙是网络边界防火墙的一个有益的补充。

与以前Windows版本中的防火墙相比，Windows Server 2008中的高级安全防火墙（WFAS）有了较大的改进，首先它支持双向保护，可以对出站、入站通信进行过滤。

其次它将Windows防火墙功能和Internet 协议安全(IPSec)集成到一个控制台中。

使用这些高级选项可以按照环境所需的方式配置密钥交换、数据保护(完整性和加密)以及身份验证设置。

而且WFAS还可以实现更高级的规则配置，你可以针对Windows Server上的各种对象创建防火墙规则，配置防火墙规则以确定阻止还是允许流量通过具有高级安全性的Windows防火墙。

传入数据包到达计算机时，具有高级安全性的Windows防火墙检查该数据包，并确定它是否符合防火墙规则中指定的标准。

如果数据包与规则中的标准匹配，则具有高级安全性的Windows防火墙执行规则中指定的操作，即阻止连接或允许连接。

windows2008 r2的账户锁定策略Windows2008 R2是微软公司推出的一款服务器操作系统。

在这个操作系统中，账户锁定策略是非常重要的一项安全措施。

本文将详细介绍Windows2008 R2的账户锁定策略，并一步一步回答与之相关的问题。

一、什么是账户锁定策略？账户锁定策略是指在一定的条件下，当用户连续输入错误的密码达到一定次数时，系统会自动锁定该账户一段时间，以保护系统的安全。

账户锁定策略可以防止暴力破解攻击，提高系统的安全性。

二、账户锁定策略的设置方法？步骤一：登录Windows Server 2008 R2系统，以管理员权限打开“服务器管理器”。

步骤二：在“服务器管理器”中，选择“配置”选项卡，点击“本地用户和组”，在右侧窗口中点击“用户”。

步骤三：在“用户”窗口中，选择需要设置账户锁定策略的用户，右键点击，选择“属性”。

步骤四：在“属性”窗口中，选择“账户”选项卡，在“帐户锁定”部分，点击“锁定帐户”复选框，并设置相关参数，比如“账户锁定阈值”和“锁定持续时间”。

然后点击“确定”保存设置。

三、账户锁定策略的参数解释1. 账户锁定阈值：表示当用户连续输入错误的密码次数达到设定的值时，系统会自动锁定该账户。

一般建议将该值设置为3~5次，以兼顾安全与用户体验。

2. 锁定持续时间：表示当账户被锁定后，需要等待的时间解锁账户。

可以选择设定一段时间（如15分钟），也可以设置为管理员手动解锁。

根据实际需求和安全要求进行设置。

四、账户锁定策略的作用账户锁定策略可以有效地防止恶意用户进行暴力破解攻击。

通过限制用户连续尝试错误密码的次数，避免了暴力破解攻击者利用程序自动化尝试密码。

同时，账户锁定策略还可以提醒用户注意密码的安全性，避免使用过于简单的密码。

五、账户锁定策略的注意事项1. 合理设置账户锁定阈值和锁定持续时间。

如果设置太低，可能会导致用户频繁被锁定，影响正常使用；如果设置太高，可能会增加系统被攻击的风险。

Windows Server 2008 R2 游戏服务器简单安全设置及使用IP安全策略关闭端口1给administrator用户加密码，开始运行control userpassword2控制面板\用户帐户给administrator设密码control userpasswords2这个运行命令，可以取消输入密码你输入的没有错误，可能是你机子根本没有密码吧，你仔细看会发现你的指针是闪过一下漏斗的。

下面的效果一样的开始--运行，输入“rundll32 netplwiz.dll,UsersRunDll”，按回车键后弹出“用户帐户”窗口，看清楚，这可跟“控制面板”中打开的“用户账户”面板窗口不同哦！然后取消选定“要使用本机，用户必须输入用户名和密码”选项，单击确定，在弹出的对话框中输入你想让电脑每次自动登录的账户和密码即可。

