设置本地ip安全策略

设置本地ip安全策略

于是弹出一个向导。在向导中点击“下一步”按钮，为新的安全策略命名;再按“下一步”，则显示“安全通信请求”画面，在画面上把“激活默认相应规则”左边的钩去掉，点击“完成”按钮就创建了一个新的IP 安全策略。

第二步，右击该IP安全策略，在“属性”对话框中，把“使用添加向导”左边的钩去掉，然后单击“添加”按钮添加新的规则，随后弹出“新规则属性”对话框，在画面上点击“添加”按钮，弹出IP筛选器列表窗口;在列表中，首先把“使用添加向导”左边的钩去掉，然后再点击右边的“添加”按钮添加新的筛选器。

第三步，进入“筛选器属性”对话框，首先看到的是寻址，源地址选“任何IP 地址”，目标地址选“我的IP 地址”;点击“协议”选项卡，在“选择协议类型”的下拉列表中选择“TCP”，然后在“到此端口”下的文本框中输入“135”，点击“确定”按钮，这样就添加了一个屏蔽TCP 135(RPC)端口的筛选器，它可以防止外界通过135端口连上你的电脑

第四步，按照第三步不停的重复直到你认为危险的端口全封了。

第一步，点击“开始”菜单/设置/控制面板/管理工具，双击打开“本地安全策略”，选中“IP 安全策略，在本地计算机”，在右边窗格的空白位置右击鼠标，弹出快捷菜单，选择“创建IP 安全策略”，

2给新安全策略起个名称

精品文档，欢迎下载使用！

本地安全策略无法打开

本地安全策略无法打开 打开管理工具中[本地安全策略]时出现“管理单 元初始化失败”或“创建管理单元失败”的错误提示，然后 给了个“ CLSID:{8FC0B734-A0E1-11D1-A7D3- 0000F87571E3} ”的提示, 将位于%windir%\system32\wbem下的framedyn.dll拷贝至%windir%\system32 后，注册regsvr32 gpedit.dll和regsvr32 filemgmt.dll这两个文件如果都成功了，打开本地安全策略试试，如果不行按照下面的方法操作。 解决本地安全策略打不开的方法一： 1、解决的前提条件： 一是解决好系统的配置环境问题，由于安装软件导致系 统环境path被修改，所以需要改回来，方法是，打开系统 属性-高级-环境变量-修改path，值得说明的是xp不同版本 的稍有不同，大家可以打开相似的按钮看一下就找到了，修 改是比较简单的，只要在原来的path路径后面继续增加路 径就可以了，先加一分号“;”然后输入引号中的“% systemroot%\system32;%systemroot%;%systemroot% system32%\wbem”,你也可以增加类似的路径，这里就不多 说了。 二是确保两个文件的存在，如果没有可以拷贝到 windows目录下的system32目录下，这两个文件是

gpedit.msc和secpol.msc 。 2、如何调用，这里是很重要的一步,因为虽然该改的都改 了，该加的都加上了，但是目前为止还没有让将它们联系在 一起，或者说还没有注册到系统里. 不过不用担心，下面的步骤就可以解决这个难题了。 点-开始-运行-输入gpedit.msc-点确定，如果没有执 行，那么就直接去windows目录下的system32目录中直 接打开它好了。 然后，打开[控制面板]中的[本地安全策略]图标，你会发 现竟然出现了[计算机配置]，双击[计算机配置]，久违的 [安全设置]下面出现了[本地策略]。如果你喜欢修改下布 局，你还可以将右面的策略项排列成列表或详细信息等方 式。 解决本地安全策略打不开的方法二： 运行\ regedit\找到 HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC 将RestrictToPermittedSnapins 的值设置为 0，如果MMC 找不到可以这样： 直接将下面内容复制粘贴进入记事本，并保存为后缀名为.reg的文件，双击运行该.reg文件即可。 Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Policies\Microsoft\MMC] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Policies\Microsoft\MMC\{8FC0B734-A0E1-11D1-A7D3-0000F87571E3}] "Restrict_Run"=dword:00000000 [HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC] [-HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC\{8FC0B734-A0E1-11D1-A7D3-0000F87571E3}] "Restrict_Run"=dword:00000000

IP安全策略的设置

IP安全策略的设置IP安全策略设置方法 一、适用范围： 它适用于2000 以上Windows 系统的专业版；对家庭版的用户可以看一下是不是能通过： 控制台（运行mmc）－文件－添加/删除管理单元－添加－添加独立单元，添加上“IP安全策略管理”，如行的话则可在左边的窗口中看到“IP安全策略，在本地计算机”了，接下来的操作就跟专业版一样了。二、找到“IP安全策略，在本地计算机”： “IP 安全策略，在本地计算机”选项在“本地安全设置”下，所以要找到它就得打开“本地安全设置”。打开“本地安全设置”的方法，除特殊情况下在上面说的“控制台”中添加外，主要采用以下两种方法来打开：1是点“开始”－“运行”－输入secpol.msc，点确定；2 是“控制面板”－“管理工具”－“本地安全策略”。打开“本地安全策略”对话框就能在左边的窗口中看到“IP安全策略，在本地计算机”了。右击它，在它的下级菜单 IP 安全策略中能看到“创建IP安全策略”和“管理IP筛选器表和筛选器操作”等菜单（也可以在此级菜单中的“所有任务”项的下级菜单中看到上面的两个菜单）。我们的IP安全策略主要在用于QV同网段IP 隔离这两个菜单下操作。对“创建IP安全策略”的操作，可先做也可以后做。先做呢，没有内容，只能建一个空的策略放在那里，等“筛选器列表”和“筛选器”有了内容，再添加进去；后做呢，就能在建好自己的IP安全策略后马上把刚才做好的“筛选器”和“筛选器操作”添加进去。所以通常把它放到后面去做，这里也把它放到后面去做。 三、建立新的筛选器： 1、在“IP安全策略，在本地计算机”的下级菜单中选择“管理IP筛选器和筛选器操作”菜单，打开“管理IP筛选器和筛选器操作”对话框，里面有两个标签：“管理IP 筛选器列表”和“管理筛选器操作”。选择“管理IP筛选器列表”标签，在“IP筛选器列表”下的文本框下面能看到三个按钮：“添加”、“编辑”和“删 除”。．

