广东XXXX职业学院
计算机工程技术学院(软件学院)
实验报告
专业计算机网络技术班级XXX 成绩评定______
学号XX 姓名XXX (合作者____号____) 教师签名XX
实验八题目本地安全策略第九周星期二第节
一、实验目的与要求(此栏实验前由老师填写)
◆创建和验证多重本地组策略的设置;
◆配置本地安全策略设置。
二、实验环境及方案(此栏实验前由老师填写)
实验环境:
主机硬件配置至少1G内存,15G以上的空余硬盘空间,然后要求在主机上安装Oracle VM VirtualBox 4.1.8,利用它配置至少一台虚拟机,安装windows 7企业版客户机,并准备好相应的windows 7安装盘或对应ISO文件。
实验说明:
1.计算机启动时所启动的操作系统称为主机,在虚拟机上安装的操作系统称
为客户机;
2.启动客户机后,如果想操作客户机,只需用鼠标点击客户机桌面就可以;
如果要回到主机操作,可以按下键盘右边ctrl键。
3.也可以通过安装增强功能来实现在主机与客户机之间自由地切换
4.客户机的管理员kgy帐号的登录密码:P@ssw0rd
5.实验所需的各种资料在共享文件夹中找
6.请把实验过程的关键操作屏幕的图片剪切下来,贴在相应实验内容后面,
以备检查。(截屏方法:如果要截全屏,直接按屏幕打印键;如果只截当前屏幕,请按Alt+屏幕打印键)
7.完成后,请将实验结果文件命名为:“班内序号_姓名_第几次实验”,如张
三班内序号为18号、实验一的结果文件可命名为:“18_张三_1.doc” ;再如李四班内序号为8号、实验六的结果文件可命名为:“08_李四_6.doc”
三、实验内容(将每项实验内容的具体操作步骤及相关截图存放于实验结果
栏中)
(一)创建和验证多重本地组策略的设置
1、以administrator登录计算机,创建自定义管理控制台,分别选择本地计算机、Administrators和非管理员为组策略对象,保存到桌面并命名为Multiple Local Group Policy Editor;
2、配置本地计算机策略
●在本地计算机策略中配置windows登录脚本,添加一个登录脚本文件,
脚本文件名称为computerscript.vbs,脚本内容为msgbox “Default Computer Policy”;
3、配置本地计算机管理员策略
●在本地计算机\Administrators策略中配置windows登录脚本,添加一个
登录脚本文件,脚本文件名称为administratorscript.vbs,脚本内容为msgbox “Default Administrator’s Policy”;
4、配置本地计算机非管理员策略
●在本地计算机\非管理员策略中配置windows登录脚本,添加一个登录
脚本文件,脚本文件名称为userscript.vbs,脚本内容为msgbox “Default User’s Policy”;
5、测试多重本地组策略
●添加一普通用户test,然后使用该用户登录,查看应用本地策略后用户
登录时是否能收到消息框和响应提示,内容是什么?
●使用管理员帐户kgy登录,查看应用本地后管理员登录时是否能收到消
息框和响应提示,内容是什么?
6、讨论:将不同级别的本地组策略(本地组策略对象、管理员和非管理员本地组策略对象、特定用户的本地组策略对象)应用于单机计算机上的本地用户,它们的处理顺序是怎样?
7、以administrator登录计算机,打开Multiple Local Group Policy Editor,删除之前添加的非管理员策略、Administrators策略和本地计算机策略中的登录脚本。
(二)配置本地安全策略设置
1、为提高系统安全性,通过组策略设置强制用户的密码长度最少8位、密码的设置必须符合复杂性的要求、密码最长使用期限为30天;(提示:计算机配置→Windows 设置→安全设置→账户策略→密码策略),设置完成后请创建用户testpassword,密码为空,是否能创建成功?为何?
2、为了防止入侵者恶意猜解密码,通过组策略设置系统在登录失败达到3次后强行锁定账户,账户锁定时间为45分钟,重置账户锁定计数器在45分钟之后;(提示:计算机配置→Windows 设置→安全设置→账户策略→账户锁定策略),设置完成后请以testpassword连续使用三次空密码尝试登录,是否能正常登录?如登录失败会出现什么提示?
3、Windows 7系统能记录下用户的登录信息,通过设置组策略,让系统在每次用户登录时显示前后两次登录的时间以作一对比,如果发现时间不一致,就说明有人曾经试图非法登录过该账户。(提示:计算机配置→管理模板→Windows 组件→Windows登录选项→在用户登录期间显示有关以前登录的信息),设置完成后请以test登录测试,查看登录界面显示的信息。
4、系统盘中有重要的系统文件,设置C盘驱动器对非管理员用户隐藏不可见(提示:用户配置→管理模板→Windows组件→Windows资源管理器→隐藏“我的电脑”中这些指定的驱动器),设置完成后请以test登录测试是否能查看到C 盘。如果要防止非管理员用户对C盘文件进行修改或移动,禁止非管理员用户访问C盘文件,应如何设置?尝试设置,设置完成后请进行验证。
5、公司不允许员工使用聊天工具,通过设置用户test组策略限制该用户使用QQ聊天工具(提示:用户配置→Windows设置→安全设置→软件限制策略→其他规则,新建哈希规则),设置完成后请以test身份登录,查看是否能运行QQ软件,尝试修改QQ文件名后再运行,是否能使用?
(三)综合应用实例
场景:公司希望从计算机上删除某些默认的程序图标,如“图片”和“音乐”。用户和管理员将在多重本地组策略的帮助下,删除不同的图标。
本实例主要任务:
●为多用户配置本地策略;
?配置本地计算机\非管理员策略从开始菜单中删除音乐和图片图标;
(提示:用户配置→管理模板→“开始”菜单和任务栏)
?配置本地计算机\Administrator策略从开始菜单中删除“文档”图标;
(提示:用户配置→管理模板→“开始”菜单和任务栏)
●测试多用户的本地策略。
?以test身份登录确认开始菜单中是否有音乐和图片的图标;
?以kgy身份登录确认开始菜单中是否有文档的图标。
四、思考题(由老师在上机前出好题目,学生通过实验后再回答)
1、windows 7如何解决策略设置之间出现的冲突问题?
