Windows 网络组策略实施方法.ppt

1、Windows 网络组策略实施方法,1、网络管理的需求 及网络安全管理,网络管理 网络管理包括对硬件、软件和人力的使用、综合与协调，以便对网络资源进行监视、测试、配置、分析、评价和控制，这样就能以合理的价格满足网络的一些需求，如实时运行性能、服务质量等。网络管理常简称为网管。 网络安全管理 安全性一直是网络的薄弱环节之一,而用户对网络安全的要求又相当高,因此网络安全管理非常重要。网络中主要有以下几大安全问题: 网络数据的私有性(保护网络数据不被侵 入者非法获取), 授权(authentication)(防止侵入者在网络上发送错误信息), 访问控制(控制访问控制(控制对网络资源的访问)。 相应的

2、,网络安全管理应包括对授权机制、访问控制 、加密和加密关键字的管理,另外还要维护和检查安全日志。包括: 网络管理过程中，存储和传输的管理和控制信息对网络的运行和管理至关重要，一旦泄密、被篡改和伪造，将给网络造成灾难性的破坏。网络管理本身的安全由以下机制来保证： (1)管理员身份认证，采用基于公开密钥的证书认证机制；为提高系统效率，对于信任域内(如局域网)的用户，可以使用简单口令认证。,(2)管理信息存储和传输的加密与完整性，Web浏览器和网络管理服务器之间采用安全套接字层(SSL)传输协议，对管理信息加密传输并保证其完整性；内部存储的机密信息，如登录口令等，也是经过加密的。 (3)网络管理用户

3、分组管理与访问控制，网络管理系统的用户(即管理员)按任务的不同分成若干用户组，不同的用户组中有不同的权限范围，对用户的操作由访问控制检查，保证用户不能越权使用网络管理系统。 (4)系统日志分析，记录用户所有的操作，使系统的操作和对网络对象的修改有据可查，同时也有助于故障的跟踪与恢复,2、组策略及作用,说到组策略，就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库，随着Windows功能的越来越丰富，注册表里的配置项目也越来越多。很多配置都是 可以自定义设置的，但这些配置发布在注册表的各个角落，如果是手工配置，可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各

4、种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。 简单点说，组策略就是修改注册表中的配置，也是由系统管理员管理和维护的，系统管理员使用（MMC，Microsoft Manage Controller）工具来对用户组和计算机组设置策略。 而组策略是系统管理员为计算机和用用户定义的，用来控制应用程序，系统设置和管理模板的一种机制。他是介于控制面板和组侧表之间的一种修改系统，设置程序的工具。 当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。,3、组策略应用的领域,一、活动目录结构 二、配置安全策略 三、管理用

5、户环境 四、文件夹重定向 五、桌面策略 六、系统性能策略 等其他策略,4部署“安全”的组策略,1、远程关机 2、解锁组侧表 3、关闭端口 4、交互式登录“不显示上次的用户名” 5、域中添加工作站 6、阻止黑客攻击 7、网络访问权限设置 8、IP地址保护 9、启用审核 10、防止匿名登录,1、远程关机,在Windows XP中，新增了一条命令行工具“shutdown”，其作用是“关闭或重新启动本地或远程计算机”。利用它，我们不但可以注销用户，关闭或重新启动计算机，还可以实现定时关机、远程关机。 该命令的语法格式如下：shutdown -i |-l|-s |-r |-a -f -m Compute

6、rName -t xx -c “message” 其中，各参数的含义为：-i 显示图形界面的对话框。-l 注销当前用户，这是默认设置。-m ComputerName优先。-s 关闭计算机。-r 关闭之后重新启动。-a 中止关闭。除了-l 和ComputerName 外，系统将忽略其它参数。在超 时期间，您只可以使用-a。-f 强制运行要关闭的应用程序。-m ComputerName 指定要关闭的计算机。-t xx 将用于系统关闭的定时器设置为 xx 秒。默认值是20秒。-c “message” 指定将在“系统关闭”窗口中的“消息”区域显示的消息。最多可以使用 127 个字符。引号中必须包含消息

7、。 关闭本机实例： 在命令行输入如下：,本机屏幕会显示如下：,远程关机实例： 首先要在被关机的机子上如下设置： 打开开始选择运行输入gpedit.msc 在组策略编辑器中，一次展开“本地计算机”策略-计算机配置-windows 配置-安全配置-本地策略-用户权利指派-从远端系统强制关机 双击 在其属性中添加“Guest”对象。,同样的 在在组策略编辑器中，一次展开“本地计算机”策略-计算机配置-windows 配置-安全配置-本地策略-用户权利指派-关闭系统 双击 在其属性中添加“Guest”对象。（接下去同上面的步骤） 最后在命令行输入： 在远程机子桌面便会出现如下方框：,2、解锁注册表,操