IP安全策略的设置

IP安全策略的设置 IP安全策略设置方法 一、适用范围： 它适用于2000 以上Windows 系统的专业版；对家庭版的用户可以看一下是不是能通过：控制台（运行mmc）－文件－添加/删除管理单元－添加－添加独立单元，添加上“IP 安全策略管理”，如行的话则可在左边的窗口中看到“IP安全策略，在本地计算机”了，接下来的操作就跟专业版一样了。 二、找到“IP安全策略，在本地计算机”： “IP 安全策略，在本地计算机”选项在“本地安全设置”下，所以要找到它就得打开“本地安全设置”。打开“本地安全设置”的方法，除特殊情况下在上面说的“控制台”中添加外，主要采用以下两种方法来打开：1是点“开始”－“运行”－输入secpol.msc，点确定；2 是“控制面板”－“管理工具”－“本地安全策略”。打开“本地安全策略”对话框就能在左边的窗口中看到“IP安全策略，在本地计算机”了。右击它，在它的下级菜单IP 安全策略中能看到“创建IP安全策略”和“管理IP筛选器表和筛选器操作”等菜单（也可以在此级菜单中的“所有任务”项的下级菜单中看到上面的两个菜单）。我们的IP安全策略主要在用于QV同网段IP隔离这两个菜单下操作。对“创建IP安全策略”的操作，可先做也可以后做。先做呢，没有内容，只能建一个空的策略放在那里，等“筛选器列表”和“筛选器”有了内容，再添加进去；后做呢，就能在建好自己的IP安全策略后马上把刚才做好的“筛选器”和“筛选器操作”添加进去。所以通常把它放到后面去做，这里也把它放到后面去做。 三、建立新的筛选器： 1、在“IP安全策略，在本地计算机”的下级菜单中选择“管理IP筛选器和筛选器操作”菜单，打开“管理IP筛选器和筛选器操作”对话框，里面有两个标签：“管理IP 筛选器列表”和“管理筛选器操作”。选择“管理IP筛选器列表”标签，在“IP筛选器列表”下的文

IP安全策略详细设置

首先,打开"管理工具"中的"本地安全策略",在"IP安全策略"选项上点击右键,如图1: 选择"创建IP安全策略",会弹出向导窗口,单击下一步,在弹出的窗口中,输入此策略的名称,比如这里我们键入"3389过滤"再单击下一步,以后全部默认下一步,其中有一个警告,单击"是"即可这样就完成新策略的添加.如图2: 点击确定后,回到图1界面,选择"管理IP筛选器操作",弹出窗口,如图3

我们先要建立一个筛选器,单击"添加",弹出窗口,在筛选器名称里填入"3389筛选器1",再单击旁边的"添加",会弹出向导窗口,单击"下一步",会出现源地址选项,(你可以按照自己的需要选择),在这里我们选择"任何IP地址",单击下一步,在目的地址中选择"我的IP地址",再单击下一步,选择IP协议,这里我们选择TCP,单击下一步,会出现端口选择,如图4: 我们设置从任何端口到本机的3389端口.单击下一步.就完成了筛选器的建立.如图5:

接着回到图3界面,单击"管理筛选器操作"页栏 单击"添加",会弹出筛选器操作向导,单击"下一步",取名为"阻止3389",单击下一步, 在选择操作页面中选择"阻止",单击"下一步",就完成了筛选器的建立.如图6:

好了! 我们建立了筛选器和筛选器操作,现在就要建立IP安全规则了.(***)在图1界面中,双击我们刚刚建立的"3389过滤"策略,弹出策略属性窗口,然后单击"添加"弹出向导,单击"下一步",一直单击下一步,其中一个选择"是",直到这里,如图7： 这时,我们要选择我们刚才建立的"3389筛选器1",然后再单击下一步.如图8

配置本地安全策略

配置本地安全策略端口的保护 IP 安全策略设置方法 一、适用范围： 它适用于2000以上Windows系统的专业版；对家庭版的用户可以看一下是不是能通过：控制台（运行mm）-文件-添加/删除管理单元-添加-添加独立单元，添加上“ IP 安全策略管理”，如行的话则可在左边的窗口中看到“ IP 安全策略，在本地计算机”了，接下来的操作就跟专业版一样了。 二、找到“ IP 安全策略，在本地计算机”： “IP 安全策略，在本地计算机”选项在“本地安全设置”下，所以要找到它就打开“本地安全设置”的方法，主要采用以下两种方法来打开：1是点“开始”-“运行” -输入 secpol.msc ，点确定；2 是“控制面板”-“管理工具”-“本地安全策略”。打开“本地安全策略”对话框就能在左边的窗口中看到“ IP 安全策略，在本地计算机”了。右击它，在它的下级菜单中能看到“创建IP 安全策略”和“管理IP 筛选器表和筛选器操作”等菜单（也可以在此级菜单中的“所有任务”项的下级菜单中看到上面的两个菜单）。 三、建立新的筛选器： 1、在“ IP 安全策略，在本地计算机”的下级菜单中选择“管理IP 筛选器和筛选器操作”菜单，打开“管理IP 筛选器和筛选器操作”对话框，里面有两个标签：“管理IP 筛选器列表”和“管理筛选器操作”。选择“管理IP 筛选器列表”标签，在“ IP 筛选器列表”下的文本框下面能看到三个按钮：“添加”、“编辑”和“删除”。 2、点“添加”按钮，打开叫做“ IP筛选器列表”的对话框，里面有三个文本框，从上到下分别是：“名称”、“描述”和“筛选器”。在“名称”和“描述”文本框右边，能看到“添加”、“编辑”和“删除”三个按钮（对没有内容的筛选器而言，它的 “编辑”和“删除”按钮不可用），在这三个按钮下有一个复选框，复选框后面有“使用‘添加向导'”这样的文本说明。 3、取消默认的对“使用‘添加向导'”的勾选，在“名称”下面的文本框中把默认的“新IP 筛选器列表”修改成下面要建立的筛选器列表的名称，我们这里先输入： “病毒常驻端口”，在“描述”下面的空白文本框中输进去“病毒常驻端口”后面的全部

