Windows 網絡組策略實施方法.ppt

1、Windows 網絡組策略實施方法,1、網絡管理的需求 及網絡安全管理,網絡管理 網絡管理包括對硬件、軟件和人力的使用、綜合與協(xié)調，以便對網絡資源進行監(jiān)視、測試、配置、分析、評價和控制，這樣就能以合理的價格滿足網絡的一些需求，如實時運行性能、服務質量等。網絡管理常簡稱為網管。 網絡安全管理 安全性一直是網絡的薄弱環(huán)節(jié)之一,而用戶對網絡安全的要求又相當高,因此網絡安全管理非常重要。網絡中主要有以下幾大安全問題: 網絡數據的私有性(保護網絡數據不被侵 入者非法獲取), 授權(authentication)(防止侵入者在網絡上發(fā)送錯誤信息), 訪問控制(控制訪問控制(控制對網絡資源的訪問)。 相應的

2、,網絡安全管理應包括對授權機制、訪問控制 、加密和加密關鍵字的管理,另外還要維護和檢查安全日志。包括: 網絡管理過程中，存儲和傳輸的管理和控制信息對網絡的運行和管理至關重要，一旦泄密、被篡改和偽造，將給網絡造成災難性的破壞。網絡管理本身的安全由以下機制來保證： (1)管理員身份認證，采用基于公開密鑰的證書認證機制；為提高系統(tǒng)效率，對于信任域內(如局域網)的用戶，可以使用簡單口令認證。,(2)管理信息存儲和傳輸的加密與完整性，Web瀏覽器和網絡管理服務器之間采用安全套接字層(SSL)傳輸協(xié)議，對管理信息加密傳輸并保證其完整性；內部存儲的機密信息，如登錄口令等，也是經過加密的。 (3)網絡管理用戶

3、分組管理與訪問控制，網絡管理系統(tǒng)的用戶(即管理員)按任務的不同分成若干用戶組，不同的用戶組中有不同的權限范圍，對用戶的操作由訪問控制檢查，保證用戶不能越權使用網絡管理系統(tǒng)。 (4)系統(tǒng)日志分析，記錄用戶所有的操作，使系統(tǒng)的操作和對網絡對象的修改有據可查，同時也有助于故障的跟蹤與恢復,2、組策略及作用,說到組策略，就不得不提注冊表。注冊表是Windows系統(tǒng)中保存系統(tǒng)、應用軟件配置的數據庫，隨著Windows功能的越來越豐富，注冊表里的配置項目也越來越多。很多配置都是 可以自定義設置的，但這些配置發(fā)布在注冊表的各個角落，如果是手工配置，可想是多么困難和煩雜。而組策略則將系統(tǒng)重要的配置功能匯集成各

4、種配置模塊，供管理人員直接使用，從而達到方便管理計算機的目的。 簡單點說，組策略就是修改注冊表中的配置，也是由系統(tǒng)管理員管理和維護的，系統(tǒng)管理員使用（MMC，Microsoft Manage Controller）工具來對用戶組和計算機組設置策略。 而組策略是系統(tǒng)管理員為計算機和用用戶定義的，用來控制應用程序，系統(tǒng)設置和管理模板的一種機制。他是介于控制面板和組側表之間的一種修改系統(tǒng)，設置程序的工具。 當然，組策略使用自己更完善的管理組織方法，可以對各種對象中的設置進行管理和配置，遠比手工修改注冊表方便、靈活，功能也更加強大。,3、組策略應用的領域,一、活動目錄結構 二、配置安全策略 三、管理用

5、戶環(huán)境 四、文件夾重定向 五、桌面策略 六、系統(tǒng)性能策略 等其他策略,4部署“安全”的組策略,1、遠程關機 2、解鎖組側表 3、關閉端口 4、交互式登錄“不顯示上次的用戶名” 5、域中添加工作站 6、阻止黑客攻擊 7、網絡訪問權限設置 8、IP地址保護 9、啟用審核 10、防止匿名登錄,1、遠程關機,在Windows XP中，新增了一條命令行工具“shutdown”，其作用是“關閉或重新啟動本地或遠程計算機”。利用它，我們不但可以注銷用戶，關閉或重新啟動計算機，還可以實現(xiàn)定時關機、遠程關機。 該命令的語法格式如下：shutdown -i |-l|-s |-r |-a -f -m Compute

