windows系统客户机管理的安全策略

时间：2023-01-12 08:11:18 其他范文收藏本文下载本文

以下是小编为大家准备的windows系统客户机管理的安全策略，本文共8篇，欢迎大家前来参阅。

windows系统客户机管理的安全策略

篇1：windows系统客户机管理的安全策略

window系统管理中管理员要实现对客户机的管理，战略恐怕是最主要的利器，下面我就对我平时罕见的战略做下分析理清各个策略之间的关系及其在实际中的应用.

1.组策略：什么是组策略呢？组策略是一个允许执行针对用户或计算机进行配置的基础架构，这是最常用的组策略中我可以制定各种规章制度，其中计算机配置是针对所用登陆到计算机的用户都生效和用户配置则是针对系统的当前用户，管理员在运用过程中主要是运用gpmc来实现对域模式下计算机的管理，中gpmc这个工具要去微软官网下载，则是系统集成的组策略和A ctivDirectory结合使用，可以安排在OU站点和域的级别上，当然也可以部署在外地计算机上，但部署在外地计算机并不能使用组策略中的全部功能，只有和A ctivDirectory配合，组战略才可以发挥出全部潜力。组策略部署在不同级别的优先级是不同的外地计算机<站点<域

组战略管理可以通过组战略编辑器和组策略管理控制台（GPMC组策略编辑器是Windows操作系统中自带的组策略管理工具，可以修改GPO中的设置。GPMC则是功能更强大的组策略编辑工具，GPMC可以创立，管理，安排GPO最新的GPMC可以从微软网站下载。推荐大家运用gpmc进行管理，打开结构化的管理面板，即体现出整个域的结构，又直观的表示出组策略的层次感。GPMC 中具体的战略写好了并不影响具体对象 OU站点域）要连接到具体的OU上当前的GPO才会生效。链接起来很容易，只需要拖拽住一条GPO某一个对象（OU站点、域）上就可以了可以运用组策略来实现软件的分发，桌面的统一，补丁的管理，及其注册表限定USB禁用等功能。

2. 外地战略，域控制器策略，域策略：大家可能有时候分不清其中的关系，给大家解释下，外地战略是针对当前计算机的刚安装还系统时，就自动生成，可以用 administr进入进行相应的设置。下面2个策略则是针对ad环境下的其中域控制器策略是针对dc设置的只对dc生效，而域策略则是针对当下域环境下所有的机器。成员计算机和域的设置项冲突时，域安全策略生效，域控制器和域的设置项冲突时，域控制器安全策略生效。

下面我就举个例子说下本地安全策略的各个选项的意思

打开计算机-顺序-管理-外地平安战略

1.账户战略：密码战略;主要设定用户登录密码的复杂水平

账户锁定战略：帐户锁定阈值：就是设定用户在输入错误密码的情况下，可以登录几次

帐户锁定时间：顾名思义就是账户锁定的时间，要过多长时间这个账户才可以从新登录

复位帐户锁定计数器：记录用户登录输入密码错误的次数

如我设定帐户锁定阈值为3帐户锁定时间30分钟复位帐户锁定计数器2意思是输入3次密码错误的情况下，再输入错误了账户锁定30分钟，只有两次这样连续输入3次密码错误的机会。

2.外地战略：审核战略：主要是一些事件记录

用户权利指派：把用户加入不同的组，使之有不同权限，如我把用户张三加入administratior组，张三就有了管理员的权限c平安选项：系统的一些关于安全的自定设置，如交互登录其实3者策略分关系是相关的可以通过在具体运用中自己总结些相关的知识，总之知识出于运用，大家明白其中的道理再在这基础上做实验，相信大家会有不一样的收获，不推荐大家跟着一些教程的东西一步步跟着去做，可能做完这个你会了转下问题你又不会做了理解原理，综合运用，这是推荐大家学习网络的方法

其实3者策略分关系是相关的可以通过在具体运用中自己总结些相关的知识，总之知识出于运用，大家明白其中的道理再在这基础上做实验，相信大家会有不一样的收获，不推荐大家跟着一些教程的东西一步步跟着去做，可能做完这个你会了转下问题你又不会做了理解原理，综合运用，这是推荐大家学习网络的方法