操作系统的安全策略基本配置原则(正式)

编订：__________________ 单位：__________________ 时间：__________________ 操作系统的安全策略基本配置原则(正式) Standardize The Management Mechanism To Make The Personnel In The Organization Operate According To The Established Standards And Reach The Expected Level. Word格式 / 完整 / 可编辑

文件编号：KG-AO-8263-70 操作系统的安全策略基本配置原则 (正式) 使用备注：本文档可用在日常工作场景，通过对管理机制、管理原则、管理方法以及管理机构进行设置固定的规范，从而使得组织内人员按照既定标准、规范的要求进行操作，使日常工作或活动达到预期的水平。下载后就可自由编辑。 安全配置方案中级篇主要介绍操作系统的安全策略配置,包括十条基本配置原则: (1)操作系统安全策略,(2)关闭不必要的服务 (3)关闭不必要的端口, (4)开启审核策略(5)开启密码策略, (6)开启帐户策略,(7)备份敏感文件,(8)不显示上次登陆名,(9)禁止建立空连接(10)下载最新的补丁 1 操作系统安全策略 利用Windows 2000的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器的安全策略.在管理工具中可以找到"本地安全策略".可以配置四类安全策略:帐户策略,本地策略,公钥策略和IP安全策略.在默认

的情况下,这些策略都是没有开启的. 2 关闭不必要的服务 Windows 2000的Terminal Services(终端服务)和IIS(Internet 信息服务)等都可能给系统带来安全漏洞.为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果开了,要确认已经正确的配置了终端服务. 有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务.要留意服务器上开启的所有服务并每天检查.Windows2000可禁用的服务服务名说明Computer Browser维护网络上计算机的最新列表以及提供这个列表Task scheduler允许程序在指定时间运行Routing and Remote Access在局域网以及广域网环境中为企业提供路由服务Removable storage管理可移动媒体,驱动程序和库Remote Registry Service允许远程注册表操作Print Spooler将文件加载到内存中以便以后打印.要用打印机的用户不能禁用这项服务IPSEC Policy Agent管

操作系统的安全策略基本配置原则

操作系统的安全策略基 本配置原则 集团企业公司编码：（LL3698-KKI1269-TM2483-LUI12689-ITT289-

操作系统的安全策略基本配置原则安全配置方案中级篇主要介绍操作系统的安全策略配置,包括十条基本配置原则: (1)操作系统安全策略,(2)关闭不必要的服务(3)关闭不必要的端口,(4)开启审核策略(5)开启密码策略,(6)开启帐户策略,(7)备份敏感文件,(8)不显示上次登陆名,(9)禁止建立空连接(10)下载最新的补丁 1操作系统安全策略 利用Windows2000的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器的安全策略.在管理工具中可以找到"本地安全策略".可以配置四类安全策略:帐户策略,本地策略,公钥策略和IP安全策略.在默认的情况下,这些策略都是没有开启的. 2关闭不必要的服务 Windows2000的TerminalServices(终端服务)和IIS(Internet信息服务)等都可能给系统带来安全漏洞.为了能够在远程方便的管理服务器,

很多机器的终端服务都是开着的,如果开了,要确认已经正确的配置了终端服务. 有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务.要留意服务器上开启的所有服务并每天检查.Windows2000可禁用的服务服务名说明 ComputerBrowser维护网络上计算机的最新列表以及提供这个列表Taskscheduler允许程序在指定时间运行RoutingandRemoteAccess在局域网以及广域网环境中为企业提供路由服务Removablestorage管理可移动媒体,驱动程序和库RemoteRegistryService允许远程注册表操作PrintSpooler将文件加载到内存中以便以后打印.要用打印机的用户不能禁用这项服务IPSECPolicyAgent管理IP安全策略以及启动 ISAKMP/Oakley(IKE)和IP安全驱动程序DistributedLinkTrackingClient当文件在网络域的NTFS卷中移动时发送通知Com+EventSystem提供事件的自动发布到订阅COM组件。 3关闭不必要的端口 关闭端口意味着减少功能,如果服务器安装在防火墙的后面,被入侵的机会就会少一些,但是不可以认为高枕无忧了.用端口扫描器扫描系统

Windows7本地安全策略

广东XXXX职业学院 计算机工程技术学院(软件学院) 实验报告 专业计算机网络技术班级XXX 成绩评定______ 学号XX 姓名XXX (合作者____号____) 教师签名XX 实验八题目本地安全策略第九周星期二第节 一、实验目的与要求（此栏实验前由老师填写） ◆创建和验证多重本地组策略的设置； ◆配置本地安全策略设置。 二、实验环境及方案（此栏实验前由老师填写） 实验环境： 主机硬件配置至少1G内存，15G以上的空余硬盘空间，然后要求在主机上安装Oracle VM VirtualBox 4.1.8，利用它配置至少一台虚拟机，安装windows 7企业版客户机，并准备好相应的windows 7安装盘或对应ISO文件。 实验说明： 1.计算机启动时所启动的操作系统称为主机，在虚拟机上安装的操作系统称 为客户机； 2.启动客户机后，如果想操作客户机，只需用鼠标点击客户机桌面就可以； 如果要回到主机操作，可以按下键盘右边ctrl键。 3.也可以通过安装增强功能来实现在主机与客户机之间自由地切换 4.客户机的管理员kgy帐号的登录密码：P@ssw0rd 5.实验所需的各种资料在共享文件夹中找

