Windows 網(wǎng)絡(luò)組策略實(shí)施方法.ppt

1、Windows 網(wǎng)絡(luò)組策略實(shí)施方法,1、網(wǎng)絡(luò)管理的需求 及網(wǎng)絡(luò)安全管理,網(wǎng)絡(luò)管理 網(wǎng)絡(luò)管理包括對(duì)硬件、軟件和人力的使用、綜合與協(xié)調(diào)，以便對(duì)網(wǎng)絡(luò)資源進(jìn)行監(jiān)視、測(cè)試、配置、分析、評(píng)價(jià)和控制，這樣就能以合理的價(jià)格滿(mǎn)足網(wǎng)絡(luò)的一些需求，如實(shí)時(shí)運(yùn)行性能、服務(wù)質(zhì)量等。網(wǎng)絡(luò)管理常簡(jiǎn)稱(chēng)為網(wǎng)管。 網(wǎng)絡(luò)安全管理 安全性一直是網(wǎng)絡(luò)的薄弱環(huán)節(jié)之一,而用戶(hù)對(duì)網(wǎng)絡(luò)安全的要求又相當(dāng)高,因此網(wǎng)絡(luò)安全管理非常重要。網(wǎng)絡(luò)中主要有以下幾大安全問(wèn)題: 網(wǎng)絡(luò)數(shù)據(jù)的私有性(保護(hù)網(wǎng)絡(luò)數(shù)據(jù)不被侵 入者非法獲取), 授權(quán)(authentication)(防止侵入者在網(wǎng)絡(luò)上發(fā)送錯(cuò)誤信息), 訪問(wèn)控制(控制訪問(wèn)控制(控制對(duì)網(wǎng)絡(luò)資源的訪問(wèn))。 相應(yīng)的

2、,網(wǎng)絡(luò)安全管理應(yīng)包括對(duì)授權(quán)機(jī)制、訪問(wèn)控制 、加密和加密關(guān)鍵字的管理,另外還要維護(hù)和檢查安全日志。包括: 網(wǎng)絡(luò)管理過(guò)程中，存儲(chǔ)和傳輸?shù)墓芾砗涂刂菩畔?duì)網(wǎng)絡(luò)的運(yùn)行和管理至關(guān)重要，一旦泄密、被篡改和偽造，將給網(wǎng)絡(luò)造成災(zāi)難性的破壞。網(wǎng)絡(luò)管理本身的安全由以下機(jī)制來(lái)保證： (1)管理員身份認(rèn)證，采用基于公開(kāi)密鑰的證書(shū)認(rèn)證機(jī)制；為提高系統(tǒng)效率，對(duì)于信任域內(nèi)(如局域網(wǎng))的用戶(hù)，可以使用簡(jiǎn)單口令認(rèn)證。,(2)管理信息存儲(chǔ)和傳輸?shù)募用芘c完整性，Web瀏覽器和網(wǎng)絡(luò)管理服務(wù)器之間采用安全套接字層(SSL)傳輸協(xié)議，對(duì)管理信息加密傳輸并保證其完整性；內(nèi)部存儲(chǔ)的機(jī)密信息，如登錄口令等，也是經(jīng)過(guò)加密的。 (3)網(wǎng)絡(luò)管理用戶(hù)

3、分組管理與訪問(wèn)控制，網(wǎng)絡(luò)管理系統(tǒng)的用戶(hù)(即管理員)按任務(wù)的不同分成若干用戶(hù)組，不同的用戶(hù)組中有不同的權(quán)限范圍，對(duì)用戶(hù)的操作由訪問(wèn)控制檢查，保證用戶(hù)不能越權(quán)使用網(wǎng)絡(luò)管理系統(tǒng)。 (4)系統(tǒng)日志分析，記錄用戶(hù)所有的操作，使系統(tǒng)的操作和對(duì)網(wǎng)絡(luò)對(duì)象的修改有據(jù)可查，同時(shí)也有助于故障的跟蹤與恢復(fù),2、組策略及作用,說(shuō)到組策略，就不得不提注冊(cè)表。注冊(cè)表是Windows系統(tǒng)中保存系統(tǒng)、應(yīng)用軟件配置的數(shù)據(jù)庫(kù)，隨著Windows功能的越來(lái)越豐富，注冊(cè)表里的配置項(xiàng)目也越來(lái)越多。很多配置都是 可以自定義設(shè)置的，但這些配置發(fā)布在注冊(cè)表的各個(gè)角落，如果是手工配置，可想是多么困難和煩雜。而組策略則將系統(tǒng)重要的配置功能匯集成各