2修改远程访问端口，这个可以在使用的软件上修改修改远程访问服务端口更改远程连接端口方法，可用windows自带的计算器将10进制转为16进制。

更改3389端口为8208，重启生效！Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp]"PortNumber"=dword:0002010[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp]"PortNumber"=dword:00002010（1）在开始--运行菜单里,输入regedit,进入注册表编辑,按下面的路径进入修改端口的地方（2）HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp（3）找到右侧的 "PortNumber"，用十进制方式显示，默认为3389，改为(例如)6666端口（4）HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp（5）找到右侧的 "PortNumber"，用十进制方式显示，默认为3389，改为同上的端口（6）在控制面板--Windows 防火墙--高级设置--入站规则--新建规则（7）选择端口--协议和端口--TCP/特定本地端口：同上的端口（8）下一步，选择允许连接（9）下一步，选择公用（10）下一步，名称：远程桌面-新(TCP-In)，描述：用于远程桌面服务的入站规则，以允许RDP通信。

WindowsServer2008配置系统安全策略下⾯学习Windows Server 2008配置系统安全策略在⼯作组中的计算机本地安全策略有⽤户策略，密码策略，密码过期默认42天服务账户设置成永不过期，帐户锁定策略，本地策略，审核策略，计算机记录哪些安全事件最后在域环境中使⽤组策略配置计算机安全。

1.在⼯作组中的安全策略，打开本地安全策略。

2.打开本地安全策略之后选择密码策略，可以看到有很多的策略，先看第⼀个密码复杂性要求。

3.打开密码必须符合复杂性要求，默认是打开的，我们在设置密码的时候，不能设置纯数字或者纯字母，必须要有数字加⼤⼩写。

4.密码长度最⼩值，这个是设置密码最低⼩于⼏位数，默认是0，这⾥修改为6位，在设置密码的时候必须满⾜6位，包括数字字母⼤⼩写或者特殊符号。

5.密码最短使⽤期限，默认是0天这⾥设置为30天，在30天不会提⽰你修改密码，必须要使⽤30天才能改密码。

6.密码最长使⽤期限，默认是42天，这⾥修改为60天超过60天之后会提⽰让你修改密码。

7.强制密码历史，这个选项是你修改密码时不能⼀样，默认是0，这⾥设置为3次，修改3次密码之后才能修改回第⼀次使⽤的密码。

8.打开账户锁定策略，账户锁定值默认是0次，可以设置5次超过5次就会把这个账户锁定，为了防⽌别⼈⼊侵你的电脑，等待半个⼩时之后就会⾃动解锁，或者联系管理员⾃动解锁。

9.账号锁定时间，默认是30分钟⾃动解锁，也可以⾃⼰修改，这⾥修改为3分钟⾃动解锁。

10.现在lisi这个⽤户输错五次密码，就算输⼊正确的密码，提⽰账户已锁定，⽆法登录。

11.打开服务器管理器，选择本地⽤户和组，可以查看lisi这个⽤户，输错5次密码之后账户已锁定，管理员可以⼿动把这个勾去掉，然后确定就能登⼊了，或者lisi这个⽤户等待3分钟之后账户会⾃动解锁。

12.打开本地策略，选择审核登录事件，默认是⽆审核，这⾥我勾选成功跟失败，然后确定。

13.打开事件查看器，选择安全把⾥⾯的事件先全部删除，然后使⽤lisi远程登录到这台计算机。

2008r2 安全策略写入注册表在Windows Server 2008 R2中，可以通过组策略编辑器（Group Policy Editor）来配置安全策略，并将其写入注册表。

以下是一些步骤，可以帮助您在Windows Server 2008 R2中配置安全策略并写入注册表：1. 打开组策略编辑器：按下Win键，键入“组策略编辑器”，然后选择“组策略编辑器”。

