提升Windows系统安全性的组策略设置

升W i n d o w s系统安全性的组策略设置

有人将组策略比作深藏在系统中的“大内高手”，笔者觉得这个比喻的非常恰当的。组策略确实有其他第三方安全软件所无法比拟的优势，这不仅是其与系统的密切“关系”，更在于它强大的功能。除了可通过其进行系统配置，而且可对系统中几乎所有的软硬件实施管理，全方位地提升系统安全。到目前为止，似乎没有任何一款第三方软件可提供如果多的配置项。何况随着系统的更新换代，组策略也是越来越强大了，比如在Windows 7中就增加了许多Vista没有的安全项。本文就以当前主流的Vista系统为例，就Windows组策略的安全特性进行一番比较深入的解析。

为了便于说明，笔者依据组策略的安全配置功能将其划分为三部分：系统核心安全配置、应用程序和设备限制、Internet Explorer(IE)安全。下面就以此为线索，分别谈谈组策略的安全特性。

1、系统核心安全配置

与系统核心安全相关的组策略设置项主要在“计算机配置→Windows配置→安全配置”节点下。

(1).账户策略

对于组策略的这一部分大家应该非常熟悉，因为在这里可以设置密码和账户的锁定策略。例如，在这部分组策略中，我们可以设置密码最小长度或者密码需要包含复杂字符。如果在链接到域(如默认域策略)的组策略对象(GPO)中定义这些策略，域中的所有域控制器(DC)都会处理密码策略，并且组策略对象会控制域用户账户的密码策略。当在链接到域的组策略对象中定义密码策略时，域中的所有工作站和成员也会进行处理，并为这些系统中定义的本地账户设置账户策略。(图1)

??? 图1 安全设置账户策略

大家知道，通过组策略只能定义一个域密码策略，不过，Windows Server 2008支持一套新的密码策略对象，这些在活动目录(AD)中定义的密码策略对象为单一域提供了更加细化的密码策略控制。

??? (2).本地策略

“本地策略” 下有三个安全策略项，通过配置可以实现Windows系统的各种安全需求。例如，其中的“审计策略”用于配置的Windows安全事件日志收集哪些事件;“用户权限分配”用于配置哪些用户能通过“远程桌面”访问指定的服务器或工作站;使用“安全选项”配置以确定是否激活指定系统上的“管理员” 账户以及重命名“管理员”账

“审计策略”相当直接，允许我们控制Windows安全事件日志能收集哪些事件类型，在此指定成功或失败的事件，用于审计从活动目录访问到系统对象访问(如文件和注册表键)的各种事件类型。根据组策略对象定义审计事件的链接位置，能激活对域控制器或成员服务器和工作站的审计。例如，如果将包含激活目录服务访问审计的组策略对象链接到“域控制器”组织单元，则域中所有域控制器都将执行该策略，因此，所有对活动目录的访问都会作为访问请求被记录到域控制器的日志中。(图2)

图2 安全设置本地策略

“用户权限分配”是组策略中另一个强大的安全工具，能用于控制谁能在指定系统上做什么事情。用户权限的例子包括“本地登录”权限，用于控制谁能交互式登录服务器或工作站的控制台;“加载和卸载设备驱动”权限，用于赋予组或用户安装设备驱动的权限。例如安装打印机和显示驱动通过创建链接到域级别的组策略对象，并为“认证用户”组赋予“拒绝本地登录”权限，能有效防止活动目录域中的所有用户登录自己的工作站。当然，这个例子不是为了说明如何进行破坏，而是要说明“用户权限分配”是如何强大，并在需要使用时必须小心谨慎。同其它策略设置一样，我们只需确保设置用户权限的组策略对象只被应用到所希望使用的计算机上就可以了，但要针对正确的用户组赋予或撤销权限。需要说明的是，“用户权限分配”的权限列表会因Windows版本的不同而哟变化。有时候，运行在Winctows Vista上的组策略对象定义用户权限，该组策略对象被应用到Windows XP系统上时，由于Windows×P可能并不了解该用户权限，所以将在执行策略时忽略该策略。(图3)

图3 本地策略有户权限分配

“本地策略”的最后一部分是“安全选项”，位于“本地策略安全选项”中，由于这些策略定义了控制与系统安全相关的配置行为，因此与系统安全攸关。比如，在此我们可以配置Windows Vista的“用户账户控制(UAC)”。“安全选项”中最有意思的应该是其中出现的安全选项列表。它是由一个名为的文件进行配置的，该文件位于%windir%\inf 文件夹中。打开该文件后，可以看到“安全选项”中定义的每一条

图4 增加希望组策略进行控制的设置

策略，并且可以编辑这个文件，增加希望组策略进行控制的设置。(图4)

(3).受限制组的策略

“受限制组”策略的目的是提供一种控制机制，控制成员服务器和工作站上的本地组成员。“受限制组”有两种操作模式：“成员”和“作为成员”。“成员”模式是最严格的模式，只有列出的用户和组是其中的成员，所有其他组或用户都被移除。与之相反，“作为成员”模式允许为其他组添加用户和组，也就是说，我们能在任何计算机上创建一条策略，“总是将桌面管理员组作为本地管理员组的成员”，并加以执行，在这种情况下，“桌面管理员”会被添加到本地“管理员”组，但是不会影响其他的组成

(4).系统服务策略

“系统服务”策略允许我们控制在指定计算机上启动哪些Windows服务，还可以控制服务的权限。例如，能够使用这些策略只允许服务器管理员停止和启动所有作为打印服务器的Windows服务器上的“打印池”服务，并能使用“系统服务”策略赋予指定用户组执行某些任务的权限，而不必需要成为系统的管理员才能进行访问。此外，位于“计算机配置→选项→服务”中的“组策略选项”也提供了控制系统服务的策略。这个功能还提供了对于服务配置的更多控制，包括能够修改一系列系统上的服务账户和服务账户密码。

(5).注册表和文件系统策略

这些策略能够集中分别管理文件系统和注册表键的权限。例如，如果想锁定所有桌面系统中的某个文件或文件夹，比如为了避免恶意软件轻易进行修改，需要锁定工作站的HOSTS文件，在这种情况，可以使用“文件系统”策略集中定义所有计算机上执行该策略的文件权限和权限继承。但是一般来说，文件系统和注册表安全策略作为一种集中管理文件系统和注册表安全的方式并不常用，而且如果误用会造成问题。这些策略对于大型的文件和文件夹树结构或注册表键的重新分配权限并不适用，在组策略处理过程中并不能很好地执行，并且在执行过程中已知会降低系统性能。由于默认情况下，即使没有发生策略变更，安全策略每16个小时也会自动刷新，因此这个问题就更加严重。如果需要加强文件系统或注册表权限，笔者建议使用其他方法，例如脚本、Windows安全模板或是第三方安全工具。也就是说，如果只是修改少量文件、文件夹或注册表键的权限，确保这些关键资源受到保护。