篇2：客户机无法访问windows的资源Windows系统

排除问题的方法很简单，我们在用户管理中使用Guest用户就可以解决这个麻烦，

客户机无法访问windows2000的资源Windows系统

，

首先点击“控制面板→用户和密码”，然后选择“高级”，点击User文件夹，在右边的Guest上点击右键进行属性设置，在常规选项中将Aclearcase/“ target=”_blank“ >ccount disabled前面的对勾去掉。好了，你的问题就解决了！

原文转自：www.ltesting.net

篇3：windows 远程桌面安全策略

windows的远程桌面虽然用起来比较方便，但其安全性和资源占用比起SSH还是有不少的差距，

想到的安全策略有一下几个：

1、更改默认端口号

终端服务默认使用知名端口号3389，很显然大家都知道这个端口是做什么的，所以改端口号可以躲过很多的机器扫描。可以从终端服务本机上修改默认端口号，如果有防火墙做NAT，那更简单了，NAT后的端口号别用3389就是了。

2、设置复杂密码

现在的GPU处理能力十分恐怖，所以密码位数少了就不安全了，大小写字母和数字组合的12位密码目前还基本够用。远程桌面竟然不支持CA证书验证登录，这点不如SSH了。SSH设置成2048位RSA证书登录，禁止口令登录，禁止root登录，就相当的安全了。

3、限制登录尝试次数

修改组策略，“计算机配置->windows设置->安全设置->账户策略->账户锁定策略”，“账户锁定阈值”设置为10，也就是10次无效登录后就封锁对方IP，禁止其在一段时间内继续尝试登录，

“账户锁定时间”就是无效登录后多久才可以继续尝试登录。“复位账户锁定计数器”设置多长时间后复位“账户锁定阈值”，必须小于等于“账户锁定时间”。

4、禁止administrator用户远程桌面登录

administrator实在是太扎眼了，可以禁止其远程桌面登录，另设立一个管理员账户来执行远程登录任务，这样用户名和密码的组合就更复杂了，爆破的难度大大加大。

双击“计算机配置->Windows设置->安全设置->本地策略->用户权限分配->通过终端服务允许登录”，将Administrators账号删除掉，加入另设立的管理员账户即可。

5、加密远程桌面连接

默认情形下，远程桌面的数据链接是不加密的，十分危险有木有，容易被监听有木有。2003以后的windows版本可以使用SSL来加密远程桌面连接。

篇4：如何做好Windows 安全策略

为大家介绍一些常用的设置方法来为Windows 2000系统进行安全策略的设置从而起到安全保障的作用，

一、安全策略

Windows 2000系统本身就有很多安全方面的漏洞，这是众所周知的。通过打补丁的方法可以减少大部分的漏洞，但是并不能杜绝一些小漏洞，而往往这些小漏洞也是导致被攻击或入侵的重要途径。Windows 2000中自带的本地安全策略就是一个很不错的系统安全管理工具。这个工具可以说是系统的防卫工具往往一些必要的设置就能起到防范的作用，可别小看这个工具。下面就为大家介绍一些常用的设置方法来为系统进行安全策略的设置从而起到安全保障的作用。

二、具体操作

系统的本地安全策略这个工具是在，单击开始控制面板管理工具本地安全策略后，会进入本地安全策略的主界面。在此可通过菜单栏上的命令设置各种安全策略，并可选择查看方式，导出列表及导入策略等操作。

1.安全日志的设置：因为安全日志是记录一个系统的重要手段，因此通过日志可以查看系统一些运行状态，而Windows 2000的默认安装是不开任何安全审核的，因此需要在本地安全策略审核策略中打开相应的审核，

单击开始控制面板管理工具本地安全策略左边的本地策略审核策略，看到右栏有审核策略更改等9个项目，我们双击每个项目，然后在成功、失败的选框上进行选择。

2. 账号安全设置：Windows 2000的默认安装允许任何用户通过空用户得到系统所有账号和共享列表，造成一些密码容易泄漏而对电脑进行攻击，所以必须采用以下进行安全设置。单击开始控制面板管理工具本地安全策略本地策略账户策略，看到右栏有密码策略、账户锁定策略2个项目。

在密码策略中设置：启用密码必须符合复杂性要求，密码长度最小值为6个字符，强制密码历史为5次，密码最长存留期为30天。

在账户锁定策略中设置：复位账户锁定计数器为30分钟之后，账户锁定时间为30分钟，账户锁定值为30分钟。

3. 安全选项设置：单击开始控制面板管理工具本地安全策略本地策略安全选项，找到右栏对匿名连接的额外限制。双击对其中有效策略进行设置，选择不允许枚举SAM账号和共享(如图所示)。因为这个值是只允许非NULL用户存取SAM账号信息和共享信息，一般选择此项。

