計算機第4章-網(wǎng)吧管理之組策略與安全配置

[計算機]第4章-網(wǎng)吧管理(guǎnlǐ)之組策略與平安配置第一頁，共46頁。目錄4.1組策略概述4.2組策略的根本配置與實例(shílì)4.3使用組策略配置用戶環(huán)境4.4使用組策略部署軟件☆綜合實訓7：WindowsServer2003效勞器平安配置——本地平安策略4.5平安配置和分析4.6平安配置向?qū)?.7WindowsServer2003防火墻第二頁，共46頁。組策略是管理員為計算機和用戶定義的，是用來控制應用程序、系統(tǒng)設置和管理模板的一種(yīzhǒnɡ)機制。簡單地說，組策略就是介于控制面板和注冊表之間的一種(yīzhǒnɡ)修改系統(tǒng)、設置程序的工具。組策略高于注冊表，組策略使用更完善的管理組織方法，可以對各種對象中的設置進行管理和配置，遠比手工修改注冊表方便、靈活，功能也更加強大。帳戶策略的設定本地策略的設定腳本的設定用戶工作環(huán)境的定制軟件的安裝與刪除限制軟件的運行文件夾的轉移其他系統(tǒng)設定4.1組策略概述(ɡàishù)第三頁，共46頁。方法1：單擊【開始】|【運行(yùnxíng)】命令，輸入gpedit.msc，單擊【確定】按鈕，翻開當前計算機的組策略，如圖4-1所示。方法2：單擊【開始】|【運行(yùnxíng)】命令，輸入MMC，單擊【確定】按鈕，翻開Microsoft管理控制臺，添加【組策略對象編輯器】，選擇所需的組策略對象，翻開要編輯的組策略對象，如圖4-2所示。4.1組策略概述(ɡàishù)圖4-1本地(běndì)組策略窗口圖4-2MMC中的組策略管理單元第四頁，共46頁。組策略主界面共分為左右兩個窗格，左邊窗格中的【“本地計算機〞策略】由【計算機配置】和【用戶配置】兩個子項構成，右邊窗格中是針對左邊某一配置可以設置的具體策略。組策略的根本單元是組策略對象GPO,它是一組設置的組合。有兩種類型的組策略對象：本地組策略對象和非本地組策略對象。組策略作用范圍：由它們所鏈接的站點、域或組織單元啟用。計算機配置：計算機開機時自動啟用，域控制器默認每隔5分鐘自動啟用，非域控制器默認每隔90-120分鐘自動啟動，此外不管(bùguǎn)策略是否有變動系統(tǒng)每隔16小時自動啟動一次。用戶配置：用戶登錄時自動啟用，系統(tǒng)默認每隔90分鐘自動啟動，此外不管(bùguǎn)策略是否有變動系統(tǒng)每隔16小時自動啟動一次。手動啟動組策略的命令是：gpupdate/target:compute/force組策略的配置是累加的。應用的順序：本地組策略對象→站點的組策略對象→域的組策略對象→組織單元的組策略對象。后面策略覆蓋前面策略。4.1組策略概述(ɡàishù)第五頁，共46頁。計算機配置包括所有與計算機相關的策略設置，它們用來指定(zhǐdìng)操作系統(tǒng)行為、桌面行為、平安設置、計算機開機與關機腳本、指定(zhǐdìng)的計算機應用選項以及應用設置。用戶配置包括所有與用戶相關的策略設置，它們用來指定(zhǐdìng)操作系統(tǒng)行為、桌面設置、平安設置、指定(zhǐdìng)和發(fā)布的應用選項、應用設置、文件夾重定向選項、用戶登錄與注銷腳本等?！?〕軟件設置〔2〕Windows設置賬號策略、本地策略、事件日志、受限組、系統(tǒng)效勞、注冊表、文件系統(tǒng)、IP平安策略、公鑰策略〔3〕管理模板4.2組策略的根本配置(pèizhì)與實例第六頁，共46頁。1．讓Windows的上網(wǎng)速率(sùlǜ)提升20%操作步驟：在【組策略編輯器】控制臺中，展開【計算機配置】|【管理模板】|【網(wǎng)絡】|【QoS數(shù)據(jù)包調(diào)度程序】項，在右窗格雙擊【限制可保存帶寬】策略，在屬性對話框中，選擇【已啟用】單項選擇按鈕，并將【帶寬限制】值設置為0%，單擊【確定】按鈕。4.2.2組策略實例(shílì)1：計算機配置4.2組策略的根本配置(pèizhì)與實例第七頁，共46頁。2．