2、应用程序和设备限制

(1).应用程序限制

应用程序限制相对应组策略来说就是“软件限制策略(SRP)”，这些策略位于“计算机和用户配置→Wind0ws设置安全设置→软件限制策略”节点。

SRP可以有三种不同的运行模式：默认模式允许所有代码执行，管理员只对那些明恶意的程序或脚本进行限制，俗称“黑名单”。这种方式虽然对于管理来说非常容易，但是并不安全，因为对于一些未知的程序或者脚本管理员无法进行判断和处理。第二种模式称为“白名单”，是使用SRP最安全的方式，但是需要管理员做更多的管理工作，因为要创建各种规则。最后一种模式，称为“基本用户”，在Windows Vista中首先出现。，当设置基本用户的默认级别时，管理员运行的所有进程会被剥离管理令牌，强制这些进程作为非管理员用户运行。当我们不希望管理员使用其管理账户运行某些进程时，这种方式非常有用。(图5)

??? 图5 应用程序限制

对于这一部分内容，如果大家感兴趣可以参考《详解Windows 7下的程序运行控制》()。该文以Windows 7系统为例介绍了通过其组策略对应用程序的安装和运行进行限制，策略方法和Vista下的类似，笔者就不赘述了。

(2).设备限制

所谓设备限制，主要指限制即对移动设备的限制。我们知道，在企业环境中，通过移动设备进行窃密是比较普遍的。从Vista开始，微软在组策略中提供了对移动设备的限制。其组策略项位于“计算机(或用户配置)→管理模板→系统→可移动存储访问”节点下，在此我们可以设置对任何可移动存储设备的拒绝读或写(或可读写)访问，

支持的可移动存储设备包括U盘、可写CD和DVD以及可移动硬盘。此外，与设备限制相关，我们话你可以通过组策略隐藏磁盘或者限制用户对磁盘分区的访问，以保护磁盘数据，其设置项在“本地计算机策略→用户配置→管理模板→Windows组件→Windows 资源管理器”节点下。至于如何设置大家可以参考文章《Vista 组策略深度挖掘实现非常任务》()。(图6)

图6 设备限制

?? 3、IE安全

之所以把IE的组策略项单独拿出来分析，不仅仅因为IE是Windows系统集成的浏览器，更主要是因为它使用最广泛的浏览器软件，同时也是Windows系统中面临安全威胁最大的系统组件。在Vista的组策略中，我们可以在三个不同的组策略节点来配置IE。这三个节点分别是：“用户配置→Windows设置→IE维护策略”即“IE维护策略”;“计算机或用户配置→管理模板→Windows组件→Internet Explorer”即“管理模板策略”;“用户配置→选项→管理控制面板→Internet设置”即“组策略选项”功能。

其实，上述每种方式在配置IE时都各有优缺点。例如，要配置IE代理或者首页，可以使用“IE维护策略”或“组策略选项”。笔者建议大家尽量使用“组策略选项”，因为在域环境下“IE维护”在向客户端分发策略时并不可靠。需要说明的是，通过“组策略选项”或者“IE维护”修改IE配置，并不能防止用户更改。所以，我们一般要使用“管理模板”策略选项禁止用户访问IE设置页面。通常情况下，使用“管理模板”策略锁定某些IE设置，就能够防止用户修改IE配置来绕过限制。

如果我们要设置IE的区域安全或者设置弹出屏蔽网址类表，可以同时使用这三种方式进行控制，因为每一种方式具有不同的行为，支持不同的选项。例如，使用“计算机或用户配置→管理模板→Windows组件→Internet Explorer\Internet控制面板\安全页面”下的策略对每个IE区域进行安全配置，并使用区域站点分配类表为用户在每个安全区域中添加指定网站。使用这种方式，用户就不能自行修改这些IE设置了，但如果使用“IE维护”策略，虽然也可以进行想要的配置，但是用户可以修改配置。使用“组策略选项”，我们能够配置安全区域，但是不能为区域分配站点。不过，“组策略选项”使得我们可以访问IE属性中的“高级”标签页中是所有设置。所以，这三种方式是互补的，在实战中大家要灵活应用。(图7)

图7 本地组策略Windows组件

总结：本文从三个方面解析了Windows组策略的安全特性，希望对大家认识组策略，提升系统安全有所帮助。其实，组策略作为Wndows安全工具并不能代替第三方安全软件，它们之间也是互补的。不过，我们倒可以对Windows的组策略进行一番深入挖掘，在更大程度上提升系统安全。

使用windows组策略对计算机进行安全配置.

综合性实验项目名称：使用windows组策略对计算机进行安全配置 一、实验目的及要求： 1.组策略是管理员为用户和计算机定义并控制程序，网络资源及操作系统行为的主要工具, 通过使用组策略可以设置各种软件，计算机和用户策略。 2.我们通过实验,学会使用组策略对计算机进行安全配置。 二、实验基本原理： 组策略是管理员为用户和计算机定义并控制程序，网络资源及操作系统行为的主要工具通过使用组策略可以设置各种软件，计算机和用户策略。 三、主要仪器设备及实验耗材： PC机一台,Windows2000系统，具有管理员权限账户登录 四、注意事项 必须以管理员或管理员组成员的身份登录win2000系统 计算机配置中设置的组策略级别要高于用户配置中的级别策略 五、实验内容与步骤 1.在”开始”菜单中,单击”运行”命令项,输入gpedit.msc并确定，即可运行程序。 依次进行以下实验： (1)隐藏驱动器 平时我们隐藏文件夹后，别人只需在文件夹选项里显示所有文件，就可以看见了，我们可以在组策略里删除这个选项。 1.使用策略前,查看”我的电脑”的驱动器,如图6-1所示 图6-1 使用策略前,“我的电脑” 2.选择“用户配置—>管理模板—>windows组件—>windows资源管理器”,如图6-2所示。