6.请把实验过程的关键操作屏幕的图片剪切下来，贴在相应实验内容后面， 以备检查。（截屏方法：如果要截全屏，直接按屏幕打印键；如果只截当前屏幕，请按Alt+屏幕打印键） 7.完成后，请将实验结果文件命名为：“班内序号_姓名_第几次实验”，如张 三班内序号为18号、实验一的结果文件可命名为：“18_张三_1.doc” ；再如李四班内序号为8号、实验六的结果文件可命名为：“08_李四_6.doc” 三、实验内容（将每项实验内容的具体操作步骤及相关截图存放于实验结果 栏中） （一）创建和验证多重本地组策略的设置 1、以administrator登录计算机，创建自定义管理控制台，分别选择本地计算机、Administrators和非管理员为组策略对象，保存到桌面并命名为Multiple Local Group Policy Editor； 2、配置本地计算机策略 ●在本地计算机策略中配置windows登录脚本，添加一个登录脚本文件， 脚本文件名称为computerscript.vbs，脚本内容为msgbox “Default Computer Policy”； 3、配置本地计算机管理员策略 ●在本地计算机\Administrators策略中配置windows登录脚本，添加一个 登录脚本文件，脚本文件名称为administratorscript.vbs，脚本内容为msgbox “Default Administrator’s Policy”； 4、配置本地计算机非管理员策略 ●在本地计算机\非管理员策略中配置windows登录脚本，添加一个登录

操作系统的安全策略基本配置原则通用版

管理制度编号：YTO-FS-PD674 操作系统的安全策略基本配置原则通 用版 In Order T o Standardize The Management Of Daily Behavior, The Activities And T asks Are Controlled By The Determined Terms, So As T o Achieve The Effect Of Safe Production And Reduce Hidden Dangers. 标准/ 权威/ 规范/ 实用 Authoritative And Practical Standards

操作系统的安全策略基本配置原则 通用版 使用提示：本管理制度文件可用于工作中为规范日常行为与作业运行过程的管理，通过对确定的条款对活动和任务实施控制,使活动和任务在受控状态，从而达到安全生产和减少隐患的效果。文件下载后可定制修改，请根据实际需要进行调整和使用。 安全配置方案中级篇主要介绍操作系统的安全策略配置,包括十条基本配置原则: (1)操作系统安全策略,(2)关闭不必要的服务(3)关闭不必要的端口, (4)开启审核策略(5)开启密码策略, (6)开启帐户策略,(7)备份敏感文件,(8)不显示上次登陆名,(9)禁止建立空连接(10)下载最新的补丁 1 操作系统安全策略 利用Windows 2000的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器的安全策略.在管理工具中可以找到"本地安全策略".可以配置四类安全策略:帐户策略,本地策略,公钥策略和IP安全策略.在默认的情况下,这些策略都是没有开启的. 2 关闭不必要的服务 Windows 2000的Terminal Services(终端服务)和IIS(Internet 信息服务)等都可能给系统带来安全漏洞.为了

windows配置IP访问策略

windows 配置IP访问策略 附件：配置IP安全策略 禁止访问 1、打开组策略编辑器，在运行中输入gpedit.msc ； 2、1、打开：计算机配置>Winodws设置>安全设置>IP 安全策略，在本地计算机 3、在“IP 安全策略，在本地计算机”单击右键，选择“创建IP安全策略” 4、输入策略名称“禁止访问1521”，然后选择下一步>选择“激活默认响应规则“， 然后选择下一步>选择”选择Active Directory 默认值（Kerberos V5协议）“，然后选择下一步>弹出警告框，选择是>选择编辑属性，点击完成。 5、选择添加 6、选择下一步 7、选择“此规则不指定隧道” 8、选择“所有网络连接”点击下一步 9、选择“添加” 10、输入“名称”然后点击添加 11、然后连续点击两次下一步，直到下弹出下面窗口，源地址选择“任何IP地址“，点击下一步。 12、目标地址选择“我的IP地址“，点击下一步 13、IP协议类型选择“TCP“，点击下一步 14、IP协议端口，选择“从任意端口“到”1521端口“，点击下一步然后点完成。15，打开规则属性页面，选择“筛选器操作“页面 16、输入名称 17，选择“阻止“，点击下一步，然后点完成。 18、选择新建的筛选器，然后点击应用。 19、在新建策略上单击右键，选择“指派“ 20、在运行中输入“gpupdate“回车，更新本地安全策略。