關閉系統(tǒng)復原功能操作步驟：在【組策略(cèlüè)】控制臺中，展開【計算機配置】|【管理模板】|【系統(tǒng)】|【系統(tǒng)復原】項，在右窗格雙擊【關閉系統(tǒng)復原】策略(cèlüè)，在屬性對話框中，選擇【已啟用】單項選擇按鈕，單擊【確定】按鈕，啟用此設置來關閉系統(tǒng)復原。3．禁止WindowsMessenger自動運行操作步驟：在【組策略(cèlüè)】控制臺中，展開【計算機配置】|【管理模板】|【W(wǎng)indows組件】|【W(wǎng)indowsMessenger】項，在右窗格雙擊【不允許運行WindowsMessenger】策略(cèlüè)，在屬性對話框中，選擇【已啟用】單項選擇按鈕，單擊【確定】按鈕。4.2.2組策略實例(shílì)1：計算機配置4.2組策略的根本配置(pèizhì)與實例第八頁，共46頁。4．管理遠程桌面設置實例★允許“遠程桌面〞連接在【組策略(cèlüè)編輯器】中，展開【計算機配置】|【管理模板】|【W(wǎng)indows組件】|【終端效勞】項，在右窗格中雙擊【允許用戶使用終端效勞遠程連接】策略(cèlüè)，在屬性對話框中，選擇【已啟用】單項選擇按鈕，單擊【確定】按鈕即可。★配置“數(shù)據(jù)重定向〞雙擊【客戶端/效勞器數(shù)據(jù)重定向】目錄，翻開【客戶端/效勞器數(shù)據(jù)重定向】項，可以設置在建立連接后所能使用的客戶端資源?！镌O置空閑會話連接時間展開【會話】目錄，雙擊【為活動但空閑的終端效勞會話設置時間限制】策略(cèlüè)，可以限制空閑會話的連接時間。在【組策略(cèlüè)】控制臺中，展開【計算機配置】|【W(wǎng)indows設置】|【平安設置】|【本地策略(cèlüè)】|【審核策略(cèlüè)】項，雙擊【帳戶登錄審核】策略(cèlüè)，選擇審核【成功】和【失敗】兩項，單擊【確定】按鈕。4.2.2組策略實例(shílì)1：計算機配置4.2組策略的根本(gēnběn)配置與實例第九頁，共46頁。1.個性化【任務欄和「開始」菜單】通過組策略可以實現(xiàn)【任務欄和「開始」菜單】的個性化。在【組策略編輯器】控制臺中，展開【用戶配置(pèizhì)】｜【管理模板】｜【任務欄和‘開始’菜單】項，在右窗格中列出【任務欄和‘開始’菜單】有關策略的具體配置(pèizhì)。具體實例如下：4.2.3組策略實例2：用戶(yònghù)配置4.2組策略的根本配置(pèizhì)與實例第十頁，共46頁。★給「開始」菜單減肥在組策略窗口中，可以啟用【從開始菜單刪除用戶文件夾】、【從開始菜單刪除公用程序組】、【從開始菜單中刪除‘我的文檔’圖標】等多種組策略配置工程來去掉不需要的菜單項?！锉Ｗo(bǎohù)好【任務欄和「開始」菜單】如果不想隨意讓他人更改【任務欄和「開始」菜單】的設置，只要啟用【阻止更改“任務欄和開始菜單〞設置】和【阻止訪問任務欄的上下文菜單】兩個策略即可?！锝埂娟P機】啟動計算機后，如果不希望用戶進行【關機】操作，那么啟用【刪除和阻止訪問“關機〞命令】策略?！锢媒M策略保護(bǎohù)個人文檔隱私如果不希望用戶查看曾經(jīng)訪問過的文件，只要在組策略窗口中的【任務欄和「開始」菜單】項中，啟用【不要保存最近翻開文檔的記錄】和【退出時去除最近翻開的文檔的記錄】兩個策略即可。4.2.3組策略實例(shílì)2：用戶配置4.2組策略的根本(gēnběn)配置與實例第十一頁，共46頁。2．個性化桌面通過組策略可以實現(xiàn)【桌面】的個性化，可以讓桌面管理(guǎnlǐ)工作變得易如反掌。在【組策略編輯器】控制臺中，展開【用戶配置】|【管理(guǎnlǐ)模板】|【桌面】項，在右窗格中列出【桌面】有關策略的具體配置，具體實例如下：4.2.3組策略實例2：用戶(yònghù)配置4.2組策略的根本(gēnběn)配置與實例第十二頁，共46頁?！镫[藏桌面的系統(tǒng)圖標只要啟用【隱藏桌面上“網(wǎng)上鄰居〞圖標】、【隱藏桌面上的InternetExplorer圖標】、【隱藏和禁用桌面上的所有工程】、【刪除桌面上的“我的文檔〞圖標】、【刪除桌面上的“我的電腦〞圖標】和【從桌面刪除回收站】等策略可以隱藏桌面上的相應的圖標。