五、实验结果(学生填写)
创建和验证多重本地组策略的设置
1、以administrator登录计算机,创建自定义管理控制台,分别选择本地
计算机、Administrators和非管理员为组策略对象,保存到桌面并命名
为Multiple Local Group Policy Editor;
2、配置本地计算机策略
在本地计算机策略中配置windows登录脚本,添加一个登录脚本文件,脚本文件名称为computerscript.vbs,脚本内容为msgbox “Default Computer Policy”;
文本内容:
显示效果:
3、配置本地计算机管理员策略
在本地计算机\Administrators策略中配置windows登录脚本,添加一个登录脚本文件,脚本文件名称为administratorscript.vbs,脚本内容为msgbox “Default Administrator’s Policy”;
显示效果:
4、配置本地计算机非管理员策略
在本地计算机\非管理员策略中配置windows登录脚本,添加一个登录脚本文件,脚本文件名称为userscript.vbs,脚本内容为msgbox “Default User’s Policy”;
显示效果:
5、测试多重本地组策略
添加一普通用户test,然后使用该用户登录,查看应用本地策略后用户登录时是否能收到消息框和响应提示,内容是什么?
使用管理员帐户kgy登录,查看应用本地后管理员登录时是否能收到消息框和响应提示,内容是什么?
6、讨论:将不同级别的本地组策略(本地组策略对象、管理员和非管理员本
地组策略对象、特定用户的本地组策略对象)应用于单机计算机上的本地用户,它们的处理顺序是怎样?
本地组策略-----》管理员和非管理员本地组策略对象------》特定用户的本地组策略对象
7、以administrator登录计算机,打开Multiple Local Group Policy Editor,删除之前添加的非管理员策略、Administrators策略和本地计算机策略中的登录脚本。
三合一:
(二)配置本地安全策略设置
1、为提高系统安全性,通过组策略设置强制用户的密码长度最少8位、密码
的设置必须符合复杂性的要求、密码最长使用期限为30天;(提示:计算机配置→Windows 设置→安全设置→账户策略→密码策略),设置完成后请创建用户testpassword,密码为空,是否能创建成功?为何?
在查找中输入“gpedit.msc”,然后打开它;定位到
创建用户“testpassword”时出现:
在后面再次创建该用户,并且密码为:P@ssw0rd
2、为了防止入侵者恶意猜解密码,通过组策略设置系统在登录失败达到
3次后强行锁定账户,账户锁定时间为45分钟,重置账户锁定计数器
在45分钟之后;(提示:计算机配置→Windows 设置→安全设置
→账户策略→账户锁定策略),设置完成后请以testpassword连续使用
三次空密码尝试登录,是否能正常登录?如登录失败会出现什么提
示?
定位到“计算机配置→Windows 设置→安全设置→账户策略→账户锁定策略”
连续使用三次空密码尝试登录,不能正常登录,且出现提示:
3、Windows 7系统能记录下用户的登录信息,通过设置组策略,让系统
在每次用户登录时显示前后两次登录的时间以作一对比,如果发现时间不一致,就说明有人曾经试图非法登录过该账户。(提示:计算机配置→管理模板→Windows组件→Windows登录选项→在用户登录期间显示有关以前登录的信息),设置完成后请以test登录测试,查看登录界面显示的信息。
4、系统盘中有重要的系统文件,设置C盘驱动器对非管理员用户隐藏不
可见(提示:用户配置→管理模板→Windows组件→Windows资源管理器→隐藏“我的电脑”中这些指定的驱动器),设置完成后请以test 登录测试是否能查看到C盘。如果要防止非管理员用户对C盘文件
进行修改或移动,禁止非管理员用户访问C盘文件,应如何设置?尝试设置,设置完成后请进行验证。
在测试中这次即使在命令提示符中也打不开
5、公司不允许员工使用聊天工具,通过设置用户test组策略限制该用户
使用QQ聊天工具(提示:用户配置→Windows设置→安全设置→软件限制策略→其他规则,新建哈希规则),设置完成后请以test身份登录,查看是否能运行QQ软件,尝试修改QQ文件名后再运行,是否能使用?
修改时的对话框:
成功后显示:
在test用户中打开时,显示:
(三)综合应用实例
场景:公司希望从计算机上删除某些默认的程序图标,如“图片”和“音乐”。
用户和管理员将在多重本地组策略的帮助下,删除不同的图标。
本实例主要任务:
●为多用户配置本地策略;
?配置本地计算机\非管理员策略从开始菜单中删除音乐和图片图标;
(提示:用户配置→管理模板→“开始”菜单和任务栏)
从开始菜单中删除音乐图标:
从开始菜单中删除图片图标
本地安全策略无法打开 打开管理工具中[本地安全策略]时出现“管理单 元初始化失败”或“创建管理单元失败”的错误提示,然后 给了个“ CLSID:{8FC0B734-A0E1-11D1-A7D3- 0000F87571E3} ”的提示, 将位于%windir%\system32\wbem下的framedyn.dll拷贝至%windir%\system32 后,注册regsvr32 gpedit.dll和regsvr32 filemgmt.dll这两个文件如果都成功了,打开本地安全策略试试,如果不行按照下面的方法操作。 解决本地安全策略打不开的方法一: 1、解决的前提条件: 一是解决好系统的配置环境问题,由于安装软件导致系 统环境path被修改,所以需要改回来,方法是,打开系统 属性-高级-环境变量-修改path,值得说明的是xp不同版本 的稍有不同,大家可以打开相似的按钮看一下就找到了,修 改是比较简单的,只要在原来的path路径后面继续增加路 径就可以了,先加一分号“;”然后输入引号中的“% systemroot%\system32;%systemroot%;%systemroot% system32%\wbem”,你也可以增加类似的路径,这里就不多 说了。 二是确保两个文件的存在,如果没有可以拷贝到 windows目录下的system32目录下,这两个文件是