经过这样设置后，你的系统就安全很多了特别是账户的安全和密码的安全，有效防止一些非法的入侵。不但可以通过查看日志来监控系统的一些运行方面的重要信息。还对账户的登录有了清晰的掌握。

篇5：Windows 安全策略常用设置方法

为大家介绍一些常用的设置方法来为Windows 2000系统进行安全策略的设置从而起到安全保障的作用，

一、安全策略

Windows 2000系统本身就有很多安全方面的漏洞，这是众所周知的。通过打补丁的方法可以减少大部分的漏洞，但是并不能杜绝一些小漏洞，而往往这些小漏洞也是导致被攻击或入侵的重要途径。Windows 2000中自带的“本地安全策略”就是一个很不错的系统安全管理工具。这个工具可以说是系统的防卫工具往往一些必要的设置就能起到防范的作用，可别小看这个工具。下面就为大家介绍一些常用的设置方法来为系统进行安全策略的设置从而起到安全保障的作用。

二、具体操作

图1

系统的“本地安全策略”这个工具是在，单击“开始→控制面板→管理工具→本地安全策略”后，会进入“本地安全策略”的主界面。在此可通过菜单栏上的命令设置各种安全策略，并可选择查看方式，导出列表及导入策略等操作。

1.安全日志的设置：因为安全日志是记录一个系统的重要手段，因此通过日志可以查看系统一些运行状态，而Windows 2000的默认安装是不开任何安全审核的，因此需要在本地安全策略→审核策略中打开相应的审核。单击“开始→控制面板→管理工具→本地安全策略→左边的本地策略→审核策略”，看到右栏有“审核策略更改”……等9个项目，我们双击每个项目，然后在“成功、失败”的选框上进行选择，

2. 账号安全设置：Windows 2000的默认安装允许任何用户通过空用户得到系统所有账号和共享列表，造成一些密码容易泄漏而对电脑进行攻击，所以必须采用以下进行安全设置。单击“开始→控制面板→管理工具→本地安全策略→本地策略→账户策略”，看到右栏有“密码策略、账户锁定策略”2个项目。

在密码策略中设置：启用“密码必须符合复杂性要求”，“密码长度最小值”为6个字符，“强制密码历史”为5次，“密码最长存留期”为30天。

在账户锁定策略中设置：“复位账户锁定计数器”为30分钟之后，“账户锁定时间”为30分钟，“账户锁定值”为30分钟。本文来自bianceng.cn(学电脑)

3. 安全选项设置：单击“开始→控制面板→管理工具→本地安全策略→本地策略→安全选项”，找到右栏“对匿名连接的额外限制”。双击对其中有效策略进行设置，选择“不允许枚举SAM账号和共享”(如图所示)。因为这个值是只允许非NULL用户存取SAM账号信息和共享信息，一般选择此项。

图2

篇6：win7系统如何打开安全策略

方法一：

1、点击Win7系统任务栏开始菜单，然后在开始菜单上选择进入“控制面板”;

2、接着在打开的控制面板窗口上，点击“系统和安全”-“管理工具”;

3、接着在管理工具面板上打开“本地安全策略”，

win7系统如何打开安全策略

，

方法二：

1、点击菜单，然后在开始菜单搜索框中输入“运行”，打开运行窗口;

2、在运行窗口中输入ecpol.msc命令，再回车打开本地安全策略。

以上两种操作方法可以快速打开Win7系统本地安全策略。

篇7：Windows 命令灵活管理系统

系统管理软、网络维护这样的软件多如牛毛，你选择那一款？其实我们没有必要舍近求远，去下载安装哪些大型的软件，Windows为我们提供了非常方便的命令，运用这些命令可以非常方便地完成你的任务。下面笔者就介绍三个非常实用的网络管理系统命令。

1、发布消息

命令：net send

功能：使用该命令也可以向局域网内的用户发送消息，比如通知会议，通告任务。

格式：net send IP地址（计算机名）“消息内容”

应用实例：

假如要给IP地址为192.168.1.10的电脑发送“还有5分钟就下班关闭服务器了”的消息，只需在命令提示符下输入如下命令：net send 192.168.1.5 ”今天下午5点网络维护，服务器要关闭。管理员“稍等片刻，192.168.1.5的电脑桌面上将会弹出一个标题为“信使服务”的窗口，里面是你发送的消息。（图1）