图6-2 隐藏驱动器 3.使用策略后,查看”我的电脑”的驱动器,如图6-3所示 图6-3 使用策略后,“我的电脑” (2).禁止来宾账户本机登录 使用电脑时，我们有时要离开座位一段时间，如果有很多正在打开的文档还没有处理完成或者正在使用隐私内容时，为了避免有人动用电脑，我们一般会把电脑锁定。但是在局域网中，为了方便网络登录，我们有时候会建立一些来宾账户，如果对方利用这些账户来注销当前账户并登录到别的账户，就会给正常工作带来影响。我们可以通过“组策略”来禁止一些账户在本机上的登录，让对方只能通过网络登录。 在“组策略”窗口中依次打开“计算机配置—>windows设置—>安全设置—>本地策略—>用户权限分配”，然后双击右侧窗格的”拒绝本地登录”项，在弹出的窗口中添加要禁止的用户或组即可实现,如图6-4所示

利用组策略部署软件分发

【IT168 专稿】作为一名网管员，你是否经常会被一些软件安装的问题所困扰呢？比如说在网络环境下安装软件！面对网络环境下数量众多，需求各异的用户，硬件配置不同，用途也不同的计算机，几乎每天都有各种各样关于软件安装的需求，对于此你是否感到疲于奔命，无所适从呢？Windows 2000中的组策略软件部署就可以帮我们解决这个困扰，让这些令人烦恼的事情变的轻松起来，使我们广大的网管员朋友彻底的摆脱软件部署的烦恼，省心又省力！ 一、准备安装文件包 实现组策略软件部署的第一步是获取以ZAP或MSI为扩展名的安装文件包。 MSI安装文件包是微软专门为软件部署而开发的。这两个文件有些软件的安装程序会直接提供，有些软件的安装程序是不提供的。对于不提供MSI文件的软件我们可以使用一个叫WinINSTALL LE的打包工具来创建，通过使用它可以将一些没有提供MSI文件的软件打包生成MSI文件以便于实现组策略软件布署。WinINSTALLLE工具我们可以从Windows 2000安装光盘的\VALUEADD\3RDPARTY\MGMT目录下找到，但该软件实际使用的效果并不是很理想，推荐有条件的朋友使用它的升级版本WinINSTALL LE2003。软件界面如图1。可以在下载获得。 图1（点击看大图） 二、创建软件分发点 实现组策略软件部署的第二步是必须在网络上创建一个软件分发点。 软件分发点就是包含MSI包文件的共享文件夹。即在文件服务器上创建一个共享的文件夹，在这个文件夹的下面，再创建要部署软件的子目录，然后将MSI包文件及所有需要的安装源文件放于其中。再给共享文件夹设置相应的权限，使用户具有只读的权限即可。如果担心某些用户非法浏览分发点中的的内容，可以使用隐藏共享文件夹，即在共享名字后加$符号。 三、创建组策略对象

WindowsXP组策略修改系统配置

组策略是管理员为计算机和用户定义地，用来控制应用程序、系统设置和管理模板地一种机制.通俗一点说，是介于控制面板和注册表之间地一种修改系统、设置程序地工具.微软自开始便采用了组策略这一机制，经过发展到已相当完善.利用组策略可以修改地桌面、开始菜单、登录方式、组件、网络及浏览器等许多设置. 平时像一些常用地系统、外观、网络设置等我们可通过控制面板修改，但大家对此肯定都有不满意，因为通过控制面板能修改地东西太少；水平稍高点地用户进而使用修改注册表地方法来设置，但注册表涉及内容又太多，修改起来也不方便.组策略正好介于二者之间，涉及地内容比控制面板中地多，安全性和控制面板一样非常高，而条理性、可操作性则比注册表强. 文档来自于网络搜索 本文主要介绍本地组策略地应用.本地计算机组策略主要可进行两个方面地配置：计算机配置和用户配置.其下所有设置项地配置都将保存到注册表地相关项目中.其中计算机配置保存到注册表地子树中，用户配置保存到.文档来自于网络搜索 一、访问组策略 有两种方法可以访问组策略：一是通过命令直接进入组策略窗口；二是打开控制台，将组策略添加进去.文档来自于网络搜索 . 输入命令访问 选择“开始”→“运行”，在弹出窗口中输入“”，回车后进入组策略窗口（图）.组策略窗口地结构和资源管理器相似，左边是树型目录结构，由“计算机配置”、“用户配置”两大节点组成.这两个节点下分别都有“软件设置”、“设置”和“管理模板”三个节点，节点下面还有更多地节点和设置.此时点击右边窗口中地节点或设置，便会出现关于此节点或设置地适用平台和作用描述.“计算机配置”、“用户配置”两大节点下地子节点和设置有很多是相同地，那么我们该改哪一处？“计算机配置”节点中地设置应用到整个计算机策略，在此处修改后地设置将应用到计算机中地所有用户.“用户配置”节点中地设置一般只应用到当前用户，如果你用别地用户名登录计算机，设置就不会管用了.但一般情况下建议在“用户配置”节点下修改，本文也将主要讲解“用户配置”节点地各项设置地修改，附带讲解“计算机配置”节点下地一些设置.其中“管理模板”设置最多、应用最广，因此也是本文地重中之重.文档来自于网络搜索. 通过控制台访问组策略 单击“开始”→“运行”，输入“”，回车后进入控制台窗口.单击控制台窗口地“文件”→“添加删除管理单元”，在弹出窗口单击“添加”（图），之后选择“组策略”并单击“添加”（图），在下一步地“选择组策略对象”对话框中选择对象.由于我们组策略对象就是“本地计算机”，因此不用更改，如果是网络上地另一台计算机，那么单击“浏览”选择此计算机即可.另外，如果你希望保存组策略控制台，并希望能够选择通过命令行在控制台中打开组策略对象，请选中“当从命令行开始时，允许更改‘组策略管理单元’地焦点”复选框（图）.最后添加进来地组策略如图所示. 文档来自于网络搜索 二、任务栏和“开始”菜单项目设置 本节点允许你为开始菜单、任务栏和通知区域添加、删除或禁用某一功能项目.依次展开“用户配置”→“管理模板”→“任务栏和‘开始’菜单”，在右边窗口便能看到“任务栏和‘开始’菜单”节点下地具体设置，其状态都处在“未被配置”（图）.文档来自于网络搜索. 给“开始”菜单减肥 地“开始”菜单地菜单项很多，可通过组策略将不需要地删除掉.以删除开始菜单中地“我地文档”图标为例看看其具体操作方法：在右边窗口中双击“从‘开始’菜单上删除‘我地文档’图标”项，在弹出对话框地“设置”标签中点选“已启用”，然后单击“确定”（图），这样在“开始”菜单中“我地文档”图标将会隐藏.文档来自于网络搜索 . 防止隐私泄漏