gpedit.msc和secpol.msc 。 2、如何调用,这里是很重要的一步,因为虽然该改的都改 了,该加的都加上了,但是目前为止还没有让将它们联系在 一起,或者说还没有注册到系统里. 不过不用担心,下面的步骤就可以解决这个难题了。 点-开始-运行-输入gpedit.msc-点确定,如果没有执 行,那么就直接去windows目录下的system32目录中直 接打开它好了。 然后,打开[控制面板]中的[本地安全策略]图标,你会发 现竟然出现了[计算机配置],双击[计算机配置],久违的 [安全设置]下面出现了[本地策略]。如果你喜欢修改下布 局,你还可以将右面的策略项排列成列表或详细信息等方 式。 解决本地安全策略打不开的方法二: 运行\ regedit\找到 HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC 将RestrictToPermittedSnapins 的值设置为 0,如果MMC 找不到可以这样: 直接将下面内容复制粘贴进入记事本,并保存为后缀名为.reg的文件,双击运行该.reg文件即可。 Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Policies\Microsoft\MMC] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Policies\Microsoft\MMC\{8FC0B734-A0E1-11D1-A7D3-0000F87571E3}] "Restrict_Run"=dword:00000000 [HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC] [-HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC\{8FC0B734-A0E1-11D1-A7D3-0000F87571E3}] "Restrict_Run"=dword:00000000
第一部分修改注册表 1.桌面显示ie8主图标 不要把快捷方式当成主图标啊 将以下代码储存为reg格式,双击导入注册表即可。请注意,如果你的系统不是安装在c盘下,请把里面所有的c盘盘符改为你的安装盘符。 Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desk top\NameSpace\{00000000-0000-0000-0000-100000000001}] @="Internet Explorer" [HKEY_CLASSES_ROOT\CLSID\{00000000-0000-0000-0000-100000000001}] @="Internet Explorer" [HKEY_CLASSES_ROOT\CLSID\{00000000-0000-0000-0000-100000000001}\DefaultIcon] @="C:\\Windows\\System32\\ieframe.dll,-190" [HKEY_CLASSES_ROOT\CLSID\{00000000-0000-0000-0000-100000000001}\shell] @="" [HKEY_CLASSES_ROOT\CLSID\{00000000-0000-0000-0000-100000000001}\shell\NoAdd Ons] @="无加载项(&N)" [HKEY_CLASSES_ROOT\CLSID\{00000000-0000-0000-0000-100000000001}\shell\NoAdd Ons\Command] @="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" -extoff" [HKEY_CLASSES_ROOT\CLSID\{00000000-0000-0000-0000-100000000001}\shell\Open] @="打开主页(&H)" [HKEY_CLASSES_ROOT\CLSID\{00000000-0000-0000-0000-100000000001}\shell\Open\ Command] @="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\"" [HKEY_CLASSES_ROOT\CLSID\{00000000-0000-0000-0000-100000000001}\shell\Set] @="属性(&R)" [HKEY_CLASSES_ROOT\CLSID\{00000000-0000-0000-0000-100000000001}\shell\Set\C ommand] @="\"C:\\Windows\\System32\\rundll32.exe\"
(由于是很多人编写汇总的,顺序有点儿乱,甚至有部分重复。) 1、选择合适的版本。Windows 7版本众多,但受众各不相同,举例说大多数商业用户选择专业版即可,而无需更贵的旗舰版,除非你需要BitLocker等功能。 2、别忘了64位版。Windows 7是微软第二套完整支持64位技术的系统,而且64位桌面环境也已经基本成熟,硬件、软件都差不多了。 3、Windows XP虚拟模式。一套带有Windows XP完整拷贝的Virtual PC虚拟机。这是虚拟化第一次全面走向普通用户,让人们可以在升级到Windows 7的同时保留完整的XP兼容性。Windows XP Mode RTM最终正式版将在22日Windows 7发售当天公开发布。 4、Windows PowerShell v2。不止是一个简单的命令行外壳,更是管理员期待已久的集成脚本环境(ISE),具备强大的分布式并行处理能力,可以借助新的远程功能轻松管理数百台计算机。快捷键Ctrl+Alt+I。目前只集成在 Windows 7中,不过半年后会发布用于Vista等旧系统的独立版本。 5、AppLocer。XP时代就有软件限制策略,AppLocker则是混合了黑白名单的软件运行限制功能,能增强甚至取代安全软件,确保只有你批准的软件能够执行。 6、在资源管理器和命令行之间切换。选中某个文件夹,按住Shift点击右键,即可出现在此处打开命令窗口,点击即可打开命令行窗口而且位置就是当前文件夹;如果在命令行里想开启资源管理器窗口而且焦点位于当前文件夹,输入start。(其实Vista也可以如此) 7、把问题录下来。碰到了麻烦想远程求助又不知道如何描述?问题步骤记录器(PSR)就能帮你把每次点击时的相应步骤和屏幕记录下来,甚至能够添加注释,最终生成一个MHTML文件并压缩,发送即可。