★退出時不保存桌面設置啟用【退出時不保存設置】策略可以防止用戶保存對桌面的某些更改〔如圖標的位置、任務欄的位置及大小等〕，不過任務欄上的快捷方式總可以被保存?！锝肁ctiveDesktop【活動桌面】是Windows系統(tǒng)中自帶的高級功能，最大的特點是可以設置各種圖片格式的墻紙，甚至可以將網(wǎng)頁作為墻紙顯示?？紤]性能因素(yīnsù)，需要禁用這一功能，翻開【桌面】中【ActiveDesktop】目錄，在右側窗格中啟用【禁用ActiveDesktop】策略，可以禁用活動桌面。4.2.3組策略實例(shílì)2：用戶配置4.2組策略的根本配置(pèizhì)與實例第十三頁，共46頁。微軟的IE瀏覽器讓我們可以輕松地在互聯(lián)網(wǎng)上遨游，但要想用好IE瀏覽器，那么必須將它配置好。通過組策略可輕松實現(xiàn)高級配置功能。在【組策略編輯器】中，展開【用戶配置】|【管理模板】|【W(wǎng)indows組件(zǔjiàn)】|【InternetExplorer】項〔需添加inetres.adm模板文件〕，在右窗口格中列出【InternetExplorer】有關策略的具體配置。具體實例如下：4.2.3組策略實例2：用戶(yònghù)配置4.2組策略的根本(gēnběn)配置與實例第十四頁，共46頁。★禁用IE瀏覽器的某些菜單項例如在【瀏覽器菜單】目錄項，啟用【禁用“在新窗口中翻開〞菜單項】策略，在瀏覽器中用戶右擊鏈接，選擇【在新窗口中翻開】時，該命令不起作用。網(wǎng)頁自動翻開的窗口也被禁止，可到達屏蔽彈出廣告窗口的效果?！锝谩綢nternet選項】控制面板如果不希望用戶修改InternetExplorer的屬性中的某些設置，可以禁用【Internet選項】的某些選項卡，在【Internet控制面板】目錄中，啟用【禁用常規(guī)頁】、【禁用平安頁】等組策略項，可在【Internet選項】中刪除【常規(guī)】、【平安】等選項卡?！锝剐薷腎E瀏覽器的主頁在【工具欄】目錄，啟用【禁用更改主頁設置】策略即可?！镒远xIE工具欄在【組策略】控制臺中，展開【用戶配置(pèizhì)】|【W(wǎng)indows設置】|【InternetExplorer維護】|【瀏覽器用戶界面】項，雙擊【瀏覽器工具欄按鈕自定義】策略，翻開其設置窗口中，在【按鈕】欄中單擊【添加】按鈕，在【工具欄標題】中輸人【我的QQ】，在【工具欄操作】中選擇QQ程序的路徑，最后再選擇好【顏色圖標】和【灰度圖標】的路徑。添加了一個【我的QQ】按鈕。4.2.3組策略實例2：用戶(yònghù)配置4.2組策略的根本(gēnběn)配置與實例第十五頁，共46頁。★關閉縮略圖的緩存在【組策略編輯器】中，展開【用戶配置】|【管理模板】|【W(wǎng)indows組件】|【W(wǎng)indows資源管理器】項，啟用【關閉縮略圖的緩存】策略即可?！镫[藏【我的電腦】中指定的驅(qū)動器在【組策略編輯器】中，展開【用戶配置】|【管理模板】|【W(wǎng)indows組件】|【W(wǎng)indows資源管理器】項，啟用【隱藏“我的電腦〞中的這些指定的驅(qū)動器】策略，并在列表框中選擇(xuǎnzé)一個驅(qū)動器或幾個驅(qū)動器?！锓乐箯摹疚业碾娔X】訪問驅(qū)動器在【組策略編輯器】中，展開【用戶配置】|【管理模板】|【W(wǎng)indows組件】|【W(wǎng)indows資源管理器】項，啟用【防止從“我的電腦〞訪問驅(qū)動器】策略，并在列表框中選擇(xuǎnzé)一個驅(qū)動器或幾個驅(qū)動器?！锝故褂谩久钐崾痉吭凇窘M策略編輯器】中，展開【用戶配置】|【管理模板】|【系統(tǒng)】項，啟用【阻止訪問命令提示符】策略，并選擇(xuǎnzé)【也停用命令提示符腳本處理】項。4.2.3組策略實例2：用戶(yònghù)配置4.2組策略的根本(gēnběn)配置與實例第十六頁，共46頁。★禁止更改顯示屬性在【組策略編輯器】中，展開【用戶配置】|【管理模板】|【控制面板】|【顯示】項，可根據(jù)需要啟用【隱藏桌面選項卡】、【隱藏主題選項卡】、【隱藏保護程序選項卡】、【隱藏設置選項卡】等策略，來隱藏相關屬性的選項卡，用戶將無法再對桌面屬性進行更改?！