Windows XP系统的安全配置方案

Windows XP系统的安全配置方案 1.关闭常见危险端口 (1)135端口 主要用于使用RPC（Remote Procedure Call，远程过程调用）协议并提供DCOM（分布式组件对象模型）服务。 关闭135端口： 1. 单击“开始”——“运行”，输入“dcomcnfg”，单击“确定”，打开组件服务。 2. 在弹出的“组件服务”对话框中，选择“计算机”选项。 3. 在“计算机”选项右边，右键单击“我的电脑”，选择“属性”。 4. 在出现的“我的电脑属性”对话框“默认属性”选项卡中，去掉“在此计算机上启用分布式COM”前的勾。 5. 选择“默认协议”选项卡，选中“面向连接的TCP/IP”，单击“删除”按钮。 6. 单击“确定”按钮，设置完成，重新启动后即可关闭135端口。 (2) 139端口 IPC$漏洞使用的是139，445端口。IPC$漏洞其实就是指微软为了方便管理员而安置的后门-空会话。 关闭139端口： 本地连接—>Internet协议（TCP/IP）—>右击—>属性—>选择“TCP/IP”，单击“高级”—>在“WINS”选项卡中选择禁用“TCP/IP的NetBLOS”。 (3) 445端口 和139端口一起是IPC$入侵的主要通道。有了它就可以在局域网中轻松访问各种共享文件夹或共享打印机。黑客们能通过该端口共享硬盘，甚至硬盘格式化。 关闭445端口： 运行-> regedit -> HKEY_LOCAL_MACHINE\ System\CurrentControlSet\Services\NetBT\Parameters 建一个名为SMBDeviceEnabled 的REG-DWORD类型的子键，键值为0。 (4) 3389端口 远程桌面的服务端口，可以通过这个端口，用“远程桌面”等连接工具来连接到远程的服务器。 关闭445端口： 我的电脑—>右击—>属性—>去掉“远程协助”和“远程桌面”前的勾。 2. 删除IPC$空连接 运行—>regedit—>HKEY-LOCAL_MACHINE\ SYSTEM\CurrentControSet\Control\LSA 将数值名称RestrictAnonymous的数值数据由0改为1。 3. 账号密码的安全原则 禁用guest账号，将系统内置的Administrator账号改名（越复杂越好，最好是中文的），设置密码最好为8位以上的字母+数字+符号的组合。 4. 删除共享

用组策略统一部署Bginfo软件

用组策略统一部署Bginfo软件(显示计算机信息到桌面) 下面来说说如何在企业内部使用组策略统一部署Bginfo的： 1.下面是主程序的界面图 中间蓝色部分就是显示项，左边的设置项是可以更改的，比如改成中文; <>内的不可修改，fields下面就是显示设置的可选项 2.清空蓝色区域，在fields中选择要在工作站桌面上显示的内容，我选择的是Host Name和IP Address，并将字体大小，颜色等设置完毕 3.另存当前的配置文件”File”->”Save as”这里保存为bginfo.bgi 4.建立两个批处理，内容如下： copyfile.bat ------------------------------------------------------------------------- @echo off copy %logonserver%\netlogon\bginfo.exe %systemroot%\bginfo.exe bginfo.bat --------------------------------------------------------------------------- @echo off

bginfo.exe %logonserver%\netlogon\bginfo.bgi /nolicprompt /timer:0 5.把bginfo.exe、bginfo.bgi、bginfo.bat、copyfile.bat文件，拷贝到%logonserver%\netlogon目录下。 6.通过组策略管理器（GPMC），编辑或新建的一个组策略（OU组织单位），在"计算机配置"选择"windows设置"，"脚本（启动／关机）"，在"启动"中添加copyfile.bat文件(把bginfo.exe、bginfo.bgi、bginfo.bat、copyfile.bat文件复制到“显示文件”按钮点开的文件夹内，按添加把copyfile.bat文件选中); 7.在计算机配置中选择 "windows设置"，"安全设置"，右键点击"文件系统"，选择"添加文件"，在打开的窗口中输入 “%systemroot%bginfo.exe”，并将上两项的user权限改为可读写。（让域用户有权限将bginfo.exe复制到系统目录中，默认是只有读取权限的。如省略此步骤，工作站在登录时可能出现文件不能成功创建的错误信息）

Windows操作系统安全配置方案

Windows操作系统安全配置方案 一、物理安全 服务器应当放置在安装了监视器的隔离房间内，并且监视器应当保留１５天以内的录像记录。另外，机箱、键盘、抽屉等要上锁，以保证旁人即使在无人值守时也无法使用此计算机，钥匙要放在安全的地方。 二、停止Guest帐号 在［计算机管理］中将Guest帐号停止掉，任何时候不允许Guest帐号登录系统。为了保险起见，最好给Guest帐号加上一个复杂的密码，并且修改Guest帐号属性，设置拒绝远程访问。 三、限制用户数量 去掉所有的测试帐户、共享帐号和普通部门帐号，等等。用户组策略设置相应权限、并且经常检查系统的帐号，删除已经不适用的帐号。 很多帐号不利于管理员管理，而黑客在帐号多的系统中可利用的帐号也就更多，所以合理规划系统中的帐号分配。 四、多个管理员帐号 管理员不应该经常使用管理者帐号登录系统，这样有可能被一些能够察看Winlogon进程中密码的软件所窥探到，应该为自己建立普通帐号来进行日常工作。 同时，为了防止管理员帐号一旦被入侵者得到，管理员拥有备份的管理员帐号还可以有机会得到系统管理员权限，不过因此也带来了多个帐号的潜在安全问题。 五、管理员帐号改名 在Windows 2000系统中管理员Administrator帐号是不能被停用的，这意味着攻击者可以一再尝试猜测此帐户的密码。把管理员帐户改名可以有效防止这一点。 不要将名称改为类似Admin之类，而是尽量将其伪装为普通用户。 六、陷阱帐号 和第五点类似、在更改了管理员的名称后，可以建立一个Administrator的普通用户，将其权限设置为最低，并且加上一个10位以上的复杂密码，借此花费入侵者的大量时间，并且发现其入侵企图。