只允许特定主机访问445端口 要设置只允许某个特定主机或网段访问445端口（同样可应用于其它端口号）其步骤如下： 一、首先建立一条组策略（组策略中包含“策略拒绝所有主机访问445端口”策略和“允许特定 主机访问445端口”二条子策略）。 二、建立子策略一“策略拒绝所有主机访问445端口” 三、建立子策略二“允许某个特定主机或网段访问445端口” 四、添加子策略到组策略中，并指派策略生效并（使用gpupdate命令）更新组策略。 步骤与截图如下： 一、建立组策略 1.开始菜单->运行->gpedit.msc进入如下图所示位置，并随机附图所示依次点击“下一步” 出现警告点击“是” 点击完成 二、建立子策略“策略拒绝所有主机访问445端口” 建立一条策略拒绝所有主机的445端口访问，依下图所示步骤操作。 去掉“使用添加向导”的勾选，并点击添加： 再次点击“添加” 输入策略名称“拒绝所有445端口访问”，并点击“添加”，进入IP筛选器向导 源地址指定为“任何IP地址” 目标地址指定为“我的IP地址” 协议类型选择为“TCP” 端口设置如下，到此端口输入445： 点击下一步完成。 进入到“筛选器操作”选项卡，为本条策略设置“允许/阻止”该流量。 由于阻止操作并未出现在默认选项中，需人工添加。 同样去掉“使用添加向导”并点击添加。出现对话框，选择“阻止” 在“常规”选项卡中输入操作名称，点击确定完成。 选择刚刚新建的“阻止”操作，点击应用，到此阻止所有主机访问本机的445端口策略设置完毕。 三、建立子策略“允许访问本机的445端口” 再次点击“添加” 假设远程主机IP为，输入策略名称“允许访问445端口” 完成后，去掉“使用添加向导”并点击“添加”，源地址设置为你需要允许访问的IP地址。目标地址选择“我的IP地址”，地址选项卡设置完成。 进入“协议”选项卡，作如下设置，并点击“确定”完成添加操作。 再次点击确认完成操作 到此我们可以看到有二条IP筛选策略已经添加完成。 四、添加子策略到组策略

本地安全策略

本地安全策略 任务: 基于服务器安全要求,做为网络管理员,进行安全策略设置。 任务目的： 1．掌握Windows Server 2003账户策略使用方法。 2．掌握Windows Server 2003审核策略的使用方法。 3．掌握本地策略的使用方法。 任务要求: 根据安全策略特性,制定本地安全策略, 写出方案,并进行实施,实施步骤进行抓屏做为作业上交。 任务具体内容： 一、备份本地安全策略 依次打开“开始”、“程序”、“管理工具”、“本地安全策略”，右键“安全设置”，“导出策略”，输入文件名bak.inf，确定。文件名可以任选，只要你知道是它是最原始的安全策略便可。 二、恢复本地安全策略 1．在做恢复本地安全策略以前，先建立一个用户，不给口令， 应该顺利建成。 2．进入本地安全策略，右键“安全设置”，“导入策略”可以看到许多安全模板，包括你上面备份的那一个，这些安全模板是 Server 2003自带的几套，系统管理员可以不作任何更改将其

应用到系统中来，不同模板安全级别不同，作用网管员应该熟 悉这些模板，在具体工作时，你可以在这些模板的基础上，自 定义出适合具体工作场合的模板。 3．导入hisecde.inf策略，重新建一个用户，如同（1）一样，不给口令，结果？不能建用户，原因：因为本地安全策略与原 来的不同了，它使用了另外一个系统已经设置好的要求用户口 令的安全策略。 4．导入备份的本地安全策略bak.inf，导入结束后，你再从新建一个用户，结果？说明了什么？ 三、帐户策略 1.用管理员登录，新建一个user1用户，不输入密码，是否能建成？ 进入本地安全策略，再进入帐户策略，再进入密码策略，双击密码 长度最小值，输入4，退出。这时新建一个用户user2，不输入密 码，是否能建成？有什么提示？输入3位密码，结果如何？输入4 位密码，结果如何？再进入本地策略中的帐户策略，双击密码必须 符合复杂性要求，先已启用，退出。这时再新建一个用户user3， 输入密码abcd，1234，a1b2，a1b:，哪个能建成用户？从而说明密 码必须符合复杂性要求是指：该密码必须由字母、数字、符号三种 组成，缺一不可。最后复原：取消密码必须符合复杂性要求和把密 码长度最小值设为0。 2.用管理员登录，新建一个user4用户，只选下次登录时改变密码， 再建一个用户user5，输入密码：user5，只选用户不能修改密码。 分别用user4和user5登录，是否都能登录？用管理员登录，进入 安全策略，再进入密码策略，把密码最长保存期改为30天，再修 改系统时间，向后延长30天，分别用user4和user5登录，有什 么提示？能否登录？为什么？用user4用户登录，能否自己修改密 码？用管理员登录，进入安全策略，再进入密码策略，把密码最短 存留期改为60天，用user4用户登录，能否自己修改密码？用管

组策略教程

一、访问组策略 1.输入gpedit.msc命令访问: 选择“开始”→“运行”(或快捷方式：Win+R)，在弹出窗口中输入“gpedit.msc”，回车后进入组策略窗口。组策略窗口的结构和资源管理器相似，左边是树型目录结构，由“计算机配置”、“用户配置”两大节点组成。这两个节点下分别都有“软件设置”、“Windows设置”和“管理模板”三个节点（如图一），节点下面还有更多的节点和设置。此时点击右边窗口中的节点或设置，便会出现关于此节点或设置的适用平台和作用描述。“计算机配置”、“用户配置”两大节点下的子节点和设置有很多是相同的，那么我们该改哪一处？“计算机配置”节点中的设置应用到整个计算机策略，在此处修改后的设置将应用到计算机中的所有用户。“用户配置”节点中的设置一般只应用到当前用户，如果你用别的用户名登录计算机，设置就不会管用了。但一般情况下建议在“用户配置”节点下修改，本文也将主要讲解“用户配置”节点的各项设置的修改，附带讲解“计算机配置”节点下的一些设置。其中“管理模板”设置最多、应用最广，因此也是本文的重中之重。 图一：

下面我们就进入“用户配置”，去细细探测它的奥秘： 1、在软件设置里面没有什么重要内容，我们省去介绍吧（不信你看看）； 2、那我们先看看“windows设置”里的内容（如图二全结构图：）：在“windows设置”的节点下有“脚本”、“安全设置”和“IE维护”三个节点，其中“脚本”下包含“登录”和“注销”两个脚本，其功能（属性）是设置“登录”和“注销”时的桌面背景！在“安全设置”里面没有什么实质内容，现我们就忽略它吧！ 《而对于“计算机配置”的“安全设置”的下节点里，多了三个小节点，其一是“密码策略”，它可以设置我们对用户的密码要求及密码保留时间等，因此，当你设置后，你的密码设置就必须符合这要求。。。。。。其二是“帐号锁定策略”，它可以设置帐号无效登录系