配置本地安全策略端口的保护 IP 安全策略设置方法 一、适用范围: 它适用于2000以上Windows系统的专业版;对家庭版的用户可以看一下是不是能通过:控制台(运行mm)-文件-添加/删除管理单元-添加-添加独立单元,添加上“ IP 安全策略管理”,如行的话则可在左边的窗口中看到“ IP 安全策略,在本地计算机”了,接下来的操作就跟专业版一样了。 二、找到“ IP 安全策略,在本地计算机”: “IP 安全策略,在本地计算机”选项在“本地安全设置”下,所以要找到它就打开“本地安全设置”的方法,主要采用以下两种方法来打开:1是点“开始”-“运行” -输入 secpol.msc ,点确定;2 是“控制面板”-“管理工具”-“本地安全策略”。打开“本地安全策略”对话框就能在左边的窗口中看到“ IP 安全策略,在本地计算机”了。右击它,在它的下级菜单中能看到“创建IP 安全策略”和“管理IP 筛选器表和筛选器操作”等菜单(也可以在此级菜单中的“所有任务”项的下级菜单中看到上面的两个菜单)。 三、建立新的筛选器: 1、在“ IP 安全策略,在本地计算机”的下级菜单中选择“管理IP 筛选器和筛选器操作”菜单,打开“管理IP 筛选器和筛选器操作”对话框,里面有两个标签:“管理IP 筛选器列表”和“管理筛选器操作”。选择“管理IP 筛选器列表”标签,在“ IP 筛选器列表”下的文本框下面能看到三个按钮:“添加”、“编辑”和“删除”。 2、点“添加”按钮,打开叫做“ IP筛选器列表”的对话框,里面有三个文本框,从上到下分别是:“名称”、“描述”和“筛选器”。在“名称”和“描述”文本框右边,能看到“添加”、“编辑”和“删除”三个按钮(对没有内容的筛选器而言,它的 “编辑”和“删除”按钮不可用),在这三个按钮下有一个复选框,复选框后面有“使用‘添加向导'”这样的文本说明。 3、取消默认的对“使用‘添加向导'”的勾选,在“名称”下面的文本框中把默认的“新IP 筛选器列表”修改成下面要建立的筛选器列表的名称,我们这里先输入: “病毒常驻端口”,在“描述”下面的空白文本框中输进去“病毒常驻端口”后面的全部
Windows7通过组策略禁止使用移动存储设备 现在移动存储设备的使用越来越广泛,但随之而引发的是泄密和感染病毒等问题。虽然可以通过设置BIOS或封死计算机上的USB接口的“硬”方法防范风险发生,不过同时也意味着计算机将无法使用其他USB接口的设备,例如最常见的键盘的鼠标。因此怎样使用一些更加“温和”的方法限制某个特定或者某类硬件的安装成了一个很多人关心的问题。 在Windows 7中使用组策略就可以完全解决这一问题。但在继续阅读下文之前,请首先确认你的Windows 7版本。带有组策略功能的Windows 7版本包括Windows 7专业版、Windows 7企业版和Windows 7旗舰版。 如果确定所用的Windows 7版本具有组策略功能,则可以按照以下步骤进行操作。 (1)单击“开始”按钮,在搜索框中输入“gpedit.msc”并按回车键,打开“本 地组策略编辑器”窗口。 (2)在窗口左侧的树形图中展开到“计算机配置—管理模板—系统—设备安 装—设备安装限制”项,如图1所示。 图1 (3)双击右侧的相应策略,就可以针对实际情况对硬件设备的安装做出限制。 这里一共有10条可用的策略,含义分别如下。 允许管理员忽略设备安装限制策略:这条策略用于决定是否允许管理员账户不受设备安装限制策略的影响。如果启用这条策略,那么不管其他 策略如何设置,都只能影响非管理员账户,而不能影响管理员账户。如 果禁用这条策略,或者保持未被配置的默认状态,那么管理员账户也将 受到其余几条策略的限制。
?允许使用与下列设备安装程序类相匹配的驱动程序安装设备:这条策略 用于设定允许安装的设备类型。简单来说,这条策略等于一个“白名单”,配合其他策略,就可以让Windows 7只安装设备类型在这条策略中批准过的设备,其他未指定的设备都拒绝安装。 ?阻止使用与下列设备安装程序类相匹配的驱动程序安装设备:这条策略 用于设定禁止安装的设备类型。简单来说,这条策略等于一个“黑名单”,所有被添加到这条策略中的设备类型都将被Windows 7拒绝安装。 ?当策略设置禁止安装时显示自定义信息:这条策略用于决定当有设备被 禁止安装后,在Windows 7的系统提示区显示什么样的气球图标消息。 ?当策略设置禁止设备安装时显示自定义信息标题:这条策略用于决定当 有设备被禁止安装后,在Windows 7的系统提示区显示的气球图标使用什么样的标题。 ?允许安装与下列设备ID相匹配的设备:这条策略用于决定允许Windows 7安装具有哪些硬件ID的设备。 ?阻止安装与下列任何设备ID相匹配的设备:这条策略用于决定禁止 Windows 7安装具有哪些硬件ID的设备。 ?在策略更改需要重新启动才能生效时,等待强制重新启动的时间(以秒 为单位):这条策略用于设置强制重新启动计算机前的倒计时,以便让策略生效。 ?禁止安装可移动设备:这条策略用于决定是否禁止安装任何可移动设备, 而且这条策略的优先级是最高的,只要启用了这条策略,那么不管其他允许策略是如何设置的,可移动设备都将无法被安装。
组策略对windows7的安全性设置 陈琪 (重庆市商务学校重庆市大渡口区400080) 【摘要】:现在Win7系统已成为电脑市场的主流,大量企业和家庭个人都选择使用Win7系统,主要是Win7系统设计具有人性化、操作非常的简单,更重要的是Win7安全性非常高。同时针对Win7的安全性设置方法也层出不穷,用户往往是通过第三方软件来实现,但是这些方法往往不具有个性化的设置,而且这些方法效果到底如何也无从知晓。其实利用Win7的系统组策略功能,就可以简单轻松的实现Win7的系统的安全性设置。 【关键词】:组策略点击用户配置驱动器木马权限哈希值【引言】:在我们使用电脑的过程中系统、用户的数据都是保存在电脑的驱动器中的。因此,限制驱动器的使用可以有效防止重要和机密的信息外泄。而且现在的电脑大多数时间都是联网的,有效的阻击病毒和木马的入侵是确保电脑安全稳定运行的必要措施。 【正文】: 1.驱动器访问权限的设置 驱动器主要包括硬盘、光驱和移动设备等。驱动器不同限制方法也不同,而且同一种驱动器也有不同的限制级别。就说硬盘吧,一般有隐藏和禁止访问两种级别。隐藏级别比较初级,只是让驱动器不可见,一般用于防范小孩和初级用户,而禁止访问则可彻底阻止驱动器的访问。对于移动设备,可以选择设置读、写和执行权限,不过病毒和木马一般通过执行恶意程序来传播,因此禁止执行权限才最有效。
1.1隐藏驱动器 那么我们首先来实现如何让初级普通用户看不到驱动器:点击“开始”,在搜索框中输入“gpedit.msc”,确认后即打开了组策略编辑器,依次展开“用户配置→管理模板→Windows组件→Windows资源管理器”,在右边设置窗口中,进入“隐藏‘我的电脑’中这些指定的驱动器”,选择“已启用”,在下面的下拉列表中选择需要隐藏的驱动器,然后确定。再进入“计算机”,刚才选择的驱动器图标就不见了。提示:这个方法只是隐藏驱动器图标,用户仍可使用其他方法访问驱动器的内容,如在地址栏中直接键入驱动器上的目录路径。 1.2移动存储设备读写权限的设置 移动设备(例如闪存、移动硬盘等)已经成为不少用户的标准配置,使用也最为广泛。正因如此,它也成了病毒和木马传播的主要途径。而普通的限制读写权限并不能阻止病毒和木马入侵,因为病毒传播都是通过执行病毒和木马程序来实现的,因此禁用执行权限就能切断病毒传播途径。依次展开“计算机配置→管理模板→系统→可移动存储访问”,进入“可移动磁盘:拒绝执行权限”,选择“已启用”,确定后设置生效。移动设备上的可执行文件将不能执行,计算机也就不会再被病毒感染。而如果需要执行,只需要拷贝到硬盘当中即可。 2.网络安全性设置 电脑最重要的用途之一就是上网,可是说实话,现在上网一点也不省心,病毒、木马和流氓软件横行,连不少大网站都会被挂一些别有用心的软件,用户真是防不胜防。所以网络安全性的设置相当重要。