Windows环境中组策略处理优先级详解

Windows环境中组策略处理优先级详解 组策略处理和优先级 应用于某个用户（或计算机）的组策略对象(GPO) 并非全部具有相同的优先级。以后应用的设置可以覆盖以前应用的设置。 处理设置的顺序 本节提供有关用户和计算机组策略设置处理顺序的详细信息。有关策略设置处理适合计算机启动和用户登录框架的位置的信息，请参阅以下主题启动和登录中的第3 步和第8 步。 组策略设置是按下列顺序进行处理的： 1.本地组策略对象—每台计算机都只有一个在本地存储的组策略对象。对于计算机或用户策略处理，都会处 理该内容。 2.站点—接下来要处理任何已经链接到计算机所属站点的GPO。处理的顺序是由管理员在组策略管理控制台 (GPMC) 中该站点的“链接的组策略对象”选项卡内指定的。“链接顺序”最低的GPO 最后处理，因此具有最高的优先级。o 3.域—多个域链接GPO 的处理顺序是由管理员在GPMC 中该域的“链接的组策略对象”选项卡内指定的。 “链接顺序”最低的GPO 最后处理，因此具有最高的优先级。 4.组织单位—链接到Active Directory 层次结构中最高层组织单位的GPO 最先处理，然后是链接到其子 组织单位的GPO，依此类推。最后处理的是链接到包含该用户或计算机的组织单位的GPO。 wu 在Active Directory 层次结构的每一级组织单位中，可以链接一个、多个或不链接GPO。如果一个组织单位链接了几个GPO，它们的处理顺序则由管理员在GPMC 中该组织单位的“链接的组策略对象”选项卡内指定。“链接顺序”最低的GPO 最后处理，因此具有最高的优先级。 该顺序意味着首先会处理本地GPO，最后处理链接到计算机或用户直接所属的组织单位的GPO，它会覆盖以前GPO 中与之冲突的设置。（如果不存在冲突，则只是将以前的设置和以后的设置进行结合。） 设置默认处理顺序的例外 设置的默认处理顺序受下列例外情况的影响： GPO 链接可以“强制”，也可以“禁用”，或者同时设置两者。默认情况下，GPO 链接既不强制也不禁用。

Windows2008安装完系统后安全设置

Windows2008系统安全设置 编写：技术支持李岩伟 1、密码设置复杂一些，例如：******** 2、更改administrator账户名称，例如：南关区社管服务器administrator更改为 *******，更改方法： 开始—运行：gpedit.msc---计算机配置--- Windows设置--安全设置---本地策略---安全选项---帐户：重命名系统管理员---右键---属性---更改名称；

3、更改guest账户名称，例如更改为********，更改方法： 开始—运行：gpedit.msc---计算机配置--- Windows设置--安全设置---本地策略---安全选项---帐户：重命名来宾帐户---右键---属性---更改名称； 4、新建一无任何权限的假Administrator账户 管理工具→计算机管理→系统工具→本地用户和组→用户 新建一个Administrator帐户作为陷阱帐户，设置超长密码（例如：*********），并去掉所有用户组 更改描述：管理计算机(域)的内置帐户 5、更改远程桌面端口： 开始—运行：regedit，单击“确定”按钮后，打开注册表编辑窗口; 找到： [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] 双击右边PortNumber——点十进制——更改值为：XXX（例如22）——点确定。 然后找到： [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] 双击右边PortNumber——点十进制——更改值为：XXX（例如22）——点确定。 6、设置不显示最后的用户名，设置方法： 开始—运行：gpedit.msc---计算机配置--- Windows设置--安全设置---本地策略---安全选项---交互式登录：不显示最后的用户名---右键---属性---已启用---应用

Windows 操作系统安全防护强制性要求

Windows 操作系统安全防护 强制性要求 二〇一四年五月

目录 1.系统用户口令及策略加固1 1.1.系统用户口令策略加固 1 1.2.用户权限设置 1 1.3.禁用Guest（来宾）帐户 2 1.4.禁止使用超级管理员帐号 3 1.5.删除多余的账号 4 2.日志审核策略配置4 2.1.设置主机审核策略 4 2.2.调整事件日志的大小及覆盖策略 5 2.3.启用系统失败日志记录功能 5 3.安全选项策略配置6 3.1.设置挂起会话的空闲时间 6 3.2.禁止发送未加密的密码到第三方SMB 服务器

6 3.3.禁用对所有驱动器和文件夹进行软盘复制和访问 7 3.4.禁止故障恢复控制台自动登录 7 3.5.关机时清除虚拟内存页面文件 7 3.6.禁止系统在未登录前关机 8 3.7.不显示上次登录的用户名 8 3.8.登录时需要按CTRL+ALT+DEL 8 3.9.可被缓存的前次登录个数 9 3.10. 不允许SAM 帐户和共享的匿名枚举 (9) 3.11.不允许为网络身份验证储存凭证或.NET Passports 9 3.12. 如果无法记录安全审核则立即关闭系统 (10) 3.13. 禁止从本机发送远程协助邀请 (10) 3.14. 关闭故障恢复自动重新启动 (11) 4.用户权限策略配置11 4.1.禁止用户组通过终端服务登录 11 4.2.只允许管理组通过终端服务登录 11

4.3.限制从网络访问此计算机 12 5.用户权限策略配置12 5.1.禁止自动登录 12 5.2.禁止光驱自动运行 12 5.3.启用源路由欺骗保护 13 5.4.删除IPC 共享 13 6.网络与服务加固14 6.1.卸载、禁用、停止不需要的服务 14 6.2.禁用不必要进程，防止病毒程序运行 15 6.3.关闭不必要启动项，防止病毒程序开机启动 24 6.4.检查是否开启不必要的端口 34 6.5.修改默认的远程桌面端口 34 6.6.启用客户端自带防火墙 35 6.7.检测DDOS 攻击保护设置

组策略详细部署

1．隐藏电脑的驱动器 位置：用户配置\\管理模板\\Windows组件\\Windows资源管理器\\启用后，发现我的电脑里的磁盘驱动器全不见了，但在地址栏输入盘符后，仍然可以访问，如果再把下面的防止从“我的电脑”访问驱动器设置为启用，在地址栏输入盘符就无法访问了，但在运行里直接输入cmd，在Dos下仍然可以看见，接下来就是把CMD命令也禁用了。 位置：用户配置\\管理模板\\系统\\ 2．禁用注册表 位置：用户配置\\管理模板\\系统\\ 3．禁用控制面板 位置：用户配置\\管理模板\\系统\\ 如想在控制面板中隐藏Internet选项，则在隐藏控制面板程序里添加Inetcpl.cpl，具体名称可查看Windows\\System32里以cpl结尾的文件。 4．隐藏文件夹 平时我们隐藏文件夹后，别人只需在文件夹选项里显示所有文件，就可以看见了，我们可以在组策略里删除这个选项, 位置：用户配置\\管理模板\\Windows组件\\Windows资源管理器\\ 5．关闭缩略图缓存 有时我们在文件夹中放过图片，后来移除了，但以缩略图缓存仍然能被其他人读取。 位置：用户配置\\管理模板\\Windows组件\\Windows资源管理器 6．去除开始菜单中的“文档”菜单 开始菜单中的文档一栏，会记载我们曾经编辑过的文档，我们可以去掉这个菜单： 位置：用户配置\\管理模板\\Windows组件\\任务栏和“开始”菜单 7．隐藏…屏幕保护程序“”选项卡 有时我们设置了屏幕密码保护，但很容易被人修改，我们可以隐藏这一选项。 用户配置\\管理模板\\控制面板\\显示。 8．禁止更改TCP/IP属性 我们设定的IP地址可能会被更改，那么只要关闭它的属性页就可以了。 位置：用户配置\\管理模板\\网络\\网络连接 把下面两项设为启用。 9．删除任务管理器 可别小看了任务管理器，它除了可以终止程序、进程外还可以重启、关机，搜索程序的执行文件名，及更改程序运行的优先顺序。 位置：用户配置\\管理模板\\系统\\C trl+Alt+Del选项\\ 10．禁用IE“工具”菜单下的“Internet选项” 为了阻止别人对IE浏览器设置的随意更改。