提示：要使用该命名发布消息，对方的电脑必须开启Messenger服务，开启的方法是在命令提示符下输入：net start Messenger

2、收集信息

systeminfo

功能：远程获得局域网电脑的CPU、内存、网卡等配置信息，保存为文件，解放网管。

命令格式：

SYSTEMINFO ]]]

参数列表：

/S system 指定连接到的远程系统。

/U user 指定应该在哪个用户上下文执行命令。

/P 为提供的用户上下文指定密码。

/FO format 指定显示结果的格式，有效值： ”TABLE“、”LIST“、”CSV"。

应用实例：

在正式收集之前，我们首先需要在一台计算机上进行样本收集，以便于让网络里其它计算机进行参考。在一台Windows XP的计算机中打开“运行”窗口，输入“systeminfo /fo csv >c：\sysinfo.csv”，其中/fo的作用主要是指定输出结果的文件格式，命令执行时，在命令提示符中可以看到正在加载的项目，稍后片刻即会在C盘生成一个名为systeminfo.csv。双击文件在Excel中打开后，可以看到非常详细的系统信息（图2）。

现在我们就需要收集网络上其它计算机的系统信息，在正式收集之前还需要做一件事情，就是创建局域网计算机IP列表。在保存sysinfo.csv文件的目录下创建一个记事本，可将其命名为ip.txt，在其中输入局域网客户端的IP地址，每行一行。（图3）

做好这项工作之后，我们就可以返回命令提示符，在窗口中输入“for /f %a in （c：\ip.txt）do （systeminfo /s %a /u net\administrator /p test /fo csv /nh>>c：\sysinfo.csv）”，其中for的作用就是从ip.txt中获取目标地址，/u net\admin的作用就是指定域的管理员账户，/p pwd表示管理员账号的密码，在实际的使用中将其修改成自己网络中的信息，

（图4）

命令执行之后，我们再打开c：\sysinfo.csv下的文件，你就会发现网络中所有电脑的系统信息都在这里了，如图5。现在我们只需要将一些不需要的信息删除，保留所需的信息即可。其实，如果借助SMS等专业的服务，我们同样能够实现网络计算机信息的统计，但相比之下，只借助sysinfo一个小命令就能完成的事情，又何必自寻麻烦呢！（图5）

3、用户监控

Tasklist

功能：命令用来显示运行在本地或远程计算机上的所有进程，可以监控用户的操作。

命令格式：

Tasklist ]]] | /SVC | /V]

参数含义

/S system 指定连接到的远程系统。

/U user 指定使用哪个用户执行这个命令。

/P 为指定的用户指定密码。

/M 列出调用指定的DLL模块的所有进程。如果没有指定模块名，显示每个进程加载的所有模块。

/SVC 显示每个进程中的服务。

/V 显示详细信息。

应用实例：

在命令提示符下输入“Tasklist /s 192.168.1.8 /u administrator /p test”（不包括引号）即可查看到IP地址为192.168.1.8的远程系统的进程如图6。其中/s参数后的“192.168.1.8”指要查看的远程系统的IP地址，/u后的“administrator”指Tasklist命令使用的用户账号，它必须是远程系统上的一个合法账号，/p后的“test”指administrator账号的密码。（图6）

提示：使用Tasklist命令查看远程系统的进程时，需要远程机器的RPC服务的支持，否则，该命令不能正常使用。

4、结束进程

tskkill

Tskkill与Tasklist命令相对应，它是用来关掉进程的。大家都知道可以通过它来结束本机的进程，其实它除了可以关闭本机的进程之外，还可以关闭远程电脑的进程，可以帮助管理员控制局域网用户运行某些程序。例如我们要关闭局域网192.168.1.8主机的QQ.exe进程，可以采用两种方法：

方法一：

先使用Tasklist查找它的PID，我们从图6看到QQ.EXE进程的PID值为892，然后运行：Taskkill /F /pid 1132”命令即可。其中“/pid”参数后面是要终止进程的PID值，/F是强制结束。

方法二：

直接运行“Taskkill /F /IM QQ.exe”命令，其中“/IM”参数后面为进程的图像名。

总结：其实在系统中集成了一些非常实用的工具，只要灵活使用这些工具就能够解决大多数的问题，何必舍近求远冒着中毒的危险利用第三方工具呢？