2. 导航到所需的策略：在左侧导航窗格中，展开“计算机配置”或“用户配置”，然后选择“策略”文件夹。

3. 创建或编辑策略：右键单击“策略”文件夹，选择“创建新策略”或“编辑策略”。

4. 配置安全设置：在右侧窗格中，展开“安全设置”文件夹。

5. 配置安全选项：在“安全设置”文件夹中，您可以配置各种安全选项，例如帐户策略、本地策略、审核策略等。

根据您的需求进行必要的配置。

6. 确定策略：完成配置后，右键单击“安全设置”文件夹，选择“应用”以使更改生效。

7. 将策略写入注册表：在组策略编辑器中，展开“计算机配置”或“用户配置”，然后展开“Windows设置”文件夹。

8. 创建或编辑注册表项：右键单击“注册表”文件夹，选择“创建新项”或“编辑项”。

9. 将值添加到注册表：在右侧窗格中，选择要添加的注册表项，然后右键单击该项并选择“新建”>“DWORD值”或“字符串值”，根据需要为其指定名称和值。

10. 应用更改：完成注册表项的配置后，右键单击“注册表”文件夹，选择“应用”以使更改生效。

11. 关闭组策略编辑器：在组策略编辑器窗口中，单击“文件”>“退出”以关闭组策略编辑器。

请注意，在更改注册表之前，请确保您已备份注册表并了解注册表编辑器的使用风险。

错误的更改可能导致系统不稳定或无法正常工作。

建议在进行更改之前仔细阅读相关文档并谨慎操作。

Windows Server 2008 设置2009年08月09日一、取消必须输入密码登录系统的方法“运行”中输入：“gpedit.msc“，“计算机配置”→“WINDOWS设置”→“”→“帐户策略”→“密码策略”。

在这个路径下找到“密码必须符合复杂性要求”设置为禁用，“密码长度最小值”设置为0。

这样你就可以创建空密码的用户帐户了。

二、安装桌面体验安装完毕后，看到桌面了，这和VISTA一点都不一样，由于是服务器系统，默认是没有华丽的效果的。

开启方法如下：“开始”→“服务器管理”→“服务器管理器”在右边一栏找到“功能摘要”，然后点击“添加功能”，滑动找到“桌面体验” 当然如果是无线使用笔记本的话，无线功能也要加上。

之后应该是重启。

三、开启Aero 要开启Aero效果需要启动相关服务。

“开始”--运行（或者Win+R键）services.Msc找到Themes 右键开启服务。

然后右键属性，把启动方式改为自动。

注意：开启Aero，显卡硬件必须要支持DX9.0和PS2.0，128M以上显存。

四：关闭IE SEC 服务器系统要求很高性，所以微软给ie添加了安全增强。

这就使得ie在Internet区域级别一直是最高的，而且无法进行整体调整。

点击快速运行栏的“服务器管理器”，开启服务器管理器。

1.勾选“登录时不要显示此控制台” 2.点击“配置IE ESC”，将对“管理员”和“用户”设置成“禁用”五、去掉关机事件跟踪每次关机都要求给出原因，用起来很烦人。

去掉的方法不难。

“开始”“运行”键入gpedit.Msc 打开“开始”->运行->输入“gpedit.msc”，在出现的窗口的左边部分，选择“计算机配置”->“管理模板”->“系统”，在右边窗口双击“关机事件跟踪”，在出现的对话框中选择“禁止”.六、让计算机直登陆而无须按ctrl+alt+del 方法1：在运行框中键入“gpedit.msc”进入主策略编辑器。

windows2008 r2的账户锁定策略-回复Windows Server 2008 R2是微软公司推出的一款服务器操作系统，它提供了丰富的功能和安全策略，其中之一就是账户锁定策略。