win7组策略怎么打开? 首先,在开始-运行中输入“gpedit.msc”,然后回车,打开组策略编辑器。依次点击“用户配置”→“管理模板”→“Windows 组件”即可 win7组策略编辑器设置 从Windows 2000开始,组策略就是配置Windows的有效工具。其实严格说起来,组策略编辑器中的大部分配置都可以直接修改注册表实现,不过很明显,通过组策略编辑器进行修改,更加直观,而且也不容易出错。因此很多Windows用户都已经习惯了使用组策略对Windows的一些高级设置进行配置。 Windows 7中新增了大量新的功能,同时组策略编辑器中也包含了更多内容。想知道这些新增的内容对我们有什么用吗?一起来看看吧。 提示:下文是以测试版的Windows 7RC2 Ultimate为基础撰写的,因此和正式版中可能会有所不同。另外,win7的家庭版没有组策略编辑器功能。 控制硬件设备的安装 这是一个很吸引人的功能。现在很多公司都不希望员工使用闪存盘或者MP3随身听之类可以通过计算机的USB接口传输文件的设备,因为这很容易导致公司的机密数据丢失。传统的预防办法最常见就是将计算机上的USB接口堵死,但这种“硬”方法也造成了一些问题,导致其他使用USB接口的设备,例如键盘和鼠标都无法使用。那么有没有不那么“强硬”的方法?这时候可以考虑使用Windows 7的组策略了。 通过组策略实现的目标 通过Windows 7的组策略,对硬件设备的安装将可以达到下列限制: ● 只有指定类型的设备可以安装,其他未指定设备一律无法安装。 ● 只有指定的具体硬件可以安装,其他未指定的硬件一律无法安装。 ● 所有可移动设备都无法安装。
广东XXXX职业学院 计算机工程技术学院(软件学院) 实验报告 专业计算机网络技术班级XXX 成绩评定______ 学号XX 姓名XXX (合作者____号____) 教师签名XX 实验八题目本地安全策略第九周星期二第节 一、实验目的与要求(此栏实验前由老师填写) ◆创建和验证多重本地组策略的设置; ◆配置本地安全策略设置。 二、实验环境及方案(此栏实验前由老师填写) 实验环境: 主机硬件配置至少1G内存,15G以上的空余硬盘空间,然后要求在主机上安装Oracle VM VirtualBox 4.1.8,利用它配置至少一台虚拟机,安装windows 7企业版客户机,并准备好相应的windows 7安装盘或对应ISO文件。 实验说明: 1.计算机启动时所启动的操作系统称为主机,在虚拟机上安装的操作系统称 为客户机; 2.启动客户机后,如果想操作客户机,只需用鼠标点击客户机桌面就可以; 如果要回到主机操作,可以按下键盘右边ctrl键。 3.也可以通过安装增强功能来实现在主机与客户机之间自由地切换 4.客户机的管理员kgy帐号的登录密码:P@ssw0rd 5.实验所需的各种资料在共享文件夹中找
6.请把实验过程的关键操作屏幕的图片剪切下来,贴在相应实验内容后面, 以备检查。(截屏方法:如果要截全屏,直接按屏幕打印键;如果只截当前屏幕,请按Alt+屏幕打印键) 7.完成后,请将实验结果文件命名为:“班内序号_姓名_第几次实验”,如张 三班内序号为18号、实验一的结果文件可命名为:“18_张三_1.doc” ;再如李四班内序号为8号、实验六的结果文件可命名为:“08_李四_6.doc” 三、实验内容(将每项实验内容的具体操作步骤及相关截图存放于实验结果 栏中) (一)创建和验证多重本地组策略的设置 1、以administrator登录计算机,创建自定义管理控制台,分别选择本地计算机、Administrators和非管理员为组策略对象,保存到桌面并命名为Multiple Local Group Policy Editor; 2、配置本地计算机策略 ●在本地计算机策略中配置windows登录脚本,添加一个登录脚本文件, 脚本文件名称为computerscript.vbs,脚本内容为msgbox “Default Computer Policy”; 3、配置本地计算机管理员策略 ●在本地计算机\Administrators策略中配置windows登录脚本,添加一个 登录脚本文件,脚本文件名称为administratorscript.vbs,脚本内容为msgbox “Default Administrator’s Policy”; 4、配置本地计算机非管理员策略 ●在本地计算机\非管理员策略中配置windows登录脚本,添加一个登录
组策略安全选项对应注册表项汇总 在组策略中的位置: 计算机设置->Windows设置->安全设置->本地策略->安全选项 详细列表: [MACHINE\System\CurrentControlSet\Control\Lsa] 值名:AuditBaseObjects 含义:对全局系统对象的访问进行审计 类型:REG_DWORD 数据:0=停用 1=启用 值名:CrashOnAuditFail 含义:如果无法纪录安全审计则立即关闭系统 类型:REG_DWORD 数据:0=停用 1=启用 值名:FullPrivilegeAuditing 含义:对备份和还原权限的使用进行审计 类型:REG_BINARY 数据:0=停用 1=启用 值名:LmCompatibilityLevel 含义:LAN Manager 身份验证级别 类型:REG_DWORD 数据:0=发送LM & NTLM响应 1=发送LM & NTLM - 若协商使用NTLMv2安全 2=仅发送NTLM响应 3=仅发送NTLMv2响应 4=仅发送NTLMv2响应\拒绝LM 5=仅发送NTLMv2响应\拒绝LM &
NTLM 值名:RestrictAnonymous 含义:对匿名连接的额外限制(通常用于限制IPC$空连接) 类型:REG_DWORD 数据:0=无.依赖于默认许可权限 1=不允许枚举SAM账号和共享 2=没有显式匿名权限就无法访问 值名ubmitControl 含义:允许服务器操作员计划任务(仅用于域控制器) 类型:REG_DWORD 数据:0=停用 1=启用 [MACHINE\System\CurrentControlSet\Control\Print\Providers\LanMan Print Services\Servers] 值名:AddPrinterDrivers 含义:防止用户安装打印机驱动程序 类型:REG_DWORD 数据:0=停用 1=启用 [MACHINE\System\CurrentControlSet\Control\Session Manager\Memory Management] 值名:ClearPageFileAtShutdown 含义:在关机时清理虚拟内存页面交换文件 类型:REG_DWORD 数据:0=停用 1=启用 [MACHINE\System\CurrentControlSet\Control\Session Manager]