锝米员砭庉嬈髟凇窘M策略編輯器】中，展開【用戶配置】|【管理模板】|【系統(tǒng)】項，啟用【阻止訪問注冊表編輯工具】策略，禁止用戶啟動注冊表編輯器?！锝乖L問【控制面板】在【組策略編輯器】中，展開【用戶配置】|【管理模板】|【擴展面板】項，啟用【禁止訪問控制面板】策略。此后用戶不能使用Control.exe啟動【控制面板】，「開始(kāishǐ)」菜單和【資源管理器】中將刪除【控制面板】項?！锝谩咎砑?刪除程序】在【組策略編輯器】中，展開【用戶配置】|【管理模板】|【添加或刪除程序】項，啟用【刪除“添加/刪除程序〞】策略，用戶將無法運行【添加/刪除程序】。4.2.3組策略實例(shílì)2：用戶配置4.2組策略的根本配置(pèizhì)與實例第十七頁，共46頁。當用戶登錄計算機網(wǎng)絡，操作系統(tǒng)將會通過(tōngguò)“計算機配置〞和“用戶配置〞中的“管理模板〞策略配置用戶環(huán)境。常用的配置：限制使用應用程序：展開【系統(tǒng)】項，啟用【只運行許可的Windows應用程序】策略，添加允許運行的應用程序。隱藏在控制面板中指定的圖標：展開【控制面板】項，啟用【隱藏指定的控制面板程序】策略，添加相應的圖標。禁用【Ctrl+Alt+Del】組合鍵彈出的對話框中的選項：展開【系統(tǒng)】|【Ctrl+Alt+Del】項，啟用相應的策略，如【刪除“任務管理器〞】。刪除開始菜單中的【關機】圖標：展開【任務欄和「開始」菜單】項，啟用【刪除和阻止訪問“關機〞命令】策略。隱藏桌面上所有圖標：展開【桌面】項，啟用【隱藏和禁用桌面上所有的工程】策略。4.3使用(shǐyòng)組策略配置用戶環(huán)境第十八頁，共46頁。帳戶策略又包括密碼策略、帳戶鎖定策略和Kerberos策略。操作步驟：★對本地計算機的用戶，在【組策略編輯器】中，展開【計算機配置】|【W(wǎng)indows設置】|【平安設置】|【帳戶策略】|【密碼策略】項，雙擊【密碼必須符合復雜性要求】選項，選擇【已啟用】，單擊【確定】按鈕。還可設置：強制密碼歷史、密碼最長使用期限、密碼最短使用期限、密碼長度最小值。★對域控制器用戶，翻開【ActiveDirectory用戶和計算機】管理窗口，右擊域或組織單位，選擇【屬性】命令，在翻開的對話框中選擇【組策略】選項卡。選擇組策略對象(duìxiàng)，單擊【編輯】按鈕，翻開【組策略編輯器】界面，展開【計算機配置】|【W(wǎng)indows設置】|【平安設置】|【帳戶策略】|【密碼策略】項，選擇相應的密碼策略選項配置即可。4.3使用組策略配置(pèizhì)用戶環(huán)境第十九頁，共46頁。帳戶鎖定指在某些情況下〔如帳戶受到黑客攻擊〕，為保護帳戶平安而將此帳戶進行鎖定，使之在一定時間內(nèi)不能再次登錄，從而挫敗連續(xù)的猜解嘗試。配置方法：在【組策略】控制臺中，展開【計算機配置】|【W(wǎng)indows設置】|【平安設置】|【帳戶策略】|【帳戶鎖定策略】項，雙擊某帳戶鎖定策略，進行配置：帳戶鎖定閾值、帳戶鎖定時間、復位帳戶鎖定計數(shù)器。KerberosV5身份驗證協(xié)議是用于確認用戶或主機身份的身份驗證機制，是WindowsServer2003系統(tǒng)默認的身份驗證效勞。IPSec可以使用Kerberos協(xié)議進行身份驗證。Kerberos策略只用于域用戶帳戶，確定與Kerberos相關的設置，配置方法：在【組策略】控制臺中，展開【計算機配置】|【W(wǎng)indows設置】|【平安設置】|【帳戶策略】|【Kerberos策略】，選擇(xuǎnzé)相應的Kerberos策略選項配置即可。4.3使用組策略配置(pèizhì)用戶環(huán)境第二十頁，共46頁。為用戶指派權限的操作步驟：步驟〔1〕在【組策略(cèlüè)編輯器】控制臺中，展開【計算機配置】|【W(wǎng)indows設置】|【平安設置】|【本地策略(cèlüè)】|【用戶權限指派】項，這里列出了能為用戶指派的各項權限，4.3.3用戶權限(quánxiàn)指派4.3使用(shǐyòng)組策略配置用戶環(huán)境第二十一頁，共46頁。步驟〔2〕在右窗格中雙擊要指派(zhǐpài)的權限〔如【關閉系統(tǒng)】〕，翻開其屬性窗口，單擊【添加用戶或組】按鈕，翻開【選擇用戶或組】對話框，輸入用戶名〔如abc〕，連續(xù)單擊【確定】按鈕。