6、rName -t xx -c “message” 其中，各參數的含義為：-i 顯示圖形界面的對話框。-l 注銷當前用戶，這是默認設置。-m ComputerName優(yōu)先。-s 關閉計算機。-r 關閉之后重新啟動。-a 中止關閉。除了-l 和ComputerName 外，系統(tǒng)將忽略其它參數。在超 時期間，您只可以使用-a。-f 強制運行要關閉的應用程序。-m ComputerName 指定要關閉的計算機。-t xx 將用于系統(tǒng)關閉的定時器設置為 xx 秒。默認值是20秒。-c “message” 指定將在“系統(tǒng)關閉”窗口中的“消息”區(qū)域顯示的消息。最多可以使用 127 個字符。引號中必須包含消息

7、。 關閉本機實例： 在命令行輸入如下：,本機屏幕會顯示如下：,遠程關機實例： 首先要在被關機的機子上如下設置： 打開開始選擇運行輸入gpedit.msc 在組策略編輯器中，一次展開“本地計算機”策略-計算機配置-windows 配置-安全配置-本地策略-用戶權利指派-從遠端系統(tǒng)強制關機 雙擊 在其屬性中添加“Guest”對象。,同樣的 在在組策略編輯器中，一次展開“本地計算機”策略-計算機配置-windows 配置-安全配置-本地策略-用戶權利指派-關閉系統(tǒng) 雙擊 在其屬性中添加“Guest”對象。（接下去同上面的步驟） 最后在命令行輸入： 在遠程機子桌面便會出現(xiàn)如下方框：,2、解鎖注冊表,操

8、作過程 由用戶配置（雙擊）選擇 管理模板（雙擊）選擇 防止訪問注冊表編輯工具（雙擊）點擊 已禁用 按 確定,注冊表編輯器在運行 對話框 輸入 regedit在注冊表中將IE主頁地址修改成默認即可,3、關閉端口,黑客子在攻擊服務器時，都需要先于服務器建立網絡連接，然后才能通過135網絡端口對服務器進行破壞，因此，我們只要能“拒絕”其他客戶端通過網絡來訪問服務器，就能達到間接關閉135網絡端口的目的，從而確保服務器不受遠程攻擊力。 操作過程 1，在“組策略編輯器”中，依次打開“本地計算機策略” “計算機配置” “windows 設置” “安全設置” “本地設置” “用戶權限分配” 。如圖,2，雙擊

9、右側欄中的“拒絕從網絡訪問這臺計算機”策略，顯示“拒絕從網絡訪問這臺計算機 屬性”對話框，如圖,3，單擊”添加用戶或組”，顯示“選擇用戶或組”對話框，選擇“Everyone”賬號后點確定，如圖,4、交換登陸“不顯示上次的用戶名”,使用組策略功能不顯示上次登錄的用戶名。 在局域網中，用戶按住“CTRL+ALT+DEL”登錄，會顯示上次登錄的用戶名。為了企業(yè)安全和用戶身份的保密，使用組策略完成此安全設置。 操作步驟 1、在“組策略編輯器”中，依次的打開“本地計算機策略” “用戶配置” “Windows設置” “安全設置” “本地策略” “安全選項”。如圖,2、選擇 “交互式登錄：不顯示上次的用戶名

10、” （雙擊）選中 “已啟用”單選按鈕按 “確定”，設置完成。,5、域中添加工作站,通過給用戶“域中添加工作站”的權限，可以讓用戶在一個域中添加最多10臺計算機。 操作步驟 1、在“組策略編輯器”左欄中依次打開“本地計算機策略” “計算機配置” “windows配置” “安全設置” “本地策略” “用戶權利指派”如圖,2、雙擊右側欄中的“域中添加工作站”策略，顯示“域中添加工作站 屬性”對話框，選中“定義這些策略設置” “添加用戶或組” “瀏覽” “選擇用戶或組”,選擇“添加域中工作站”點擊確定即可,組策略的打開 打開開始選擇運行輸入gpedit.msc,6、阻止黑客攻擊,現(xiàn)在智能化的網絡安全漏

