使用windows组策略对计算机进行安全配置

1、综合性实验项目名称：使用windows组策略对计算机进行安全配置、实验目的及要求:1 .组策略是管理员为用户和计算机定义并控制程序，网络资源及操作系统行为的主要工具通过使用组策略可以设置各种软件，计算机和用户策略。2 .我们通过实验，学会使用组策略对计算机进行安全配置。、实验基本原理:组策略是管理员为用户和计算机定义并控制程序，网络资源及操作系统行为的主要工具通过使用组策略可以设置各种软件，计算机和用户策略。三、主要仪器设备及实验耗材：PC机一台，Windows2000系统，具有管理员权限账户登录四、注意事项必须以管理员或管理员组成员的身份登录win2000系统计算机配置中设置的组策略级别要高

2、于用户配置中的级别策略五、实验内容与步骤1 .在“开始”菜单中，单击“运行”命令项，输入gpedit.msc并确定，即可运行程序。依次进行以下实验：隐藏驱动器平时我们隐藏文件夹后，别人只需在文件夹选项里显示所有文件，就可以看见了，我们可以在组策略里删除这个选项。1.使用策略前，查看“我的电脑”的驱动器，如图6-1所示昌m®m软盘一飙，本地磁盘（C：）光盘（口:）控制面板niHinmamriAiBiviEir,图6-1使用策略前，我的电脑，如图6-2所示。2 .选择“用户配置一管理模板一windows组件一windows资源管理器”臊作®查看出囱的囹隔省树|卜菖机"

3、策略期配置PKS软件设置Windaws设置莒理模板Windows姐件r+1LJNetMeeting由_InternetExplorer由二3Windows资源管理器国LjMkrosoFtManagementConsole1二任务计划程序二IWindows安装服务:口WindowsUpdate_J任务栏和开始菜单1桌面一|控制面板6*耳立1于通正雅妻i奉聿罪名卡-I二九M 策略|说明争 隐藏.我的电胞”中的这些指定的驱动器r未配置©商启用®禁用0选择下列组合中的一个正艮制所有驱动器图6-23.使用策略后，查看“我的电脑”的驱动器，如图6-3所示图6-3使用策略后,我的电脑隐藏

4、驱动器(2) .禁止来宾账户本机登录使用电脑时，我们有时要离开座位一段时间，如果有很多正在打开的文档还没有处理完成或者正在使用隐私内容时，为了避免有人动用电脑，我们一般会把电脑锁定。但是在局域网中，为了方便网络登录，我们有时候会建立一些来宾账户，如果对方利用这些账户来注销当前账户并登录到别的账户，就会给正常工作带来影响。我们可以通过“组策略”来禁止一些账户在本机上的登录，让对方只能通过网络登录。在“组策略”窗口中依次才T开“计算机配置一>windows设置一>安全设置一>本地策略一>用户权限分配”，然后双击右侧窗格的”拒绝本地登录”项，在弹出的窗口中添加要禁止的用户或组

5、即可实现，如图6-4所示图6-4选择用户和组采取拒绝本地登录策略，如图6-5所示图6-5拒绝本地登录(3) .开启审核策略在“计算机配置一windows设置一安全设置一本地策略一审核策略”上，我们可以看到它可以审核策略更改，登录事件，对象访问，过程追踪，目录服务访问，特权使用等，这些审核可以记录下你某年某月某日某时某分某秒做过了什么操作：几时登录，关闭系统或更改过哪些策略等等，如图6-6所示图6-6审核策略我们应该养成经常在“控制面板一管理工具一事件查看器”里查看事件的好习惯。比如，当你修改过“组策略”后，系统就发生了问题，此时“事件查看器“就会及时告诉你修改了哪些策略，在“登录事件”里，你可

6、以查看到详细的登录事件，知道有人就尝试使用禁用的账户登录，谁的账户密码已过期而要启用哪些审核，只要双击相应的项目，选中“成功”和“失败”两个选项即可.禁止彳改IE浏览器主页如果你不希望他人或网络上的一些恶意代码对自己设定的IE浏览器主页进行随意的更改，我们可以选择“用户配置一管理模板一windows组件一internetexplorer禁用更改主页设置”，如图6-7所示禁用更改主页设置层性第咯I说明I国禁用更改主页设置r未配置©G追用也Wc禁用但上一策略出I下一策略值I确定I取消I应用®I图6-7禁止更改主页设置禁止更改主页设置后，查看Internet属性，如图6-8所示图

7、6-8所示Internet属性1 .还提供了“更改历史记录设置，更改颜色设置，更改internet临时文件设置”等项目的禁用功能。如果启用了这个策略，在IE浏览器的“Internet选项”对话框，在“常规”选项卡的“主页”区域的设置将变灰禁止更改历史记录设置，如图6-9所示禁用更改历史记录设置屋性a凶第咯I说明I国禁用更改历史记录设置未配置。Gi菖由“市下c禁用如上一策略U)I下一策略I璃定I取消I应用应图6-9更改历史记录设置禁止更改颜色设置，如图6-10所示图6-10更改颜色设置禁止更改internet临时文件设置，如图6-11所示图6-11更改internet临时文件设置2 .如果设置了

8、“用户配置一管理模板一windows组件一InternetexplorerInternet控制面板一禁用常规页”，则“常规”选项被删除禁用常规页，如图6-12所示禁用富视页展性策略|说明|用禁用常挑页未配置©宦用螫c禁用如上彳策咯(£)I下一策略国)I确定|取消|应用国|图6-12常规页设置3.逐级展开“用户设置一管理模板一windows组件一Internetexplorer",包括了"Internet控制面板，脱机页，浏览器菜单，工具栏，持续行为，管理员认可”等策略选项。利用它可以打造一个极有个性和安全的IE,如图6-13所示inlX I二软件设置*3

9、口 Windows 设置管理模板Q用尸配置，软件设置: Windows 置_|管理模板三_J Widows组件0 口 PJetMsetrig _J Internet Explorer_I intemet控制面4 口脱机页 二I浏览器菜单 ，工具栏_|持建行为口管理员认可的控_ 田U Window资源管理器 司 口 Microsoft ManagemeniI任事计划程序口 Window安装服务 _Windows Update -I操作®查看9W囱瓯/虚策略/设置士internet控制面板!«iiiMAiikmuiii.buiiMaiiiiiiiiiKMailuiMauwiii

10、iiiHibuiiiii口脱机页口浏览器菜单口工具栏捋续行为管理员方的控件他对拨号连接使用*自动检ur未被配：号搜索:禁用在浏览器中通过按F3查找文件未被麻梗案:禁用自定义攫素未枝配1国显示有关代理脚本下载失畋的出错信息未被配:静标识管理器:禁止用户使用标识未裾比却禁止自动完成功能保存密码耒猴配1峰禁用InternetExplorer的外部商标未被配：稼I禁用Internet连接向导未湖优母禁用唾置Web设置呦能耒横配命禁用导入和导出收薇夹未被配：国禁用更改Internet临时文件设置已启用国禁用更改主页设置已后庠第禁用更改代理服务器设置未被配：禁用更改分级设置未被配归图6-13IE管理设置(5).禁用IE组件自动安装计算机配置一管理模板一windows组件一Internetexplorer禁用Internetexplorer组件的自动安装一启用，将会禁止Internetexplorer自动安装组件。这样可以防止Internetexplorer在用户访问到需要某个组件的网站时