本地安全策略 任务: 基于服务器安全要求,做为网络管理员,进行安全策略设置。 任务目的: 1.掌握Windows Server 2003账户策略使用方法。 2.掌握Windows Server 2003审核策略的使用方法。 3.掌握本地策略的使用方法。 任务要求: 根据安全策略特性,制定本地安全策略, 写出方案,并进行实施,实施步骤进行抓屏做为作业上交。 任务具体内容: 一、备份本地安全策略 依次打开“开始”、“程序”、“管理工具”、“本地安全策略”,右键“安全设置”,“导出策略”,输入文件名bak.inf,确定。文件名可以任选,只要你知道是它是最原始的安全策略便可。 二、恢复本地安全策略 1.在做恢复本地安全策略以前,先建立一个用户,不给口令, 应该顺利建成。 2.进入本地安全策略,右键“安全设置”,“导入策略”可以看到许多安全模板,包括你上面备份的那一个,这些安全模板是 Server 2003自带的几套,系统管理员可以不作任何更改将其
应用到系统中来,不同模板安全级别不同,作用网管员应该熟 悉这些模板,在具体工作时,你可以在这些模板的基础上,自 定义出适合具体工作场合的模板。 3.导入hisecde.inf策略,重新建一个用户,如同(1)一样,不给口令,结果?不能建用户,原因:因为本地安全策略与原 来的不同了,它使用了另外一个系统已经设置好的要求用户口 令的安全策略。 4.导入备份的本地安全策略bak.inf,导入结束后,你再从新建一个用户,结果?说明了什么? 三、帐户策略 1.用管理员登录,新建一个user1用户,不输入密码,是否能建成? 进入本地安全策略,再进入帐户策略,再进入密码策略,双击密码 长度最小值,输入4,退出。这时新建一个用户user2,不输入密 码,是否能建成?有什么提示?输入3位密码,结果如何?输入4 位密码,结果如何?再进入本地策略中的帐户策略,双击密码必须 符合复杂性要求,先已启用,退出。这时再新建一个用户user3, 输入密码abcd,1234,a1b2,a1b:,哪个能建成用户?从而说明密 码必须符合复杂性要求是指:该密码必须由字母、数字、符号三种 组成,缺一不可。最后复原:取消密码必须符合复杂性要求和把密 码长度最小值设为0。 2.用管理员登录,新建一个user4用户,只选下次登录时改变密码, 再建一个用户user5,输入密码:user5,只选用户不能修改密码。 分别用user4和user5登录,是否都能登录?用管理员登录,进入 安全策略,再进入密码策略,把密码最长保存期改为30天,再修 改系统时间,向后延长30天,分别用user4和user5登录,有什 么提示?能否登录?为什么?用user4用户登录,能否自己修改密 码?用管理员登录,进入安全策略,再进入密码策略,把密码最短 存留期改为60天,用user4用户登录,能否自己修改密码?用管
一、访问组策略 1.输入gpedit.msc命令访问: 选择“开始”→“运行”(或快捷方式:Win+R),在弹出窗口中输入“gpedit.msc”,回车后进入组策略窗口。组策略窗口的结构和资源管理器相似,左边是树型目录结构,由“计算机配置”、“用户配置”两大节点组成。这两个节点下分别都有“软件设置”、“Windows设置”和“管理模板”三个节点(如图一),节点下面还有更多的节点和设置。此时点击右边窗口中的节点或设置,便会出现关于此节点或设置的适用平台和作用描述。“计算机配置”、“用户配置”两大节点下的子节点和设置有很多是相同的,那么我们该改哪一处?“计算机配置”节点中的设置应用到整个计算机策略,在此处修改后的设置将应用到计算机中的所有用户。“用户配置”节点中的设置一般只应用到当前用户,如果你用别的用户名登录计算机,设置就不会管用了。但一般情况下建议在“用户配置”节点下修改,本文也将主要讲解“用户配置”节点的各项设置的修改,附带讲解“计算机配置”节点下的一些设置。其中“管理模板”设置最多、应用最广,因此也是本文的重中之重。 图一:
下面我们就进入“用户配置”,去细细探测它的奥秘: 1、在软件设置里面没有什么重要内容,我们省去介绍吧(不信你看看); 2、那我们先看看“windows设置”里的内容(如图二全结构图:):在“windows设置”的节点下有“脚本”、“安全设置”和“IE维护”三个节点,其中“脚本”下包含“登录”和“注销”两个脚本,其功能(属性)是设置“登录”和“注销”时的桌面背景!在“安全设置”里面没有什么实质内容,现我们就忽略它吧! 《而对于“计算机配置”的“安全设置”的下节点里,多了三个小节点,其一是“密码策略”,它可以设置我们对用户的密码要求及密码保留时间等,因此,当你设置后,你的密码设置就必须符合这要求。。。。。。其二是“帐号锁定策略”,它可以设置帐号无效登录系
实验本地安全策略设置 【实验目的】 1)掌握帐户策略的设置。 2)掌握本地策略的设置。 【实验环境】 具有Windows xp的计算机、局域网环境。 【实验重点及难点】 重点:掌握帐户策略、本地策略的设置。 难点:实验过程中,切实理学会如何实际应用XP本地安全策略。 【实验内容】 一、帐户策略的设置。 1、设置密码策略(使我们的系统密码相对安全,不易破解)。 1)打开”开始”菜单→”程序”→”管理工具”→”本地安全策略”→”帐户策略”→”密 码策略”(截图),设置密码长度最小值为2个字符,密码最短存留期为2天,密码最长存留期为50天。启用密码必须符合复杂性要求(截图)。 更改密码,设置Administrator帐号密码为空,或者设置密码为单一数字,则弹出如下对话框(截图)。 1)完成。 2、设置帐户锁定策略(可以抵御网络用户通过枚举入侵自己计算机)。 1)打开”开始”菜单→”程序”→”管理工具”→”本地安全策略”→”帐户策略”→”帐户锁定策略”(截图)。 2)设置”复位账户锁定计数器”为2分钟之后,“账户锁定时间”为2分钟,”账户锁定阈值”为5次无效登陆。(截图)。 3)此时,注销自己计算机,连续5次输入密码错误,此时自己电脑被锁定,禁 止输入密码,并且锁定时间为2分钟。 4)完成。 二、本地策略的设置。 1、设置审核策略(可以获取用户对本计算机的操作历史进行审核)。 审核登陆事件:用户在本机的登陆。 审核对象访问:用户对对象的访问(如文件、文件夹控制面板等)。 审核系统事件:系统的启动、注销和关机,以及涉及到安全性的一些事件。 审核帐户登陆事件:用户在其他计算机上登陆,在本计算机上进行验证。 审核帐户管理:涉及到帐户的管理,如新建用户和组,修改密码、重命名用户和组等。 1)打开”开始”菜单→”程序”→”管理工具”→”本地安全策略”→”本地策略”→”审核策略”(截图)。 2)设置审核登陆事件和审核系统事件都为成功和失败(截图)。