4、種配置模塊，供管理人員直接使用，從而達(dá)到方便管理計(jì)算機(jī)的目的。 簡(jiǎn)單點(diǎn)說(shuō)，組策略就是修改注冊(cè)表中的配置，也是由系統(tǒng)管理員管理和維護(hù)的，系統(tǒng)管理員使用（MMC，Microsoft Manage Controller）工具來(lái)對(duì)用戶(hù)組和計(jì)算機(jī)組設(shè)置策略。 而組策略是系統(tǒng)管理員為計(jì)算機(jī)和用用戶(hù)定義的，用來(lái)控制應(yīng)用程序，系統(tǒng)設(shè)置和管理模板的一種機(jī)制。他是介于控制面板和組側(cè)表之間的一種修改系統(tǒng)，設(shè)置程序的工具。 當(dāng)然，組策略使用自己更完善的管理組織方法，可以對(duì)各種對(duì)象中的設(shè)置進(jìn)行管理和配置，遠(yuǎn)比手工修改注冊(cè)表方便、靈活，功能也更加強(qiáng)大。,3、組策略應(yīng)用的領(lǐng)域,一、活動(dòng)目錄結(jié)構(gòu) 二、配置安全策略 三、管理用

5、戶(hù)環(huán)境 四、文件夾重定向 五、桌面策略 六、系統(tǒng)性能策略 等其他策略,4部署“安全”的組策略,1、遠(yuǎn)程關(guān)機(jī) 2、解鎖組側(cè)表 3、關(guān)閉端口 4、交互式登錄“不顯示上次的用戶(hù)名” 5、域中添加工作站 6、阻止黑客攻擊 7、網(wǎng)絡(luò)訪問(wèn)權(quán)限設(shè)置 8、IP地址保護(hù) 9、啟用審核 10、防止匿名登錄,1、遠(yuǎn)程關(guān)機(jī),在Windows XP中，新增了一條命令行工具“shutdown”，其作用是“關(guān)閉或重新啟動(dòng)本地或遠(yuǎn)程計(jì)算機(jī)”。利用它，我們不但可以注銷(xiāo)用戶(hù)，關(guān)閉或重新啟動(dòng)計(jì)算機(jī)，還可以實(shí)現(xiàn)定時(shí)關(guān)機(jī)、遠(yuǎn)程關(guān)機(jī)。 該命令的語(yǔ)法格式如下：shutdown -i |-l|-s |-r |-a -f -m Compute

6、rName -t xx -c “message” 其中，各參數(shù)的含義為：-i 顯示圖形界面的對(duì)話框。-l 注銷(xiāo)當(dāng)前用戶(hù)，這是默認(rèn)設(shè)置。-m ComputerName優(yōu)先。-s 關(guān)閉計(jì)算機(jī)。-r 關(guān)閉之后重新啟動(dòng)。-a 中止關(guān)閉。除了-l 和ComputerName 外，系統(tǒng)將忽略其它參數(shù)。在超 時(shí)期間，您只可以使用-a。-f 強(qiáng)制運(yùn)行要關(guān)閉的應(yīng)用程序。-m ComputerName 指定要關(guān)閉的計(jì)算機(jī)。-t xx 將用于系統(tǒng)關(guān)閉的定時(shí)器設(shè)置為 xx 秒。默認(rèn)值是20秒。-c “message” 指定將在“系統(tǒng)關(guān)閉”窗口中的“消息”區(qū)域顯示的消息。最多可以使用 127 個(gè)字符。引號(hào)中必須包含消息

7、。 關(guān)閉本機(jī)實(shí)例： 在命令行輸入如下：,本機(jī)屏幕會(huì)顯示如下：,遠(yuǎn)程關(guān)機(jī)實(shí)例： 首先要在被關(guān)機(jī)的機(jī)子上如下設(shè)置： 打開(kāi)開(kāi)始選擇運(yùn)行輸入gpedit.msc 在組策略編輯器中，一次展開(kāi)“本地計(jì)算機(jī)”策略-計(jì)算機(jī)配置-windows 配置-安全配置-本地策略-用戶(hù)權(quán)利指派-從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī) 雙擊 在其屬性中添加“Guest”對(duì)象。,同樣的 在在組策略編輯器中，一次展開(kāi)“本地計(jì)算機(jī)”策略-計(jì)算機(jī)配置-windows 配置-安全配置-本地策略-用戶(hù)權(quán)利指派-關(guān)閉系統(tǒng) 雙擊 在其屬性中添加“Guest”對(duì)象。（接下去同上面的步驟） 最后在命令行輸入： 在遠(yuǎn)程機(jī)子桌面便會(huì)出現(xiàn)如下方框：,2、解鎖注冊(cè)表,操