4.3.3用戶(yònghù)權限指派4.3使用組策略配置用戶(yònghù)環(huán)境第二十二頁，共46頁。下面列舉幾項用戶權限的功能：從網(wǎng)絡訪問此計算機：確定哪些用戶和組能夠通過網(wǎng)絡連接到該計算機。許多網(wǎng)絡協(xié)議〔如HTTP〕都要求該用戶權利。默認情況下為Everyone〔任何人〕平安組授予權限。建議刪除Everyone組。向域中添加工作站：允許用戶向指定的域中添加一臺計算機。有此權限的用戶可以(kěyǐ)向域中添加10個工作站。默認情況下AuthenticatedUsers〔經(jīng)過身份驗證的用戶〕有此權限。建議此權限只授予Administrators組。允許從本地登錄：允許用戶在計算機上開啟一個交互式的會話。用戶不具備該權限，但擁有“允許通過終端效勞登錄〞權限，他仍然能夠在計算機上開啟一個遠程的交互式會話。建議此權限只授予Administrators組。允許通過終端效勞登錄：允許用戶使用遠程桌面連接登錄到計算機上。建議此權限只授予Administrators組，但禁止Administrator帳戶有此權限，可以(kěyǐ)增加系統(tǒng)的平安性。裝載和卸載設備驅(qū)動程序：確定哪些用戶有權安裝和卸載設備驅(qū)動程序。默認情況下PrintOperators組有此權限。建議此權限只授予Administrators組。復原文件及目錄：允許用戶在恢復備份的文件或文件夾時，避開文件和目錄的許可權限，并且作為對象的所有者設置任何有效的平安主體。建議此權限只授予Administrators組。4.3.3用戶權限(quánxiàn)指派4.3使用(shǐyòng)組策略配置用戶環(huán)境第二十三頁，共46頁?？梢酝ㄟ^【平安選項】來啟用計算機的一些平安設置。操作步驟是：在【組策略編輯器】控制臺中，展開【計算機配置】|【W(wǎng)indows設置】|【平安設置】|【本地策略】|【平安選項】項，雙擊要設置的策略，選擇【已啟用】或【已禁用】項，單擊【確定】按鈕。下面列舉幾個比較常用的平安選項：【交互式登錄：不需要按CTRL+ALT+DEL】：在計算機機啟動時直接出現(xiàn)“登錄Windows〞對話框，不需要顯示“請按CTRL+ALT+DEL〞對話框?！窘换ナ降卿洠翰伙@示上次的用戶名】：在每次出現(xiàn)的“登錄Windows〞對話框中都不顯示上一次登錄者的用戶名稱?！窘换ナ降卿洠涸诿艽a(mìmǎ)到期前提示用戶更改密碼(mìmǎ)】：用來設置密碼(mìmǎ)到期前幾天提示用戶更改密碼(mìmǎ)?！娟P機：允許系統(tǒng)在未登錄前關機】：設置在“登錄Windows〞對話框中顯示【關機】按鈕，以便不需要登錄的情況下就可以將計算機關閉。4.3使用(shǐyòng)組策略配置用戶環(huán)境第二十四頁，共46頁。啟動/關機腳本是WindowsServer2003系統(tǒng)的一個新特點(tèdiǎn)，啟動腳本是用戶登錄之前運行的批文件，它的功能類似于早期Windows的Autoexec.bat文件，關機腳本是計算機關機之前運行的批文件。與用戶登錄/注銷腳本相比，它們之間的主要區(qū)別是啟動/關機腳本是計算機啟動和關機時運行的，腳本程序只運行一次，用戶登錄/注銷腳本在用戶登錄對話框出現(xiàn)后，用戶登錄系統(tǒng)或從系統(tǒng)注銷時運行，每次登錄/注銷時都運行一次。設置方法是：在【組策略】控制臺中，展開【計算機配置】〔或【用戶配置】〕|【W(wǎng)indows設置】|【腳本】項，雙擊【啟動】〔或【關機】、【登錄】、【注銷】〕策略，翻開相應的屬性窗口，單擊【添加】按鈕，輸入腳本名及參數(shù)，單擊【確定】按鈕，回到屬性窗口，單擊【確定】按鈕完成設置。