今天为大家带来的是Windows 7中很重要但又很容易被大家忽视的一个工具——组策略。可能有很多朋友不太清楚组策略的功能,组策略(Group Policy)是为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以设置各种软件、计算机和用户策略,下面我就列举几个例子。 1.让Windows 7上网浏览更高效 单击“开始”-在搜索出输入“gpedit.msc”打开组策略面板。 打开“计算机配置”-“管理模板”-“Windows组件”-“Internet Explorer” 右键单击右侧的“关闭管理SmartScreen筛选器警告”-选择“编辑”
单击“已禁用”-“确定” 通过这样的设置可以使我们在上网时减少对我们的影响。 2.让媒体播放更顺畅 单击“用户配置”-“管理模板”-“Windows组件”-“Windows Media Player”-“播放”
右键单击右侧的“允许运行屏幕保护程序”-“编辑” 选择“已禁用”-“确定”
通过这样的设置我们观看视频时就不会被屏保所困扰。 3.不让木马“进驻”临时文件 单击“计算机配置”-“Windows设置”-“安全设置”-“软件限制策略”-“其他规则” 右键单击“其他规则”-“新建路径规则”
选择“浏览”打开本地系统的文件选择框,从中将Windows 7系统的临时文件夹选中并导入进来;下面在“安全级别”位置处单击下拉按钮,从下拉列表中选中“不允许”选项,同时单击“确定”按钮执行设置保存操作,那样一来我们日后即使不小心遭遇到了木马病毒,但它们却不能随意自由运行、发作,那么本地系统的安全性也就能得到一定的保证了。 4.不让用户恶意“ping”我 单击“计算机配置”-“Windows设置”-“安全设置”-“高级安全Windows防火墙”-“高级安全Windows防火墙-本地组策略对象”-“入站规则” 右键单击“入站规则”-“新建规则”-“自定义”-“下一步”
实验七设置安全策略实验背景 某公司所有员工的初始密码为benet2!。管理员担心公司员工更改的密码过于简单,容易被扫描软件扫描扫到,同时管理员担心用户长久不更改密码影响安全性。对于公司域控制器,管理员需要验证都有谁在什么时候登录。有人反应公司的文件服务器上的资料有丢失现象,管理员需要查找是否有人有意的删除文件。 由于域用户帐号一旦登录域内成员主机成功,访问文件服务器不在需要做身份验证,为了放置有人恶意尝试用户密码,公司要求所有员工有三次输入密码机会,三次输入错误自动锁定帐号。试行一段时间后很多人帐号经常锁定,不得不频繁找管理员,管理员需设定用户帐号的30分钟自动解锁。 公司有人反应访问加入域后,用域用户帐号登录后不能自动关机,公司要求所有员工下班必须关机离开,管理员解决这个问题。 有部分输入domain users组的员工需要登录域控制器,可这些员工反应他们无法登录域控制器,管理员解决这个问题 文件服务器公司要求所有员工可以网络访问,但不可以对文件服务器本地登录,公司要求管理员完成,并对文件服务器做登录审核。 对于文件服务器,公司要求本地登录成功后需要提示:标题:重要警告,内容:服务器重地,请不要做任何删除和剪切。 实验目标 1 所有域用户帐号在设置密码时,必须符合复杂密码要求,密码长度至少7位,密码必须每60天更新一次 2 设置三次密码锁定,设置锁定复位时间30分钟。 3 为域控制器启动帐号的登录审核,对文件服务器启动对象审核 4 把域用户帐号加入关闭系统,保证可以下班关机 5 把域用户帐号加入本地登录安全策略 6 文件服务器上把所有的用户帐号加入拒绝网络访问,对文件服务器启动审核 7 对文件服务器设置登录提示 实验环境 1 一人一组 2 准备2台Windows Server 200 3 虚拟机(1台域控制器,1台成员主机) 实验步骤: 1 在域控制器上完成 以域管理员登录域控制器,设置域安全策略
一、Win7系统安全设置攻略 1、关闭默认共享封锁系统后门 同XP、Vista一样,Win7在默认情况下也开启了网络共享(如图1所示)。虽然这可以让局域网共享更加方便,但同时也为病毒传播创造了条件。因此关闭默认共享,可以大大降低系统被病毒感染的概率。 打开魔方,点击“系统优化→网络共享”,将“禁止默认的管理共享及磁盘分区共享”选中,点“保存设置”后重启计算机,此时就无法通过默认共享访问系统了(如图2所示)。如果不希望一次性关闭所有默认共享,魔方还提供了关闭单个默认共享的功能。在刚才的界面中选中“默认共享”点“刷新”,可以看到当前系统的默认共享列表,将不需要的默认共
享选中后点“清除共享”,保存设置重启计算机,选中的默认共享就会被关闭。 此外,魔方还提供了“限制IPC$的远程默认共享”、“禁止进程间通讯IPC$的空连接”等能够有效提升系统安全性的设置,建议全部启用。 2、修改组策略加固系统注册表 和XP、Vista相同,Win7中仍然开放了风险极高的可远程访问注册表的路径。将可远程访问注册表的路径设置为空,可以有效避免黑客利用扫描器通过远程注册表读取Win7的系统信息及其它信息。 打开控制面板,选择“管理工具”,双击“本地安全策略”,依次打开“本地策略→安
全选项”,在右侧找到“网络访问:可远程访问的注册表路径”和“网络访问:可远程访问的注册表路径和子路径”,双击打开,将窗口中的注册表路径删除(如图3所示)。 3、锁定重要功能防止病毒盗用 系统中一些常用的、权限较高的功能,如命令行程序、批处理文件、注册表编辑器等也经常被病毒等恶意软件利用,成为入侵系统的“帮凶”。而这些程序作为普通用户又不是经
配置本地安全策略 Revised as of 23 November 2020
配置本地安全策略———端口的保护IP安全策略设置方法 一、适用范围: 它适用于2000以上Windows系统的专业版;对家庭版的用户可以看一下是不是能通过:控制台(运行mmc)-文件-添加/删除管理单元-添加-添加独立单元,添加上“IP安全策略管理”,如行的话则可在左边的窗口中看到“IP安全策略,在本地计算机”了,接下来的操作就跟专业版一样了。 二、找到“IP安全策略,在本地计算机”: “IP安全策略,在本地计算机”选项在“本地安全设置”下,所以要找到它就打开“本地安全设置”的方法,主要采用以下两种方法来打开:1是点“开始”-“运行”-输入,点确定;2是“控制面板”-“管理工具”-“本地安全策略”。打开“本地安全策略”对话框就能在左边的窗口中看到“IP安全策略,在本地计算机”了。右击它,在它的下级菜单中能看到“创建IP安全策略”和“管理IP筛选器表和筛选器操作”等菜单(也可以在此级菜单中的“所有任务”项的下级菜单中看到上面的两个菜单)。 三、建立新的筛选器: 1、在“IP安全策略,在本地计算机”的下级菜单中选择“管理IP筛选器和筛选器操作”菜单,打开“管理IP筛选器和筛选器操作”对话框,里面有两个标签:“管理IP 筛选器列表”和“管理筛选器操作”。选择“管理IP筛选器列表”标签,在“IP筛选器列表”下的文本框下面能看到三个按钮:“添加”、“编辑”和“删除”。