8、作過(guò)程 由用戶(hù)配置（雙擊）選擇 管理模板（雙擊）選擇 防止訪問(wèn)注冊(cè)表編輯工具（雙擊）點(diǎn)擊 已禁用 按 確定,注冊(cè)表編輯器在運(yùn)行 對(duì)話框 輸入 regedit在注冊(cè)表中將IE主頁(yè)地址修改成默認(rèn)即可,3、關(guān)閉端口,黑客子在攻擊服務(wù)器時(shí)，都需要先于服務(wù)器建立網(wǎng)絡(luò)連接，然后才能通過(guò)135網(wǎng)絡(luò)端口對(duì)服務(wù)器進(jìn)行破壞，因此，我們只要能“拒絕”其他客戶(hù)端通過(guò)網(wǎng)絡(luò)來(lái)訪問(wèn)服務(wù)器，就能達(dá)到間接關(guān)閉135網(wǎng)絡(luò)端口的目的，從而確保服務(wù)器不受遠(yuǎn)程攻擊力。 操作過(guò)程 1，在“組策略編輯器”中，依次打開(kāi)“本地計(jì)算機(jī)策略” “計(jì)算機(jī)配置” “windows 設(shè)置” “安全設(shè)置” “本地設(shè)置” “用戶(hù)權(quán)限分配” 。如圖,2，雙擊

9、右側(cè)欄中的“拒絕從網(wǎng)絡(luò)訪問(wèn)這臺(tái)計(jì)算機(jī)”策略，顯示“拒絕從網(wǎng)絡(luò)訪問(wèn)這臺(tái)計(jì)算機(jī) 屬性”對(duì)話框，如圖,3，單擊”添加用戶(hù)或組”，顯示“選擇用戶(hù)或組”對(duì)話框，選擇“Everyone”賬號(hào)后點(diǎn)確定，如圖,4、交換登陸“不顯示上次的用戶(hù)名”,使用組策略功能不顯示上次登錄的用戶(hù)名。 在局域網(wǎng)中，用戶(hù)按住“CTRL+ALT+DEL”登錄，會(huì)顯示上次登錄的用戶(hù)名。為了企業(yè)安全和用戶(hù)身份的保密，使用組策略完成此安全設(shè)置。 操作步驟 1、在“組策略編輯器”中，依次的打開(kāi)“本地計(jì)算機(jī)策略” “用戶(hù)配置” “Windows設(shè)置” “安全設(shè)置” “本地策略” “安全選項(xiàng)”。如圖,2、選擇 “交互式登錄：不顯示上次的用戶(hù)名

10、” （雙擊）選中 “已啟用”單選按鈕按 “確定”，設(shè)置完成。,5、域中添加工作站,通過(guò)給用戶(hù)“域中添加工作站”的權(quán)限，可以讓用戶(hù)在一個(gè)域中添加最多10臺(tái)計(jì)算機(jī)。 操作步驟 1、在“組策略編輯器”左欄中依次打開(kāi)“本地計(jì)算機(jī)策略” “計(jì)算機(jī)配置” “windows配置” “安全設(shè)置” “本地策略” “用戶(hù)權(quán)利指派”如圖,2、雙擊右側(cè)欄中的“域中添加工作站”策略，顯示“域中添加工作站 屬性”對(duì)話框，選中“定義這些策略設(shè)置” “添加用戶(hù)或組” “瀏覽” “選擇用戶(hù)或組”,選擇“添加域中工作站”點(diǎn)擊確定即可,組策略的打開(kāi) 打開(kāi)開(kāi)始選擇運(yùn)行輸入gpedit.msc,6、阻止黑客攻擊,現(xiàn)在智能化的網(wǎng)絡(luò)安全漏

11、洞掃描越來(lái)越多了。 在黑客入侵的時(shí)候經(jīng)常要在對(duì)方的機(jī)器上執(zhí)行一些Windows本身的程序，如：net.exe、cmd.exe和at.exe等，如果能禁止這些程序的運(yùn)行，那么就可以有效的防止黑客的入侵。 1、使用組策略禁止程序的運(yùn)行 在“組策略編輯器”依次打開(kāi)“本地計(jì)算機(jī)策略”“用戶(hù)配置”“管理模板”“系統(tǒng)”，如圖：,雙擊“不要運(yùn)行指定的Windows應(yīng)用程序”，顯示其屬性，在選擇“已啟用”，然后點(diǎn)擊“顯示”，如圖：,在彈出的對(duì)話框中單擊“添加” 最后在顯示的“添加項(xiàng)目”對(duì)話框，在“輸入要添加的項(xiàng)目”文本框中輸需要禁止運(yùn)行的程序名，單擊“確定”就可以了，此后，這些指定的應(yīng)用程序?qū)⒉荒苓\(yùn)行。,7、