11、洞掃描越來越多了。 在黑客入侵的時候經常要在對方的機器上執(zhí)行一些Windows本身的程序，如：net.exe、cmd.exe和at.exe等，如果能禁止這些程序的運行，那么就可以有效的防止黑客的入侵。 1、使用組策略禁止程序的運行 在“組策略編輯器”依次打開“本地計算機策略”“用戶配置”“管理模板”“系統(tǒng)”，如圖：,雙擊“不要運行指定的Windows應用程序”，顯示其屬性，在選擇“已啟用”，然后點擊“顯示”，如圖：,在彈出的對話框中單擊“添加” 最后在顯示的“添加項目”對話框，在“輸入要添加的項目”文本框中輸需要禁止運行的程序名，單擊“確定”就可以了，此后，這些指定的應用程序將不能運行。,7、

12、網絡權限訪問設置,服務器中包含許多用戶，但為了保護服務器的安全，希望這些用戶對服務器的訪問控制權限各不相同，以便如后服務器遇到意外時，能根據權限高低的不同，就能快速的找到“從中作亂”的用戶。要想對不同的用戶，分配不同的訪問權制權限，使用服務器組策略就可以輕松完成。 操作步驟： 1、在“組策略編輯器”左欄中依次打開“本地計算機策略” “計算機配置” “windows配置” “安全設置” “本地策略” “用戶權利指派”如圖,在對應“用戶權利指派”項目的右側窗口區(qū)域中，雙擊右側欄中的“拒絕本地登錄”策略，顯示“拒絕本地登錄 屬性”對話框,單擊“添加用戶或組”按鈕，在“選擇用戶或組”對話框中選擇所要設

13、置的用戶，再單擊“確定”按鈕,8、IP地址保護,在局域網中常常會出現(xiàn)工作站IP地址被隨意修改，造成IP沖突現(xiàn)象的發(fā)生，從而影響局域網的運行效率。目前有許多方法可以避免地址發(fā)生沖突，最簡單的辦法就是借助組策略功能，可以很輕松的限制局域網工作站的網絡配置參數被隨意修改，從而有效避免網絡中的IP地址發(fā)生沖突。 第一步，在“組策略編輯器”中依次展開“本地計算機策略”“用戶配置”“管理模板”“網絡”“網絡連接”，如圖：,第二步，雙擊“禁用TCP/IP高級配置”策略，顯示其屬性，點擊“已啟用”如圖： 組策略生效后，任何一個工作站用戶日后打開TCP/IP屬性設置窗口時，將會發(fā)現(xiàn)無法進入“高級”設置窗口，修改

14、工作站的IP地址或其他網絡參數，這樣就達到不允許用戶修改自己電腦的IP設置目的。,9、啟用審核,為追蹤服務器惡意攻擊事件，啟用安全審核策略，保護好服務器的安全。 第一步，在“組策略編輯器”中依次展開“本地計算機策略”“計算機配置”“Windows配置”“安全設置”“本地策略”“審核策略”，如圖：,第二步，以“審核策略更改”為例。雙擊“審核更改策略”，顯示其屬性。如果選中“成功”復選框，服務器日后將會對所有事件的成功操作進行審核；如果選中“失敗”復選框，服務器日后將會對所有事件的失敗操作進行審核，如圖：,10、防止匿名登錄,攻擊者會利用Windows計算機中的匿名登錄訪問到關系安全的信息。利用組策略對象，可以保護的Windows計算機，限制匿名登錄。 1.保護的范圍： 在計算機里的用戶列表，包括活動目錄； 在計算機里的組列表，包括活動目錄； 用戶賬號的安全標示（SIDS）； 安全