2、点“添加”按钮,打开叫做“IP筛选器列表”的对话框,里面有三个文本框,从上到下分别是:“名称”、“描述”和“筛选器”。在“名称”和“描述”文本框右边,能看到“添加”、“编辑”和“删除”三个按钮(对没有内容的筛选器而言,它的“编辑”和“删除”按钮不可用),在这三个按钮下有一个复选框,复选框后面有“使用 ‘添加向导’”这样的文本说明。 3、取消默认的对“使用‘添加向导’”的勾选,在“名称”下面的文本框中把默认的“新IP筛选器列表”修改成下面要建立的筛选器列表的名称,我们这里先输入:“病毒常驻端口”,在“描述”下面的空白文本框中输进去“病毒常驻端口”后面的全部端口号(可以用复制、粘贴来操作),主要作用是便于下一步对照着添加作为“筛选器”具体内容的“端口”。 这时可以点“确定”按钮,保存本“筛选器”。但由于它没有任何内容,所以会蹦出来“IP筛选器列表警告”对话框,提示“这个IP筛选器列表是空的。没有匹配的IP数据包。您想……吗”,因为保存是目的,所以选择“是”。 4、这里我们不点“确定”,不保存空的筛选器,直接向“筛选器”下面的文本框中添加本筛选器要操作的端口。这个文本框中是不能直接用输入法输入、编辑的,具体方法见下一步。 四、添加“筛选器”要操作的端口: 1、点“IP筛选器列表”对话框中的“添加”按钮,打开“筛选器属性”对话框。这个对话框里面有三个标签:“寻址”、“协议”和“描述”。 2、在“寻址”标签下有两个选项框和一个复选框。从上到下是“源地址”选项框、“目标地址”选项框和“镜像。同时与源地址和目标地址……匹配”复选框。因为我们
Win10 用户组策略不生效 2018年11月18日 21:59:05 问题现象 Windows server 2008部署的AD服务器和打印服务器,客户端系统有win7,有win10。通过组策略将打印机部署至每个用户,结果win7的打印机列表里面会自动出现组策略部署的打印机,win10的就是不出现。刚开始怀疑是Server 2008服务器版本低不兼容,后来添加Windows server 2016服务器,角色依旧是AD服务器和打印服务器,Server 2008降级并将林和域级别提升至Server 2016。可惜的是问题依旧。 如图所示,“GPNB-总经理办公室”里很多域用户。现象就是,用户如果使用的是win7,该GPO部署的打印机会自动出来,如果是win10,打印机就是不出来。反复重启、强制刷新组策略都不管用,而且发现这种问题不是个案,观察了很多客户端电脑,都有此规律。
问题原因 在不经意地添加authenticated users又删除它的时候,碰到了一个系统提示。至此真想大白于天下。
提示的大体意思是要想从域控制器读取GPO数据以应用用户组策略,组策略得先取得计算机账户许可。Authenticated Users 或者Domain Computers安全组至少要添加一个到组策略的“安全筛选”里面,才能保证用户组策略被执行。 结合问题现象,可以得出结论:Windows 10、Windows Server 2016系列系统引入了新的组策略安全机制,给指定domain user用户应用用户组策略得先取得domain user 登陆的计算机的domain computer账户许可。
Windows Vista / 7糸统怎样设置网络连接及网络连接的一些问题处理办法 一、怎样设置固定的IP地址: 1 、如果是采用ADSL宽带接入(WAN微型端口PPPOE含无线接入),就在Internet协议本4(TCP/IP)属性的常规项里设置勾选"自动获得IP地址(0)"和下面的"自动获得DNS服务器地址(B),因为ADSL宽带接入(WAN微型端口PPPOE 含无线接入)的IP地址是动态的IP (不断改变的)。 2 、如果是局域网用路由器本地连接就要Internet协议本4(TCP/IP)属性设置固定的IP地址和固定的DNS服务器地址 (E),因为局域网内的IP地址上是靠接入这个局域网内分配的。 3、假如不是局域网是采用ADSL宽带接入(WAN微型端口PPPOE含无线接入)也设置固定IP地址,就容易被黑客入侵攻击,因为ADSL接入的Modom端口里是没有防火墙的;而局域网用路由器本地连接就可以设置固定的IP地址,因为现在所有的路由器的端口里都设有防火墙的. 二、局域网Internet协议本4(TCP/IPv4)属性适用路由器本地连接设置: 1:在“控制面板→网络连接”里,用鼠标右键单击“本地连接”图标. 2:然后选择属性,在弹出的属性窗口的“此连接使用下列项目(0)”选项卡的列表里选择“Internet协议本4 (TCP/IPv4)属性然后单击“属性”按钮。 3:在弹出的属性窗口中,选择“使用下面的IP地址(S)”选项,填上: IP地址(I) : 192 .168 .1 . X [ IP选择范围为:192.168.1.X(2≤X≤255) ]. 子网掩码(U) : 255.255.255.0 默认网关(D) : 192 .168 . 1 . 1 4:下面一栏中"使用下面的DNS服务器地址(E) " 填上: 首选DNS服务器(P): 202 .96 .128 .166 备用DNS服务器(A): 202 .96 .128 .86 三、ADSL宽带接入(WAN微型端口PPPOE)Internet协议本4(TCP/IPv4)属性设置(包括备用设置): 1:在“控制面板→网络连接”里,用鼠标右键单击“本地连接”图标. 2:然后选择属性,在弹出的属性窗口的“此连接使用下列项目(0)”选项卡的列表里选择“Internet协议本4 (TCP/IPv4)属性然后单击“属性”按钮. 3:在常规项里勾选"自动获得IP地址(0)"和下面的"自动获得DNS服务器地址(B). 4:点击旁边的"备用配置",然后在"用户配置(S)"里分别填上: IP地址(I): 192 .168 .0 .204 子网掩码(U): 255 .255 .255.0 默认网关(D): 198 .168 .0 . 1 使用下面的DNS服务器地址(E) 首选DNS服务器(P) 192 .168 .0 .188 四、网络连接的一些问题处理办法: 【1】、点击宽带连接提示说"netcfg.hlp和windows.hlp"文件不存在的解决方案: 方法一: 将下面的东西复制到一个空白的记事本中,选文件另存为文件类型选全部文件,文件名输入(注意包括引号最好复制) "fixEXE.reg" 放在桌面上.双击这个fixEXE.reg 即可解决. Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\exefile\shell\open\command] @="\"%1\" %*"