12、網(wǎng)絡(luò)權(quán)限訪問(wèn)設(shè)置,服務(wù)器中包含許多用戶(hù)，但為了保護(hù)服務(wù)器的安全，希望這些用戶(hù)對(duì)服務(wù)器的訪問(wèn)控制權(quán)限各不相同，以便如后服務(wù)器遇到意外時(shí)，能根據(jù)權(quán)限高低的不同，就能快速的找到“從中作亂”的用戶(hù)。要想對(duì)不同的用戶(hù)，分配不同的訪問(wèn)權(quán)制權(quán)限，使用服務(wù)器組策略就可以輕松完成。 操作步驟： 1、在“組策略編輯器”左欄中依次打開(kāi)“本地計(jì)算機(jī)策略” “計(jì)算機(jī)配置” “windows配置” “安全設(shè)置” “本地策略” “用戶(hù)權(quán)利指派”如圖,在對(duì)應(yīng)“用戶(hù)權(quán)利指派”項(xiàng)目的右側(cè)窗口區(qū)域中，雙擊右側(cè)欄中的“拒絕本地登錄”策略，顯示“拒絕本地登錄 屬性”對(duì)話框,單擊“添加用戶(hù)或組”按鈕，在“選擇用戶(hù)或組”對(duì)話框中選擇所要設(shè)

13、置的用戶(hù)，再單擊“確定”按鈕,8、IP地址保護(hù),在局域網(wǎng)中常常會(huì)出現(xiàn)工作站IP地址被隨意修改，造成IP沖突現(xiàn)象的發(fā)生，從而影響局域網(wǎng)的運(yùn)行效率。目前有許多方法可以避免地址發(fā)生沖突，最簡(jiǎn)單的辦法就是借助組策略功能，可以很輕松的限制局域網(wǎng)工作站的網(wǎng)絡(luò)配置參數(shù)被隨意修改，從而有效避免網(wǎng)絡(luò)中的IP地址發(fā)生沖突。 第一步，在“組策略編輯器”中依次展開(kāi)“本地計(jì)算機(jī)策略”“用戶(hù)配置”“管理模板”“網(wǎng)絡(luò)”“網(wǎng)絡(luò)連接”，如圖：,第二步，雙擊“禁用TCP/IP高級(jí)配置”策略，顯示其屬性，點(diǎn)擊“已啟用”如圖： 組策略生效后，任何一個(gè)工作站用戶(hù)日后打開(kāi)TCP/IP屬性設(shè)置窗口時(shí)，將會(huì)發(fā)現(xiàn)無(wú)法進(jìn)入“高級(jí)”設(shè)置窗口，修改

14、工作站的IP地址或其他網(wǎng)絡(luò)參數(shù)，這樣就達(dá)到不允許用戶(hù)修改自己電腦的IP設(shè)置目的。,9、啟用審核,為追蹤服務(wù)器惡意攻擊事件，啟用安全審核策略，保護(hù)好服務(wù)器的安全。 第一步，在“組策略編輯器”中依次展開(kāi)“本地計(jì)算機(jī)策略”“計(jì)算機(jī)配置”“Windows配置”“安全設(shè)置”“本地策略”“審核策略”，如圖：,第二步，以“審核策略更改”為例。雙擊“審核更改策略”，顯示其屬性。如果選中“成功”復(fù)選框，服務(wù)器日后將會(huì)對(duì)所有事件的成功操作進(jìn)行審核；如果選中“失敗”復(fù)選框，服務(wù)器日后將會(huì)對(duì)所有事件的失敗操作進(jìn)行審核，如圖：,10、防止匿名登錄,攻擊者會(huì)利用Windows計(jì)算機(jī)中的匿名登錄訪問(wèn)到關(guān)系安全的信息。利用組策略對(duì)象，可以保護(hù)的Windows計(jì)算機(jī)，限制匿名登錄。 1.保護(hù)的范圍： 在計(jì)算機(jī)里的用戶(hù)列表，包括活動(dòng)目錄； 在計(jì)算機(jī)里的組列表，包括活動(dòng)目錄； 用戶(hù)賬號(hào)的安全標(biāo)示（SIDS）； 安全