4.3.5啟動/關機(ɡuānjī)、登錄/注銷腳本4.3使用組策略配置用戶(yònghù)環(huán)境第二十五頁，共46頁。實訓時間：4小時實訓目標：通過對效勞器進行本地平安策略(cèlüè)的配置，使學生掌握組策略(cèlüè)的概念，配置組策略(cèlüè)的方法，及使用組策略(cèlüè)配置用戶、配置計算機及配置軟件的具體實例操作。實訓內(nèi)容：操作1:根據(jù)以下要求對WindowsServer2003效勞器進行平安策略(cèlüè)配置：步驟〔1〕配置賬戶策略(cèlüè)密碼策略(cèlüè)：啟用密碼必須符合復雜性要求，密碼最短使用期限改成0天賬戶鎖定策略(cèlüè)：賬戶鎖定閾值5次，賬戶鎖定時間10分鐘步驟〔2〕配置本地策略(cèlüè)之審核策略(cèlüè)審核策略(cèlüè)更改成功失敗 審核登錄事件成功失敗審核對象訪問失敗 審核系統(tǒng)事件成功失敗審核賬戶登錄事件成功失敗審核賬戶管理成功失敗綜合實訓案例7：WindowsServer2003效勞器平安配置——本地(běndì)平安策略第二十六頁，共46頁。步驟〔3〕配置本地策略之用戶權限分配關閉系統(tǒng)：只有Administrators組、其它全部刪除。通過終端效勞拒絕登陸：參加(cānjiā)Guests、User組通過終端效勞允許登陸：只參加(cānjiā)Administrators組，其他全部刪除步驟〔4〕配置本地策略之平安選項交互式登錄：不顯示上次的用戶名啟用網(wǎng)絡訪問：不允許SAM帳戶和共享的匿名枚舉啟用網(wǎng)絡訪問：不允許為網(wǎng)絡身份驗證儲存憑證啟用網(wǎng)絡訪問：可匿名訪問的共享全部刪除網(wǎng)絡訪問：可匿名訪問的命全部刪除網(wǎng)絡訪問：可遠程訪問的注冊表路徑全部刪除網(wǎng)絡訪問：可遠程訪問的注冊表路徑和子路徑全部刪除不需要按CTRL+ALT+DEL 更改為“已啟用〞帳戶：重命名來賓帳戶重命名一個帳戶帳戶：重命名系統(tǒng)管理員帳戶重命名一個帳戶步驟〔5〕平安策略自動更新命令：GPUpdate/force(應用組策略自動生效不需重新啟動)綜合(zōnghé)實訓案例7第二十七頁，共46頁。操作2:部署軟件步驟〔1〕安裝活動目錄，域為hbtvc，將“WindowsServer2003管理工具包〞程序Adminpak.msi從安裝光盤復制到c:\windows\sysvol〔活動目錄默認共享文件夾〕。步驟〔2〕在【ActiveDirectory用戶和計算機】中，右擊hbtvc，選擇【屬性】命令，翻開【hbtvc屬性】對話框，切換(qiēhuàn)到【組策略】選項卡，新建組策略對象，命名為software。步驟〔3〕選擇software，單擊【編輯】按鈕，翻開【組策略編輯器】對話框，展開【軟件安裝】項，右擊【軟件安裝】，選擇【屬性】命令，翻開【軟件安裝屬性】對話框，在【默認程序包位置】文本框中輸入“\\計算機名\共享文件夾名〞，單擊【確定】按鈕。步驟〔4〕右擊【軟件安裝】，選擇【新建】|【程序包】命令，在【翻開】對話框中，選擇Adminpak.msi文件。運行GPUpdate/force更新命令平安策略。步驟〔5〕在工作站中使用【添加/刪除程序】窗口中的【添加新程序】按鈕，選擇【從網(wǎng)絡添加程序】下的WindowsServer2003管理工具包〔Adminpak.msi〕程序進行安裝。綜合(zōnghé)實訓案例7第二十八頁，共46頁。WindowsServer2003系統(tǒng)提供的【平安配置和分析】管理工具，它的主要作用是對本地系統(tǒng)的平安性進行分析和配置?！捌桨卜治雳暱梢愿鶕?jù)系統(tǒng)提供的不同級別的平安模板對當前系統(tǒng)的平安設置進行分析，從而找出系統(tǒng)平安的薄弱環(huán)節(jié)。“平安配置〞可以用于直接(zhíjiē)配置本地系統(tǒng)的平安性。利用個人數(shù)據(jù)庫，可以導入由“平安模板〞創(chuàng)立的平安模板，并將這些模板應用于本地計算機，這將立即使用模板中指定的級別配置系統(tǒng)平安性，從而輕松地掌控系統(tǒng)的平安。