本地安全策略设置

实验本地安全策略设置 【实验目的】 1)掌握帐户策略的设置。 2)掌握本地策略的设置。 【实验环境】 具有Windows xp的计算机、局域网环境。 【实验重点及难点】 重点：掌握帐户策略、本地策略的设置。 难点：实验过程中，切实理学会如何实际应用XP本地安全策略。 【实验内容】 一、帐户策略的设置。 1、设置密码策略（使我们的系统密码相对安全，不易破解）。 1)打开”开始”菜单→”程序”→”管理工具”→”本地安全策略”→”帐户策略”→”密 码策略”(截图),设置密码长度最小值为2个字符，密码最短存留期为2天，密码最长存留期为50天。启用密码必须符合复杂性要求(截图)。 更改密码，设置Administrator帐号密码为空，或者设置密码为单一数字，则弹出如下对话框（截图）。 1）完成。 2、设置帐户锁定策略（可以抵御网络用户通过枚举入侵自己计算机）。 1）打开”开始”菜单→”程序”→”管理工具”→”本地安全策略”→”帐户策略”→”帐户锁定策略”(截图)。 2）设置”复位账户锁定计数器”为2分钟之后，“账户锁定时间”为2分钟，”账户锁定阈值”为5次无效登陆。（截图）。 3)此时，注销自己计算机，连续5次输入密码错误，此时自己电脑被锁定，禁 止输入密码，并且锁定时间为2分钟。 4）完成。 二、本地策略的设置。 1、设置审核策略（可以获取用户对本计算机的操作历史进行审核）。 审核登陆事件：用户在本机的登陆。 审核对象访问：用户对对象的访问（如文件、文件夹控制面板等）。 审核系统事件：系统的启动、注销和关机，以及涉及到安全性的一些事件。 审核帐户登陆事件：用户在其他计算机上登陆，在本计算机上进行验证。 审核帐户管理：涉及到帐户的管理，如新建用户和组，修改密码、重命名用户和组等。 1）打开”开始”菜单→”程序”→”管理工具”→”本地安全策略”→”本地策略”→”审核策略”(截图)。 2）设置审核登陆事件和审核系统事件都为成功和失败（截图）。

IP安全策略的设置

脚本语言的我还是建议不要使用IIS，因为IIS对非官方的东西的支持始终都不够好。下面是看图识字而已，跟着我来一切将变得很简单。 Here we go. IP安全策略的设置 IP安全策略设置方法 一、适用范围： 它适用于2000 以上Windows 系统的专业版；对家庭版的用户可以看一下是不是能通过：控制台（运行mmc）－文件－添加/删除管理单元－添加－添加独立单元，添加上“IP 安全策略管理”，如行的话则可在左边的窗口中看到“IP安全策略，在本地计算机”了，接下来的操作就跟专业版一样了。 二、找到“IP安全策略，在本地计算机”： “IP 安全策略，在本地计算机”选项在“本地安全设置”下，所以要找到它就得打开“本地安全设置”。打开“本地安全设置”的方法，除特殊情况下在上面说的“控制台”中添加外，主要采用以下两种方法来打开：1是点“开始”－“运行”－输入secpol.msc，点确定；2 是“控制面板”－“管理工具”－“本地安全策略”。打开“本地安全策略”对话框就能在左边的窗口中看到“IP安全策略，在本地计算机”了。右击它，在它的下级菜单 IP 安全策略中能看到“创建IP安全策略”和“管理IP筛选器表和筛选器操作”等菜单（也可以在此级菜单中的“所有任务”项的下级菜单中看到上面的两个菜单）。我们的IP安全策略主要在用于QV同网段IP隔离这两个菜单下操作。对“创建IP安全策略”的操作，可先做也可以后做。先做呢，没有内容，只能建一个空的策略放在那里，等“筛选器列表”和“筛选器”有了内容，再添加进去；后做呢，就能在建好自己的IP安全策略后马上把刚才做好的“筛选器”和“筛选器操作”添加进去。所以通常把它放到后面去做，这里也把它放到后

设置安全策略步骤

实验七设置安全策略实验背景 某公司所有员工的初始密码为benet2!。管理员担心公司员工更改的密码过于简单，容易被扫描软件扫描扫到，同时管理员担心用户长久不更改密码影响安全性。对于公司域控制器，管理员需要验证都有谁在什么时候登录。有人反应公司的文件服务器上的资料有丢失现象，管理员需要查找是否有人有意的删除文件。 由于域用户帐号一旦登录域内成员主机成功，访问文件服务器不在需要做身份验证，为了放置有人恶意尝试用户密码，公司要求所有员工有三次输入密码机会，三次输入错误自动锁定帐号。试行一段时间后很多人帐号经常锁定，不得不频繁找管理员，管理员需设定用户帐号的30分钟自动解锁。 公司有人反应访问加入域后，用域用户帐号登录后不能自动关机，公司要求所有员工下班必须关机离开，管理员解决这个问题。 有部分输入domain users组的员工需要登录域控制器，可这些员工反应他们无法登录域控制器，管理员解决这个问题 文件服务器公司要求所有员工可以网络访问，但不可以对文件服务器本地登录，公司要求管理员完成，并对文件服务器做登录审核。 对于文件服务器，公司要求本地登录成功后需要提示：标题：重要警告，内容：服务器重地，请不要做任何删除和剪切。 实验目标 1 所有域用户帐号在设置密码时，必须符合复杂密码要求，密码长度至少7位，密码必须每60天更新一次 2 设置三次密码锁定，设置锁定复位时间30分钟。 3 为域控制器启动帐号的登录审核，对文件服务器启动对象审核 4 把域用户帐号加入关闭系统，保证可以下班关机 5 把域用户帐号加入本地登录安全策略 6 文件服务器上把所有的用户帐号加入拒绝网络访问，对文件服务器启动审核 7 对文件服务器设置登录提示 实验环境 1 一人一组 2 准备2台Windows Server 200 3 虚拟机（1台域控制器，1台成员主机） 实验步骤： 1 在域控制器上完成 以域管理员登录域控制器，设置域安全策略

