第三章 组策略安全设置.ppt

1、第三章 组策略的安全设置 Windows 2000XPServer 2003Vista自带“本地安全策略”，是一个不错的系统安全管理工具，通过对账户、密码、安全选项的合理设置，可以提供系统的高安全性。下面以Windows xp为例介绍最主要的安全设置。,一、密码安全策略 密码是系统安全的一大隐患，通过组策略可以设置更安全的系统密码。 第1步，单击菜单“开始”“运行”，在弹出的窗口中输入 “gpedit.msc”命令，打开“组策略”窗口。 第2步，展开“计算机配置”“Windows设置”“安全设置”“账户策略”“密码策略”，在窗口右侧会出现一系列的密码设置项，经过这里的配置，可以建立一个完备的密

2、码策略，使密码得到最大限度地保护。,1、 强制密码历史。 该设置项决定了保存用户曾经用过的密码个数。经常更换密码可以提高密码的安全性，但由于个人习惯，常常换来换去就是有限的几个密码。配置该策略就可以让系统记住用户曾经使用过的密码，如果更换的新密码与系统“记忆”中的重复，系统就会给出提示。默认情况下，这个策略不保存用户的密码，可以根据自己的习惯进行设置，建议保存5个以上(最多可以保存24个)。 2、密码最长存留期。 这个策略决定了一个密码可以使用多久，之后就会过期，密码过期时系统会要求用户更换密码。如果设置为“0”，则密码永不过期。一般情况下可设置为3060天，最长可以设置999天。,3、密码最

3、短存留期 这个策略决定了一个密码要在使用多久之后才能被修改。设置为“0“表示一个密码可以被无限制地重复使用，最大值为“999”。这个策略与“强制密码历史”结合起来，可以得知新的密码是否是以前使用过的，如果是，则不能继续使用这个密码。如果“密码最短存留期”为“0”天，即密码永不过期，这时设置“强制密码历史”则无效。要使“强制密码历史”有效，应该将“密码最短存留期”的值设为大于“0”。 4、密码长度最小值 这个策略决定了一个密码的长度，有效值在“0”到“14”之间。如果设置为“0”，则表示不需要密码，为系统的默认值。从安全角度来考虑，建议密码长度不小于6位。,5、密码必须符合复杂性要求 如果启用了

4、这个策略，则在设置和更改一个密码时，系统将会按照下面的规则检查密码是否有效： 密码不能包含全部或者部分的用户名。 最少包括6个字符。 密码必须包含以下四个类别中的三个类别：大写英文字母Az、小写英文字母az、数字09、特殊字符，例如“!”，“$”等。 启用该策略，设置的密码会比较安全，因为系统会强制用户使用这种安全性高的密码。如果在创建或修改密码时没有达到这个要求，系统会给出提示并要求重新输入符合要求的安全密码。,二、用户权限指派 在“组策略”窗口中展开“计算机配置”“Windows设置”“安全设置”“本地策略”“用户权利指派”，在窗口右边便能看到“用户权利指派”下的所有设置。 例如，拒绝某个

5、用户从网络访问这台计算机，则双击“拒绝从网络访问这台计算机”设置项，在弹出对话框中选中该用户，如“guest”，然后单击“删除”按钮进行删除即可。此外，在这里还可给用户添加许多权限，例如给“guest”添加远程关机权限、给一般用户添加更改系统时间的权限等。,三、重命名和禁用默认的账户 安装好Windows后，系统会自动建立两个账户：“Administrator”和“Guest”，其中“Administrator”拥有最高权限，“Guest”则只有基本的权限，且默认是禁用的。这样的账户设置虽然方便，但却严重危害到了系统的安全。如果黑客入侵或者遭遇其他恶意破坏，系统的超级用户名会立刻暴露出来，破坏

6、者会马上有针对性地寻找密码。 为系统安全起见，可以更改“Administrator”账户名称，然后建立一个几乎没有任何权限的假“Administrator”账户。具体的方法如下。 在“组策略”窗口中展开“计算机配置”“Windows设置”“安全设置”“本地策略”“安全选项”，在窗口右边双击“账户：重命名系统管理员账户”策略，在弹出的窗口中为“Administrator”重新设置一个平淡的用户名。然后新建一个名称为“Administrator”的受限制用户，以迷惑入侵者。,四、禁止访问注朋表编辑工具 该策略将禁用“Regeditexe”，以禁用Windows注册表编辑器。这样可以在很大程度上防止

7、网页上的恶意代码篡改IE。 在“组策略”窗口中，展开“用户配置”“管理模板”“系统”，双击“阻止访问注册表编辑工具”，在弹出的窗口中选中“已启用”单选项，单击“确定“按钮即可。,五、锁定无效登录 为了防止他人进入电脑时，反复用猜测密码的方式登录，用户可以锁定无效登录，当密码输入错误达设定次数后，便锁定此账户，在一定时间内不能再以该账户登录。 在“组策略”窗口中展开“计算机配置”“Windows设置”“安全设置”“账户策略”“账户锁定策略”，在窗口右边双击“账户锁定阀值”，在弹出的设置对话框中输入无效登录的次数(一般设3次为宜)，单击“确定”按钮，系统自动将锁定时间和计数器清零的时间设置为“30

8、分钟。，用户可以根据需要打开这两个策略修改时间。经过以上设置，就能够阻止靠猜密码登录的非法用户了。,六、设置账户保密 默认情况下，在系统登录框中会保留上次登录的用户名，这方便了该用户的登录，但却留下了安全隐患，特别是对管理员账户，暴露账户名称非常危险。在组策略中隐藏上次登录账户的设置方法如下： 在“组策略”窗口中展开“计算机配置”“Windows设置”“安全设置”“本地策略”“安全选项”，在窗口右边找到“在登录屏幕上不要显示上次登录的用户名”，双击此策略，在弹出的窗口中将其设置为“已启用”。进行此项设置后，系统启动或注销后，登录框中用户名为空，必须输入完整有效的用户名和密码才能登录。,七、系统

9、防火墙设置 为增加系统的安全性，抵御病毒、黑客的攻击，Windows 2000 xPServer 2003Vista都带有防火墙功能。安装好操作系统后，系统防火墙默认被启动，是电脑抵御攻击的有效防护措施。下面以设置Windows xP SP3防火墙为例进行介绍。 第1步，打开“控制面板”窗口，双击“Windows防火墙”，打开“防火墙窗口”。 第2步，在“常规”选项卡下有三个选项：启用(推荐)、不允许例外和关闭(不推荐)，默认选择“启用”。如果勾选了“不允许例外”复选框，Windows防火墙将拦截所有的连接到用户计算机的网络请求，包括在“例外”选项卡中列表的应用程序和系统服务。另外，防火墙也将拦截文件和打印机共享，以及网络设备的侦测。使用“不允许例外”选项的Windows防火墙比较适用于连接在公共网络上的个人电脑，比如在宾馆和机场等公共场合使用的电脑。,第3步，切换到“例外”选项卡，在“程序和服务”列表中显示了连接到网络上的所有应用程序。用户可以手动设置允许连接的网络的程序：包括添加程序、添加端口、编辑、删除。 如果用户希望网络中(防火墙外)的其他客户端能够访问本地的某个特定程序或服务，而又不知道这个程序或服务将使用哪一