平安配置提供了可以應用的預配置的平安設置組，它是將除“Internet協(xié)議〞平安和公用密鑰策略之外的所有平安屬性組織在一起以便于平安管理。每個模板都是基于文本的.inf文件，這些文件位于系統(tǒng)根目錄的\Security\Templates。4.5平安(píngān)配置和分析4.5.1【平安配置(pèizhì)和分析】管理工具第二十九頁，共46頁。默認的平安模板按不同的平安級別(jíbié)分為兼容、平安或高級平安設置三類。4.5平安(píngān)配置和分析4.5.1【平安配置(pèizhì)和分析】管理工具兼容模板(compatws.inf)安全設置模板高級安全模板域控制器默認安全設置模板(securedc.inf)工作站默認安全設置模板(securews.inf)默認安全設置模板(Setupsecurity.inf)系統(tǒng)根目錄安全模板(Rootsec.inf)無終端服務器用戶SID模板(Notssid.inf)查看平安模板的操作步驟：在翻開mmc控制臺窗口中，添加管理單元【平安模板】，在此可以查看各種平安模板的配置。定義平安模板的操作步驟：在翻開的【平安模板】控制臺，右鍵單擊要存儲新模板的文件夾，單擊【新加模板】命令，在【模板名】中鍵入新建平安模板的名稱，在【描述】中鍵入新平安模板的說明，然后單擊【確定】按鈕。第三十頁，共46頁。使用【平安配置和分析(fēnxī)】工具配置本地計算機平安的方法有兩種：使用命令提示符〔secedit.exe〕和MMC控制臺〔見下例〕。具體操作步驟：4.5平安(píngān)配置和分析4.5.2使用(shǐyòng)平安配置和分析工具1.翻開【平安配置和分析】單擊【開始】|【運行】|輸入mmc，翻開mmc控制臺，單擊【文件】|【添加/刪除管理單元】，翻開【添加/刪除管理單元】對話框，單擊【添加】按鈕，選擇【平安配置和分析】，單擊【添加】按鈕，單擊【關閉】按鈕，單擊【確定】按鈕，完成【平安配置和分析】管理單元的添加。第三十一頁，共46頁。在控制臺窗口中，右擊【平安(píngān)配置和分析】管理單元，選擇【翻開數(shù)據(jù)庫】命令，彈出【翻開數(shù)據(jù)庫】對話框，如果是首次對系統(tǒng)進行平安(píngān)性分析，需要新建一個數(shù)據(jù)庫，在【文件名】文本框中為新建的數(shù)據(jù)庫輸入一個名稱，然后單擊【翻開】按鈕。4.5平安配置(pèizhì)和分析4.5.2使用平安配置和分析(fēnxī)工具第三十二頁，共46頁。

彈出【導入模板】框，選擇平安模板文件〔如Securews.inf〕，同時選擇【導入之前去除這個數(shù)據(jù)庫】選擇框，單擊【確定(quèdìng)】按鈕，完成模板導入。4.5平安(píngān)配置和分析4.5.2使用平安配置和分析(fēnxī)工具右擊【平安配置和分析】項，選擇【立即分析計算機】命令，彈出【進行分析】對話框，指定保存錯誤日志文件的路徑，單擊【確定】按鈕，開始系統(tǒng)平安機制的分析進程。平安分析結束后，展開【平安配置和分析】各項，在右格中，通過工程中顯示的可視化的圖標可以查看哪些平安設置與系統(tǒng)建議的平安級別是否匹配。第三十三頁，共46頁。右擊工程分析結果(jiēguǒ)中的不匹配策略，單擊【屬性】命令，修改此策略，修改完后進行重新分析直到滿意為止。右擊【平安配置和分析】項，選擇【立即配置計算機】命令，并在【配置系統(tǒng)】對話框中指定保存錯誤日志文件的路徑，單擊【確定】按鈕，開始系統(tǒng)平安機制的配置進程，完成配置。4.5平安配置(pèizhì)和分析4.5.2使用平安(píngān)配置和分析工具第三十四頁，共46頁。平安配置向?qū)А睸CW〕是WindowsServer2003SP1系統(tǒng)新增的一個平安配置工具。根據(jù)指定效勞器執(zhí)行的角色，SCW可以指導您完成平安策略(cèlüè)的創(chuàng)立。創(chuàng)立策略(cèlüè)之后，不但可以對其進行編輯，而且可以將其應用于一個或多個配置相似的效勞器，也可取消已應用的策略(cèlüè)。