使用组策略修改客户端DNS设置

1.编写DNS设置计算机策略脚本 1)新建文本文档并重命名为computer.bat 2)编辑computer.bat，将以下命令复制进去并保存 netsh interface ip set dns "本地连接" static <首选DNS> netsh interface ip add dns "本地连接" <备选DNS> netsh interface ip add dns "本地连接" addr=<备选DNS 2> index=3 netsh interface ip add dns "本地连接" addr=<备选DNS 3> index=4 2.编写DNS设置用户策略脚本 1)新建文本文档并重命名为user.bat 2)编辑user.bat，将以下命令复制进去并保存 echo <管理员密码> |runas /savecred /env /user:<域\管理员帐户> "netsh interface ip set dns "本地连接" static <首选DNS>" echo <管理员密码> |runas /savecred /env /user:<域\管理员帐户> "netsh interface ip add dns "本地连接" <备选DNS>" echo <管理员密码> |runas /savecred /env /user:<域\管理员帐户> "netsh interface ip add dns "本地连接" addr=<备选DNS2> index=3" echo <管理员密码> |runas /savecred /env /user:<域\管理员帐户> "netsh interface ip add dns "本地连接" addr=<备选DNS3> index=4" 3.设置计算机策略 1)依次打开“组策略管理器”—组策略对象—找到对应OU的组策略。 2)右击编辑—“计算机配置”—“策略”—“Windows设置”—“脚 本”—“启动” 3)在弹出的对话框中选择“添加”—“浏览”，将新建的computer.bat复制 进去，选择computer.bat保存确定。 4.设置用户策略

域环境通过组策略分发软件给客户端讲课稿

域环境通过组策略分发软件给客户端

域环境通过组策略分发软件给客户端 通常情况下，我们可以通过软件安装来分发后缀名为.msi的可执行文件(卡巴就是这个后缀名的哦）。通过在组策略的“计算机配置”中的“软件安装中，点击右键，如何选择程序包，通过UNC路径（注意了哦：这个是网络路径，所以，管理员必须把此软件共享出去）找到程序位置。如何，选择"已指派"就可以了。当然，在“用户配置”的"软件安装"中的配置也是按照此顺序完成的。 大家看见了没有？在发布好软件后，选择软件里面的属性，查看“部署”，可以看见“指派”与“发行”两个选项（计算机配置中，发行为灰色）。所以，这里有就有三种软件部署的方法了： 1、发行给用户 2、指派给用户 3、指派给计算机 下面，来剖析下这三种方法的区别。 第一种是发行给用户。选择此方式时，软件只会出现在“添加与删除对话框内。用户可以选择删除此软件。等以后需要的时候再安装。 第二种时指派给用户。选择此方式，用户再任何一台电脑登陆域，都可以在开始菜单与桌面上看到软件的快捷方式。同时，计算机中也会注册该软件的相关信息。如关联的文件等。用户只要点击“开始菜单”或桌面上的快捷方式时，计算机就会自动下载安装次软件。但与发行给用户不同的是，用户可以删除此软件，但是，下次登陆时，它还是会出现，意思是说，它是阴魂不散的。除非管理员删除了它或者你安装了它。 第三种是指派给计算机。选择此方式，用户不用手动执行，计算机会在启动时，自动下载并安装此软件。用户不能删除此软件，只有管理员有此特权。 下面是我简单作的一个部署方法区分表 执行方式发行给用户指派给用户指派给计算机 生效时间下次登陆域下次登陆域下次启动计算机 完整的软件触发时机用户从“添加与删除程序”安装第一次点击快捷方式计算机启动自动安装 是否出现快捷方式否是是 何种身份删除软件发行的对象指派的对象系统管理员

(2)组策略的配置及使用

一、实验名称 组策略的配置及使用 二、实验类型 验证性实验 三、实验目的 通过对服务器进行本地安全策略的配置，使学生掌握组策略的概念，配置组策略的方法，及使用组策略配置用户、配置计算机及配置软件的具体实例操作。 四、实验内容 （1）通过控制台访问组策略 （2）对用户设置密码策略 （3）对用户设置登录策略 （4）退出系统时清除最近打开的文件的历史 五、相关知识 1、组策略对象的类型 组策略对象有两种类型：本地和非本地。 本地组策略对象：对于每台运行Windows 2000以上操作系统的计算机，无论该计算机是否连接在网络上，或者是否是Active directory环境的一部分，它都存储着一个本地组策略对象。然而，若计算机处在Active directory的网络中，那么非本地组策略对象将覆盖本地组策略对象，从而将本地组策略对象对系统的影响降到最小。在非网络环境中，或非Active directory中，由于本地组策略对象的设置并没有被非本地组策略对象覆盖，所以仍然可以发挥作用。 非本地组策略对象：非本地组策略对象是与Active directory对象联系起来使用的。非本地组策略对象也可以应用于用户或计算机。如果要使用非本地组策略对象，那么必须在网络中安装一台域控制器。根据Active directory服务的属性，系统会分层次地应用非本地组策略对象中的策略。 2、组策略模板 组策略模板（GPT）是域控制器上SYSVOL文件夹中的一个目录层次结构。该文件夹是一个共享文件夹，其中存储着域中公共文件的服务器拷贝，这些拷贝来自域中所有的域控制器。当创建一个组策略对象时，服务器会创建一个相应的组策略模板文件夹层次结构。组策略模板包含了所有的组策略设置和信息，包括管理模板、安全设置、软件安装、脚本和文件夹重