8、作过程 由用户配置（双击）选择 管理模板（双击）选择 防止访问注册表编辑工具（双击）点击 已禁用 按 确定,注册表编辑器在运行 对话框 输入 regedit在注册表中将IE主页地址修改成默认即可,3、关闭端口,黑客子在攻击服务器时，都需要先于服务器建立网络连接，然后才能通过135网络端口对服务器进行破坏，因此，我们只要能“拒绝”其他客户端通过网络来访问服务器，就能达到间接关闭135网络端口的目的，从而确保服务器不受远程攻击力。 操作过程 1，在“组策略编辑器”中，依次打开“本地计算机策略” “计算机配置” “windows 设置” “安全设置” “本地设置” “用户权限分配” 。如图,2，双击

9、右侧栏中的“拒绝从网络访问这台计算机”策略，显示“拒绝从网络访问这台计算机 属性”对话框，如图,3，单击”添加用户或组”，显示“选择用户或组”对话框，选择“Everyone”账号后点确定，如图,4、交换登陆“不显示上次的用户名”,使用组策略功能不显示上次登录的用户名。 在局域网中，用户按住“CTRL+ALT+DEL”登录，会显示上次登录的用户名。为了企业安全和用户身份的保密，使用组策略完成此安全设置。 操作步骤 1、在“组策略编辑器”中，依次的打开“本地计算机策略” “用户配置” “Windows设置” “安全设置” “本地策略” “安全选项”。如图,2、选择 “交互式登录：不显示上次的用户名

10、” （双击）选中 “已启用”单选按钮按 “确定”，设置完成。,5、域中添加工作站,通过给用户“域中添加工作站”的权限，可以让用户在一个域中添加最多10台计算机。 操作步骤 1、在“组策略编辑器”左栏中依次打开“本地计算机策略” “计算机配置” “windows配置” “安全设置” “本地策略” “用户权利指派”如图,2、双击右侧栏中的“域中添加工作站”策略，显示“域中添加工作站 属性”对话框，选中“定义这些策略设置” “添加用户或组” “浏览” “选择用户或组”,选择“添加域中工作站”点击确定即可,组策略的打开 打开开始选择运行输入gpedit.msc,6、阻止黑客攻击,现在智能化的网络安全漏

11、洞扫描越来越多了。 在黑客入侵的时候经常要在对方的机器上执行一些Windows本身的程序，如：net.exe、cmd.exe和at.exe等，如果能禁止这些程序的运行，那么就可以有效的防止黑客的入侵。 1、使用组策略禁止程序的运行 在“组策略编辑器”依次打开“本地计算机策略”“用户配置”“管理模板”“系统”，如图：,双击“不要运行指定的Windows应用程序”，显示其属性，在选择“已启用”，然后点击“显示”，如图：,在弹出的对话框中单击“添加” 最后在显示的“添加项目”对话框，在“输入要添加的项目”文本框中输需要禁止运行的程序名，单击“确定”就可以了，此后，这些指定的应用程序将不能运行。,7、

12、网络权限访问设置,服务器中包含许多用户，但为了保护服务器的安全，希望这些用户对服务器的访问控制权限各不相同，以便如后服务器遇到意外时，能根据权限高低的不同，就能快速的找到“从中作乱”的用户。要想对不同的用户，分配不同的访问权制权限，使用服务器组策略就可以轻松完成。 操作步骤： 1、在“组策略编辑器”左栏中依次打开“本地计算机策略” “计算机配置” “windows配置” “安全设置” “本地策略” “用户权利指派”如图,在对应“用户权利指派”项目的右侧窗口区域中，双击右侧栏中的“拒绝本地登录”策略，显示“拒绝本地登录 属性”对话框,单击“添加用户或组”按钮，在“选择用户或组”对话框中选择所要设

13、置的用户，再单击“确定”按钮,8、IP地址保护,在局域网中常常会出现工作站IP地址被随意修改，造成IP冲突现象的发生，从而影响局域网的运行效率。目前有许多方法可以避免地址发生冲突，最简单的办法就是借助组策略功能，可以很轻松的限制局域网工作站的网络配置参数被随意修改，从而有效避免网络中的IP地址发生冲突。 第一步，在“组策略编辑器”中依次展开“本地计算机策略”“用户配置”“管理模板”“网络”“网络连接”，如图：,第二步，双击“禁用TCP/IP高级配置”策略，显示其属性，点击“已启用”如图： 组策略生效后，任何一个工作站用户日后打开TCP/IP属性设置窗口时，将会发现无法进入“高级”设置窗口，修改

14、工作站的IP地址或其他网络参数，这样就达到不允许用户修改自己电脑的IP设置目的。,9、启用审核,为追踪服务器恶意攻击事件，启用安全审核策略，保护好服务器的安全。 第一步，在“组策略编辑器”中依次展开“本地计算机策略”“计算机配置”“Windows配置”“安全设置”“本地策略”“审核策略”，如图：,第二步，以“审核策略更改”为例。双击“审核更改策略”，显示其属性。如果选中“成功”复选框，服务器日后将会对所有事件的成功操作进行审核；如果选中“失败”复选框，服务器日后将会对所有事件的失败操作进行审核，如图：,10、防止匿名登录,攻击者会利用Windows计算机中的匿名登录访问到关系安全的信息。利用组策略对象，可以保护的Windows计算机，限制匿名登录。 1.保护的范围： 在计算机里的用户列表，包括活动目录； 在计算机里的组列表，包括活动目录； 用户账号的安全标示（SIDS）； 安全