在本文中，我将详细介绍Windows Server 2008 R2的账户锁定策略，包括其原理、配置方法以及相关注意事项。

首先，让我们来了解账户锁定策略的原理。

在Windows Server 2008 R2中，账户锁定策略是一种安全措施，用于保护系统免受恶意攻击。

当一个账户发生多次无效的登录尝试时，系统会根据账户锁定策略的设置来决定是否锁定该账户，从而防止攻击者通过猜测密码或暴力破解的方式登录系统。

接下来，让我们看看如何配置账户锁定策略。

在Windows Server 2008 R2中，可以通过本地安全策略或组策略来配置账户锁定策略。

下面是一步一步的配置方法：1. 使用管理员权限登录Windows Server 2008 R2系统。

2. 打开“开始”菜单，选择“管理工具”，然后点击“本地安全策略”或“组策略管理”。

3. 在左侧导航栏中选择“账户策略”，然后点击“账户锁定策略”。

4. 在右侧窗口中，找到“账户锁定阈值”设置选项。

这个选项决定了当一个账户发生多次无效的登录尝试时，系统会锁定该账户的次数。

5. 可以根据需要将“账户锁定阈值”设置为一个适当的值。

一般来说，推荐将其设置为5或10次无效登录尝试。

6. 可以选择是否启用“账户锁定复位计时器”。

如果启用了复位计时器，那么在账户被锁定一定时间后，系统会自动将其解锁。

否则，管理员需要手动解锁被锁定的账户。

7. 点击“应用”按钮，然后点击“确定”保存配置。

需要注意的是，在配置账户锁定策略时，应该平衡安全和用户友好性。

设置过于严格的账户锁定阈值可能会导致用户频繁被锁定，影响其正常使用系统。

而设置过于宽松的阈值可能增加系统被攻击的风险。

因此，建议在配置时根据实际情况进行调整。

关于windows2008 的组策略设置开始---运行----gpedit.msc---组策略----计算机配置---- Windows设置----安全设置---组策略设置：在用户权利指派下，从通过网络访问此计算机中删除Power Users和Backup Operators;启用不允许匿名访问SAM帐号和共享;启用不允许为网络验证存储凭据或Passport;从文件共享中删除允许匿名登录的DFS$和COMCFG;启用交互登录：不显示上次的用户名;启用在下一次密码变更时不存储LANMAN哈希值;禁止IIS匿名用户在本地登录;3.本地安全策略设置:开始菜单—>管理工具—>本地安全策略A、本地策略——>审核策略审核策略更改成功失败审核登录事件成功失败审核对象访问失败审核过程跟踪无审核审核目录服务访问失败审核特权使用失败审核系统事件成功失败审核账户登录事件成功失败审核账户管理成功失败注：在设置审核登陆事件时选择记失败，这样在事件查看器里的安全日志就会记录登陆失败的信息。

B、本地策略——>用户权限分配关闭系统：只有Administrators组、其它全部删除。

通过终端服务拒绝登陆：加入Guests、User组（备注不要加入User组以后无法远程登录。

）通过终端服务允许登陆：只加入Administrators组，其他全部删除C、本地策略——>安全选项交互式登陆：不显示上次的用户名启用网络访问：不允许SAM帐户和共享的匿名枚举启用网络访问：不允许为网络身份验证储存凭证启用网络访问：可匿名访问的共享全部删除网络访问：可匿名访问的命全部删除网络访问：可远程访问的注册表路径全部删除网络访问：可远程访问的注册表路径和子路径全部删除帐户：重命名来宾帐户重命名一个帐户帐户：重命名系统管理员帐户重命名一个帐户防火墙安全设置：计算机配置----管理模板----网络---网络连接----windows防火墙----标准配置文件---windows防火墙保护所有网络连接---- 启动Tsconfig.msc 右键RDP—TCP 属性安全层SSL （TLS.0）加密级别高（带网络认证安全连接）关于目录权限设置：1.1 除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权，之后再对其下的子目录作单独的目录权限，如果WEB站点目录，你要为其目录权限分配一个与之对应的匿名访问帐号并赋予它有修改权限，如果想使网站更加坚固，可以分配只读权限并对特殊的目录作可写权限。