使用组策略部署软件

需要注意的是已发布的方法只能部署到用户，不能部署到计算机上，也就是说只有组策略中的用户配置可以使用这种部署方法。已发布软件部署方法可以保证： 1、当用户登录计算机时，软件并不会自动安装，只有当用户双击与应用程序关联的文件时，软件才会自动安装。如我们双击一个ppt 文档或doc文档时，会自动安装OFFICE。 2、对于发布的软件，用户可以在控制面板中的“添加/删除”中安装或者删除，也就是说用户自己可以安装，也可以卸载。 这种部署方法的好处在于，对于一些不能确定使用用户的软件，可以以发布方法部署，是否安装由用户自己决定。 配置方法如下： 1、右击“用户配置”中的“软件安装”，选择“新建”，然后单击“程序包”。在“打开对话框”中选定“软件分发点”中的MSI包文件，然后单击“打开”。 2、在选择部署方法中，选定“已发布”。

已指派的方法可以将软件部署给用户和计算机，也就是说组策略中的用户策略与计算机策略都可以使用这种部署方法。这一点需要与发行方法区别开。 当我们使用此方法将软件指派给用户时可以保证： 1、软件对用户总是可用的，不管用户从哪一台计算机登陆，软件都将会在开始菜单或桌面上出现，但这时软件并没有被安装，只有在用户双击应用程序图标或与应用程序关联的文件时，软件才会被安装。 2、如果用户删除了安装的软件，哪么当用户下次登录时软件还会出现在开始菜单或是桌面上，并在用户双击关联文件时被激活安装。 这种部署的好处在于，对于一些不常用的，但某些人却必须要使用的软件我们没有必要在每台计算机都安装，只要指派给需要的用户，不管这个用户在哪台计算机上操作，都能保证要使用的软件是可用的。 方法如下： 1、右击“用户配置”中的“软件安装”，选择“新建”，然后单击“程序包”。在“打开对话框”中选定“软件分发点”中的MSI包文件，然后单击“打开”。 2、在选择部署方法中，选定“已指派”。 当我们使用此方法将软件指派给用户时可以保证： 1、对于被指派的计算机，软件总是可用的，无论哪个用户登录都可以使用被指派的软件。 2、软件不会通过文件关联安装，而是在计算机启动时被安装。 3、用户不能删除被指派安装的软件，只有管理员才可以。 这种部署方法的好处在于，可以将一些大家都要用到的软件指派给计算机，被指派安装在计算机上的软件对于所有用户都是可用的。 配置方法如指派给用户的步骤，只是将“用户配置”改为“计算机配置”即可。 三、改变部署的软件包选项 在用组策略部署一个软件后，可以修改待部署的软件包的选项以适应我们的需要： 1、点击软件安装，在右边找到待部署的软件包，点击右键选择属性，在出现的对话框中选择部署，如图。

使用组策略限制软件运行示例

组策略之软件限制策略——完全教程与规则示例 导读 注意：如果你没有耐心或兴趣看完所有内容而想直接使用规则的话，请至少认真看一次规则的说明，谢谢实际上，本教程主要为以下内容： 理论部分： 1.软件限制策略的路径规则的优先级问题 2.在路径规则中如何使用通配符 3.规则的权限继承问题 4.软件限制策略如何实现3D部署（配合访问控制，如NTFS权限），软件限制策略的精髓在于权限，部署策略同时，往往也需要学会设置权限 规则部分： 5.如何用软件限制策略防毒（也就是如何写规则） 6.规则的示例与下载 其中，1、2、3点是基础，很多人写出无效或者错误的规则出来都是因为对这些内容没有搞清楚；第4点可能有 点难，但如果想让策略有更好的防护效果并且不影响平时正常使用的话，这点很重要。 如果使用规则后发现有的软件工作不正常，请参考这部分内容，注意调整NTFS权限 理论部分 软件限制策略包括证书规则、散列规则、Internet 区域规则和路径规则。我们主要用到的是散列规则和路径规则，其中灵活性最好的就是路径规则了，所以一般我们谈到的策略规则，若没有特别说明，则直接指路径规则。 或者有人问：为什么不用散列规则？散列规则可以防病毒替换白名单中的程序，安全性不是更好么？ 一是因为散列规则不能通用，二是即使用了也意义不大——防替换应该要利用好NTFS权限，而不是散列规则，要是真让病毒替换了系统程序，那么再谈规则已经晚了

一.环境变量、通配符和优先级 关于环境变量（假定系统盘为C盘） %USERPROFILE% 表示C:\Documents and Settings\当前用户名 %HOMEPATH% 表示C:\Documents and Settings\当前用户名 %ALLUSERSPROFILE% 表示C:\Documents and Settings\All Users %ComSpec% 表示C:\WINDOWS\System32\cmd.exe %APPDATA% 表示C:\Documents and Settings\当前用户名\Application Data %ALLAPPDATA% 表示C:\Documents and Settings\All Users\Application Data %SYSTEMDRIVE% 表示C: %HOMEDRIVE% 表示C: %SYSTEMROOT% 表示C:\WINDOWS %WINDIR% 表示C:\WINDOWS %TEMP% 和%TMP% 表示C:\Documents and Settings\当前用户名\Local Settings\Temp %ProgramFiles% 表示C:\Program Files %CommonProgramFiles% 表示C:\Program Files\Common Files 关于通配符： Windows里面默认

View部署09：View组策略优化配置

View组策略优化配置 1。从Connection Server安装目录复制View ADM策略模板到域服务器(主机A) 2.在域服务器上，运行组策略管理,新建组策略对象View GPO 3.拖动View GPO到VM Computer和View User,将此组策略应用到OU。 完成结果如下：

4．编辑View Group组策略 添加完成结果如下： 5.编辑PCoIP组策略，优化PCoIP通信 （请认真领会优化参数的功能设置，以备考察！） (1)如果网络带宽较低（如Internet)，建议关闭无损传输功能 说明：无损传输功能默认开启，关闭此功能可节约带宽。 在高带宽网络（如内部网）启用无损传输可获得更好地的图像和桌面效果。