配置本地安全策略

配置本地安全策略 Revised as of 23 November 2020

配置本地安全策略———端口的保护IP安全策略设置方法 一、适用范围： 它适用于2000以上Windows系统的专业版；对家庭版的用户可以看一下是不是能通过：控制台（运行mmc）－文件－添加/删除管理单元－添加－添加独立单元，添加上“IP安全策略管理”，如行的话则可在左边的窗口中看到“IP安全策略，在本地计算机”了，接下来的操作就跟专业版一样了。 二、找到“IP安全策略，在本地计算机”： “IP安全策略，在本地计算机”选项在“本地安全设置”下，所以要找到它就打开“本地安全设置”的方法，主要采用以下两种方法来打开：1是点“开始”－“运行”－输入，点确定；2是“控制面板”－“管理工具”－“本地安全策略”。打开“本地安全策略”对话框就能在左边的窗口中看到“IP安全策略，在本地计算机”了。右击它，在它的下级菜单中能看到“创建IP安全策略”和“管理IP筛选器表和筛选器操作”等菜单（也可以在此级菜单中的“所有任务”项的下级菜单中看到上面的两个菜单）。 三、建立新的筛选器： 1、在“IP安全策略，在本地计算机”的下级菜单中选择“管理IP筛选器和筛选器操作”菜单，打开“管理IP筛选器和筛选器操作”对话框，里面有两个标签：“管理IP 筛选器列表”和“管理筛选器操作”。选择“管理IP筛选器列表”标签，在“IP筛选器列表”下的文本框下面能看到三个按钮：“添加”、“编辑”和“删除”。

2、点“添加”按钮，打开叫做“IP筛选器列表”的对话框，里面有三个文本框，从上到下分别是：“名称”、“描述”和“筛选器”。在“名称”和“描述”文本框右边，能看到“添加”、“编辑”和“删除”三个按钮（对没有内容的筛选器而言，它的“编辑”和“删除”按钮不可用），在这三个按钮下有一个复选框，复选框后面有“使用 ‘添加向导’”这样的文本说明。 3、取消默认的对“使用‘添加向导’”的勾选，在“名称”下面的文本框中把默认的“新IP筛选器列表”修改成下面要建立的筛选器列表的名称，我们这里先输入：“病毒常驻端口”，在“描述”下面的空白文本框中输进去“病毒常驻端口”后面的全部端口号（可以用复制、粘贴来操作），主要作用是便于下一步对照着添加作为“筛选器”具体内容的“端口”。 这时可以点“确定”按钮，保存本“筛选器”。但由于它没有任何内容，所以会蹦出来“IP筛选器列表警告”对话框，提示“这个IP筛选器列表是空的。没有匹配的IP数据包。您想……吗”，因为保存是目的，所以选择“是”。 4、这里我们不点“确定”，不保存空的筛选器，直接向“筛选器”下面的文本框中添加本筛选器要操作的端口。这个文本框中是不能直接用输入法输入、编辑的，具体方法见下一步。 四、添加“筛选器”要操作的端口： 1、点“IP筛选器列表”对话框中的“添加”按钮，打开“筛选器属性”对话框。这个对话框里面有三个标签：“寻址”、“协议”和“描述”。 2、在“寻址”标签下有两个选项框和一个复选框。从上到下是“源地址”选项框、“目标地址”选项框和“镜像。同时与源地址和目标地址……匹配”复选框。因为我们

最新最全USG6000安全策略配置(DOC41页)

配置反病毒 在企业网关设备上应用反病毒特性，保护内部网络用户和服务器免受病毒威胁。 组网需求 某公司在网络边界处部署了NGFW作为安全网关。内网用户需要通过Web服务器和POP3服务器下载文件和邮件，内网FTP服务器需要接收外网用户上传的文件。公司利用NGFW提供的反病毒功能阻止病毒文件在这些过程中进入受保护网络，保障内网用户和服务器的安全。网络环境如图 1所示。 其中，由于公司使用Netease邮箱作为工作邮箱，为了保证工作邮件的正常收发，需要放行Netease邮箱的所有邮件。另外，内网用户在通过Web服务器下载某重要软件时失败，排查发现该软件因被NGFW判定为病毒而被阻断（病毒ID为8000），考虑到该软件的重要性和对该软件来源的信任，管理员决定临时放行该类病毒文件，以使用户可以成功下载该软件。 图1 配置反病毒组网图 配置思路 1.配置接口IP地址和安全区域，完成网络基本参数配置。 2.配置两个反病毒配置文件，一个反病毒配置文件针对HTTP和POP3协议设置匹配条件和响 应动作，并在该配置文件中配置Netease邮箱的应用例外和病毒ID为8000的病毒例外，另外一个反病毒配置文件针对FTP协议设置匹配条件和响应动作。 3.配置安全策略，在Trust到Untrust和DMZ到Untrust方向分别引用反病毒配置文件，实 现组网需求。