4.6平安配置(pèizhì)向?qū)?.6.1安裝與啟動【平安配置向?qū)А磕J情況下，WindowsServer2003操作并不安裝平安配置向?qū)?，用?yònghù)需要通過【添加/刪除Windows組件】來手工安裝平安配置向?qū)А０惭b步驟：翻開【控制面板】窗口，雙擊【添加或刪除程序】圖標，翻開【添加或刪除Windows組件】對話框，單擊【下一步】按鈕，翻開【W(wǎng)indows組件向?qū)А繉υ捒?，選中【平安配置向?qū)А窟x項，單擊【下一步】按鈕，就能輕松完成SCW組件的安裝。要啟動SCW：單擊【開始】|【程序】|【管理工具】|【平安配置向?qū)А棵睢；蛟凇具\行】對話框中輸入SCW命令。第三十五頁，共46頁。1.新建一個“平安策略〞新建一個“平安策略〞，平安策略信息被保存在.XML的文件中的，它的默認存儲位置是“c:\windows\security\msscw\policies〞?？梢愿鶕?jù)不同需要，創(chuàng)立多個“平安策略〞文件，每次應用一個。啟動【平安配置向?qū)А浚瑥棾觥練g送(huānsònɡ)使用平安配置向?qū)А繉υ捒?，單擊【下一步】按鈕，進入【配置操作】窗口，第一次使用SCW，要選擇【創(chuàng)立新的平安策略】單項選擇按鈕，單擊【下一步】按鈕，開始配置平安策略。4.6.2利用(lìyòng)【平安配置向?qū)А颗渲谩捌桨膊呗渊?.6平安配置(pèizhì)向?qū)У谌?，?6頁。

2.輕松配置“角色〞在【選擇效勞器】對話框中輸入要進行平安配置的WindowsServer2003效勞器的機器名或IP地址，單擊【下一步】按鈕，【平安配置向?qū)?xiàngdǎo)】會處理平安配置數(shù)據(jù)庫。單擊【下一步】按鈕，進入【基于角色的效勞配置】對話框。單擊【下一步】按鈕，進入【選擇效勞器角色】配置框，選擇效勞器角色，單擊【下一步】按鈕，進入【選擇客戶端功能】對話框，選擇你所需的客戶端功能來配置WindowsServer2003效勞器支持的“客戶端功能〞。4.6.2利用(lìyòng)【平安配置向?qū)А颗渲谩捌桨膊呗渊?.6平安配置(pèizhì)向?qū)У谌唔?，?6頁。單擊【下一步】按鈕，進入【選擇管理和其它選項】對話框，選擇需要的Windows2003系統(tǒng)提供的管理和效勞功能，單擊【下一步】按鈕，還要配置一些Windows2003系統(tǒng)的額外效勞，這些額外效勞一般都是第三方軟件(ruǎnjiàn)提供的效勞。進入到【處理未指定的效勞】對話框，選擇【不更改此效勞的啟用模式】單項選擇項，最后進入到【確認效勞更改】對話框，對你的配置進行最終確認后，就完成了基于角色的效勞配置。4.6.2利用【平安配置(pèizhì)向?qū)А颗渲?pèizhì)“平安策略〞4.6平安(píngān)配置向?qū)У谌隧?，?6頁。

單擊【下一步】，進入【網(wǎng)絡平安】框，單擊【下一步】按鈕，進入【翻開端口并允許應用程序】對話框，開放所需的端口〔要切記“最小化〞原那么〕，最后確認端口配置。4.注冊表設置單擊【下一步】，分別進入【要求SMB平安簽名】、【出站身份驗證方法】、【入站身份驗證方法】等設置窗口。通過嚴格的設置，就能最大限度保證WindowsServer2003效勞器的平安運行。5.啟用【審核策略】單擊【下一步】，翻開【系統(tǒng)審核策略】配置對話框，合理選擇審核目標。單擊【下一步】，彈出【Internet信息效勞】配置對話框，這樣IIS效勞器的平安性就大大增強。完成以上幾步配置后，進入到保存(bǎocún)平安策略對話框，單擊【下一步】，彈出【平安策略文件名】框，為你配置的平安策略起個名字，單擊【下一步】，彈出【應用平安策略】框，選擇【現(xiàn)在應用】選項，使配置的平安策略立即生效。4.6.2利用【平安配置(pèizhì)向?qū)А颗渲?pèizhì)“平安策略〞4.6平安(píngān)配置向?qū)У谌彭?，?6頁。啟用Windows防火墻的方法是：右擊【網(wǎng)上鄰居】，選擇(xuǎnzé)【屬性】命令，翻開【網(wǎng)絡連接】窗口，右擊要保護的本地連接，選擇(