（2）根据网络性能，设置合适的客户端图像缓存大小，减少图像重传量。 说明：控制PCoIP客户端图像缓存的大小。客户端使用图像缓存来存储之前传送的显示部分。图像缓存减少了重传的数据量。未配置或禁用此设置时，PCoIP使用默认250MB的客户端图像缓存大小。启用此设置后，可以自定义配置客户端图像缓存的大小50MB至300MB。 （3）根据网络性能，设置合适的图像质量和帧率 说明：这些数据控制在网络拥挤期间PCoIP如何呈现图像，根据网络性能自己调整！ 最低图像质量（值：30-100，默认为50）：较低的值支持较高帧速率，但是可能会导致显示质量降低。较高的值支持较高的图像质量，但在网络带宽受限时可能会导致帧速降低。当网络带宽不受限时，无论值设置如何，PCoIP均保持最高质量。 最大图像质量（值：30-100，默认为90）：显示图像更改区域的初始质量，可降低PCoIP所要求的网络带宽峰值。较低的值会降低变化内容的图像质量和峰值带宽要求。较高的值会提高变化内容的图像质量和峰值带宽要求。 最大帧率设置（值：1-120，默认为30）：每秒屏幕更新的次数，从而可以管理每位用户占用的平均带宽。 （4）根据网络性能，设置合适的PCoIP带宽上限 说明：指定PCoIP会话中的最大带宽（kbps），此带宽包括所有图像、音频、虚拟通道、USB以及控制PCoIP流量，默认值90000kbps。可防止服务器尝试以超过链接流量的速率进行传输，从而避免出现丢失数据包或用户体验下降现象。 （5）根据网络性能，设置合适的带宽最小量

Windows 安全配置规范

Windows 安全配置规范 2010年11月

第1章概述 1.1适用范围 本规范明确了Windows操作系统在安全配置方面的基本要求，可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。 适用于中国电信所有运行的Windows操作系统，包括Windows 2000、Windows XP、Windows2003, Windows7 , Windows 2008以及各版本中的Sever、Professional版本。 第2章安全配置要求 2.1账号 编号：1 要求内容应按照不同的用户分配不同的账号，避免不同用户间共享账号，避 免用户账号和设备间通信使用的账号共享。 操作指南1、参考配置操作 进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用 户和组”： 根据系统的要求，设定不同的账户和账户组。 检测方法1、判定条件 结合要求和实际业务情况判断符合要求，根据系统的要求，设定不 同的账户和账户组 2、检测操作 进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用 户和组”：

查看根据系统的要求，设定不同的账户和账户组编号：2 要求内容应删除与运行、维护等工作无关的账号。 操作指南1．参考配置操作 A）可使用用户管理工具： 开始-运行-compmgmt.msc-本地用户和组-用户B）也可以通过net命令： 删除账号：net user account/de1 停用账号：net user account/active:no 检测方法1.判定条件 结合要求和实际业务情况判断符合要求，删除或锁定与设备运行、维护等与工作无关的账号。 注：主要指测试帐户、共享帐号、已经不用账号等 2.检测操作 开始-运行-compmgmt.msc-本地用户和组-用户 编号：3 要求内容重命名Administrator；禁用guest（来宾）帐号。 操作指南1、参考配置操作 进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用 户和组”： Administrator－>属性－> 更改名称 Guest帐号->属性－> 已停用 检测方法1、判定条件 缺省账户Administrator名称已更改。 Guest帐号已停用。 2、检测操作 进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用 户和组”： 缺省帐户－>属性－> 更改名称

远程修改组策略

远程修改组策略 由于管理员的误操作导致了本地策略拒绝所有人登录，如何恢复呢？今天我们就来做这个实验！ 首先，我们要做一下的准备工作： 1. 选定两台虚拟机Florence(IP;19 2.168.12.101)和Berlin(IP:192.168.12.103)进行实验。 2.对Berlin进行设置，使得任何用户都无法登录。 （1.）在Berlin上，点击开始/运行，输入Gpedit.msc, 运行后会出现本地计算机组策略编辑器，然后点击windows设置/安全设置/本地策略/用户权限分配，如下图所示：

打开以后我们就可以找到拒绝本地登录这一项了，双击打开 打开后点击添加用户和组，把User用户添加进去

点击确定后，注销计算机。 任何的用户都无法登录了，甚至就连大名鼎鼎的管理员也无法登录了！ OK！实验正式开始了！ 我们用Florence远程登录进行对Berlin进行修复。但是远程登录需要目标计算机开启telnet服务，但计算机默认的telnet服务是关闭的，首先我们要连接到Berlin手动将telnet服务启动起来。 Florence中，右键点击我的电脑，打开计算机管理，然后右键点击：计算机管理（本地）——连接到另一台计算机，如下图：

在选择计算机中输入Berlin的IP地址，然后点击确定。 然后的服务中找到Telnet，

手动启动起来。 OK！我觉得现在的准备工作才算完成了！接下来我们要用Telnet 把Berlin连接过来。 在Florence中，点击开始/运行，输入cmd

键入telnet 192.168.12.103 在C:\>提示符下，键入secedit /export /cfg c:\sectmp.inf，导出它的当前安全设置。 完成以后不用着急关闭该提示符。

组策略禁止客户端软件安装及使用

用组策略彻底禁止客户端软件安装及使用 我们企业网络中，经常会出现有用户使用未授权软件的情况。比如，有些可以上网的用户使用QQ等聊天工具；而这往往是BOSS们所不想看到的东西。所以限制用户使用非授权软件的重任就落到我们IT部头上了。其实，限制用户安装和使用未授权软件，对于整个公司的网络安全也是有好处的，做了限制以后，有些病毒程序也不能运行了。下面我们就来看看怎样通过组策略来限制用户安装和使用软件： 一、限制用户使用未授权软件 方法一： 1. 在需要做限制的OU上右击，点“属性”，进入属性设置页面，新建一个策略，然后点编辑，如下图： 2. 打开“组策略编辑器”，选择“用户配置”->“管理模板”->“系统”，然后双击右面板上的“不要运行指定的Windows应用程序”，如下图：

3. 在“不要运行指定的Windows应用程序属性”对话框中，选择“已启用”，然后点击“显示”，如下图：

4. 在“显示内容”对话框中，添加要限制的程序，比如，如果我们要限制QQ，那么就添加QQ.exe，如下图： 5. 点击确定，确定…，完成组策略的设置。然后到客户端做测试，双击QQ.exe，如下图所示，已经被限制了。

不过，由于这种方式是根据程序名的。如果把程序名改一下就会不起作用了，比如我们把QQ.exe改为TT.exe，再登录，如下图，又可以了。看来我们的工作还没有完成，还好Microsoft还给我们提供了其它的方式，接下来我们就用哈希规则来做限制。 6. 打开“组策略编辑器”，选择“用户配置”->“Windows设置”->“安全设置”->“软件限制策略”，右击“软件限制策略”，选择“创建软件限制策略”，如下图：