操作步骤 1.配置接口IP地址和安全区域，完成网络基本参数配置。 a.选择“网络> 接口”。 b.单击GE1/0/1，按如下参数配置。 c.单击“确定”。 d.参考上述步骤按如下参数配置GE1/0/2接口。 e.参考上述步骤按如下参数配置GE1/0/3接口。 2.配置反病毒配置文件。 a.选择“对象> 安全配置文件> 反病毒”。 b.单击“新建”，按下图完成针对HTTP和POP3协议的配置。

windows server 2008 配置本地安全策略

第六章配置本地安全策略 一、账户策略的应用 1、以管理员账户Administrator登录到服务器 2、单击“开始”→“管理工具”→“本地安全策略”（或者“开始”→“运行”→输入“secpol.msc”）,打开本地安全策略。 3、选择“账户策略”→“密码策略”→设置密码长度最小值为7，启用密码必须符合复杂性要求，密码使用最长期限为30天

4、选择“账户策略”→“账户锁定策略”，设置账户锁定阈值为3. 5、单击“开始”→“运行”→，输入“gpupdate”，刷新策略。

6、管理员administrator打开“服务器管理器”控制台。 7、展开“配置”→“本地用户和组”→“用户”，右击账户UserA，选择“重设密码”，输入新密码和确认密码“aaa”，单击“确定”按钮，提示密码不符合密码策略的要求。 8、输入旧密码，输入新密码和确认新密码“aaa”，单击“确定”同样提示密码不符合密码策略要求。

9、以账户UserA在计算机上登录，故意输错3次密码，提示账户被锁定 10、以administrator登录没有被锁定的提示。 对计算机解锁。 11、以管理员账户登录服务器解锁UserA账户。 12、在“服务器管理器”中，展开“配置”→“本地用户和组”→“用户”，右击账户UserA，选择“属性”→“常规”，可以看到账户以锁定的。

13、清除“账户以锁定”的复选框。 14、以UserA账户登录服务器，输入正确的密码可以正常登陆。

审核策略的应用 1、以管理员账户登录到服务器，在D盘创建一个名字为“sss”的文件夹。 2、单击“开始”→“程序”→“管理工具”→“本地安全策略”，打开本地安全策略。 3、选择“本地策略”→“审核策略”→，双击“审核对象访问”策略，选择“成功”和“失 败” 4、刷新策略。 5、右击文件夹sss，选择“属性”→“安全”→“高级”→“审核”，添加“everyone”

1.1配置本地安全策略

导学案1 配置本地安全策略 课程导入： 1、Auto病毒症状：双击盘符无法打开，只能通过单击右键打开。它的传播方式是利用windows自动播放功能，当Ｕ盘、移动硬盘插入到USB连接口时，计算机会自动运行相关移动存储介质的程序，这就为auto病毒及相关变种病毒提供了一个良好的运行条件。 教学目标： 1.理解本地安全策略 2.掌握配置账户策略的方法 3.掌握配置本地策略的方法 4.理解本地组策略 教学重难点： 重点： 1. 密码策略主要包含哪些策略？ 2. 这些密码策略各有什么作用？ 3. 账户锁定策略主要包含哪些策略？ 难点： 1. 账户锁定策略各作用 2. 本地策略主要涉及范围 自学导航： 进入组策略的命令是：gpedit.msc。 1、设置系统关机。每次关闭windows server 2008系统时，总会出现关机原因提示框，用户可以设置将该提示框关闭。（组策略——计算机配置——管理模板——系统——显示“关闭事件跟踪程序”，选择“已禁用”） 2、密码必须符合复杂性要求。不能包含用户的帐户名，不能包含用户姓名中超过两个连续字符的部分，至少有六个字符长，包含以下四类字符中的三类字符:英文大写字母(A 到Z)、英文小写字母(a 到z)、10 个基本数字(0 到9)、非字母字符(例如!、$、#、%)，在更改或创建密码时执行复杂性要求。（组策略——计算机配置——windows 设置——安全设置——帐户策略——密码策略，启用密码必须符合复杂性要求。） 3、设置密码最小值为6位。 （组策略——计算机配置——windows 设置——安全设置——帐户策略——密码策略，启用密码长度最小值长度。） 4、设置用户两次输错密码，无法再次登录系统。此安全设置确定导致用户帐户被锁定的登录尝试失败的次数。在管理员重置锁定帐户或帐户锁定时间期满之前，无法使用该锁定帐户。 （组策略——计算机配置——windows 设置——安全设置——帐户策略——帐户锁定策略，启用帐户锁定阈值。） 5、不显示最后的用户名。该安全设置确定是否在Windows 登录屏幕中显示最后登录到计算机的用户的名称。 （组策略——计算机配置——windows 设置——安全设置——本地策略——安全选项——交互式登录: 不显示最后的用户名l，启用该选项。） 6、开机无须按Ctrl+Alt+Del。如果计算机中启用该策略，则用户无须按Ctrl+Alt+Del 便可登录。可以不按 Ctrl+Alt+Del 使用户易于受到试图截获用户密码的攻击。用户登录之前需要按Ctrl+Alt+Del 确保用户输入其密码时通过信任的路径进行通信。 （组策略——计算机配置——windows 设置——安全设置——本地策略——安全选项——交互式登录: 无须按 Ctrl+Alt+Del，禁用该选项。） 7、设置用户登录系统时的提示信息。该安全设置指定用户登录时向其显示的文本消息。该文本通常用于法律原因，例如，警告用户滥用公司信息的后果或其操作可能要经过审核。 （组策略——计算机配置——windows 设置——安全设置——本地策略——安全选项，在“交互式登录: 试图登录的用户的消息标题”和“交互式登录：试图登录的用户的消息文本”中输入相应文字。） 8、设置“帐户: 使用空白密码的本地帐户只允许进行控制台登录”。此安全设置确定未进行密码保护的本地帐户是否可以用于从物理计算机控制台之外的位置登录。如果启用此设置，则未进行密码保护的本地帐户将仅能够在计算机的键盘上登录。 （组策略——计算机配置——windows 设置——安全设置——本地策略——安全选项，禁用“帐户: 使用空白密码的本地帐户只允许进行控制台登录”。）