实验4 Windows 2000 Server的本地安全策略和组策略

实例26 Windows 2000服务器的安全配置实现目的由于windows 2000系统远比windows Nt 4系统安全性，因此目前使用windows 2000的系统越来越多。

安全配置windows 2000成为一个保证网络安全的重要措施之一。

而要想安全的配置微软的这个操作系统，却不是一件容易的事。

本例从如何选择windows 2000版本、如何安装、如何对系统进行设置等方面介绍提高windows 2000安全性的方法，以保证windows 2000服务器的高安全性，从而保证网络的高可靠性。

实现技术Windows系统发布时，往往存在一些漏洞，Microsoft公司也往往是通过补丁的方式进行解决，因此版本的选择对系统的安全必然存在一定的影响。

而系统的配置（如帐户权限的设置、共享资源的设置等）更是直影响系统的安全。

选择适当的版本，正确配置系统可以减少安全隐患，提高系统的安全度。

实现方法1、安装windows 2000（1）版本的选择我们认为：在语言不成为障碍的情况下，建议使用英文版。

因为，微软的产品是以“漏洞加补丁（Bug & Patch）”而著称的，中文版的bug远比英文版要多，而解决相应漏洞的补丁一般比英文版至少迟半个月，这就意味着，微软公布了漏洞后，你的服务器还会有半个月处于无保护状态，这就成了公开的安全隐患。

（2）组件的定制Windows 2000在默认情况下会安装一些常用的组件，但是正是由于安装了这些默认组件，使系统安全变得非常脆弱，安全性全面降低。

根据安全原则“最大的安全=最少的服务+最小的权限”，也就是说，为了保证系统安全，只安装确实需要的服务即可，将不需要的服务组件删除。

尤其值得特别提醒注意的是：“Indexing Service”、“Frontpage 2000 Server Extensions”、“Internet Service Manager”这几个组件，对系统安全影响最大，对于系统安全来说，这几个组件是危险服务，如果不需要，建议不要安装。

实验：在Windows 2000上实现操作系统安全配置方案实验环境1台带有活动网络连接（插有网卡且工作正常）、安装有VMware虚拟机软件的PC机，其中主机环境的配置如表5_1所示：表5_1 本环境：主机操作系统的配置操作系统Windows2000 三种版本均可，推荐Win XP SP3Telnet工具F-Term v2.3.0.724版FTP工具Cute FTP pro v30Web浏览器IE5.0，推荐IE6.0中文版IP地址192.168.6.201虚拟机环境的配置如下表5_2所示：表5_2 本环境：虚拟机操作系统的配置操作系统Windows 2000 Advance server SP0并且安装所有服务。

Web服务器IIS 5.0IP地址192.168.6.200具体本实验中，要求1人一组完成对操作系统的安全配置。

实验目的1、通过该实验，熟悉、了解网络环境中提高Windows系列操作系统安全性的配置方法，充分理解系统注册表的重要性，进一步加深对TCP／IP协议的理解和认识。

2、具体本实验中，要求能够在Windows XP / 2000 Professional / 2000 Server三种版本的Windows操作系统平台上进行初级、中级、高级安全配置方案的各项策略，掌握系统安全性的一般性防御技术。

实验步骤1、实验前先预习教师下发的指导幻灯片，写出详细的实验步骤；1.1在运行里输入MMC1.2控制台—添加∕删除管理单元—添加：IP安全策略管理，安全模板安全配置和分析，组策略，本地用户和组2、每个人在自己的虚拟机系统上，通过MMC管理控制台使用MS提供的安全模板（Security Template）和安全配置和分析（Security Configuration and Analysis）管理单元配置操作系统下述7个安全设置项目：先将setup security另存为hhm security①账户策略：密码策略：对密码必须符合复杂度要求，密码长度最小值，强制密码历史分别对他们的值进行修改：都是为了增加密码的强度：修改后得到如图所示的结果：账户锁定策略进行修改对如下几项进行修改（防止黑客不断的进行密码拆解）：修改后结果如图所示：②本地策略对本地策略进行如下修改：修改后结果如下图：修改用户指派权利：修改安全选项：③事件日志④受限制的组双击USERS⑤系统服务维护系统上计算机的最新列表以及提供这个列表：允许程序在制定时间运行：在局域网以及广域网环境中为企业提供路由服务：管理可移动媒体，驱动程序和库：允许远程注册表操作：将文件加载到内存中以后打印。

Ｉ ＳＳａ ｍｐｌ ｓ Ｓｃ ｉ ｓ ＩＳｈｅ ｐ、 Ｉ ｅ ， ｒｐｔ ， Ｉ ｌ Ｉ ＳＡｄｍｉ Ｍ ＳＡＤＣ ｎ，
③ 删 除无 用 的脚 本 映 射 。ＩＳ接 收 到 特 定 后 Ｉ
缀 类 型 的 文 件请 求 时 ， 用 相 应 的 ＤＬ 调 Ｌ处 理 ， 如
果 不 使 用 其 中 的 某 些 扩 展 或 功 能 ， 应 删 除 该 映 则
面采取 一 些安 全措 施 。
关 键 词 策略 帐号 管 理 网络 服务 文 件 管理 病 毒 黑客
ＩＳ５ ０是 Ｗ ｉ ２ ０ ＥＲＶＥＲ 操 作 系 统 的 一 Ｉ ． ｎ ０ ０Ｓ
子 邮 件 程 序 ， 其 不 要 是 安 装 微 软 公 是 通 过 它 的 漏 洞 进 行 传 ｏｋ 因
网 络 ， 则 由于 系统 存 在 各种 漏 洞 ， 否 非常 容 易感 染
病毒。 需 要 特 别 指 出 的 是 ， 要 在 服 务 器 上 安 装 电 不
射 。 比如 基于 Ｗ Ｅ Ｂ的密 码 重设 （ｈ ｒ ， 引服 务 ． ｔ） 索
维普资讯
成普通用户； 码长度在 １ 密 ０位 以 上 ， 要 包 括 数 并
字 、 母 等 字符 ， 要 不定 期 变换 。 字 并
１ 安 装 策 略
作 为 Ｗ Ｅ 服 务 器 ， 安 装 Ｗ ｉ２ ０ Ｅ Ｂ 在 ｎ ０ ０Ｓ ＲＶ— Ｅ 前 就 应 对 硬 盘 作 统 筹 安 排 ， 至 少 建 立 两 个 Ｒ 应
维普资讯
第２ ７卷
内 蒙 古 石 油 化 工
１５ ６
基 于 Ｗ Ｉ ２ Ｅ Ｎ ０ Ｓ ＲＶＥＲ 的 ０ ０ ＷＥ Ｂ服务器 的安全 策略
樊硕 蒙 玉 平 马 世 防 袁 克敏

有效保障Windows2000系统中帐号的安全的4种方法有效保障Windows 2000系统中帐号的安全的4种方法Windows 2000 server含有很多的安全功能和选项，如果你合理的配置它们，那么windows 2000 server将会是一个很安全的操作系统。

首先我们应将Windows 2000 server服务器应该安放在安装了jian视器的隔离房间内，并且jian视器要保留15天以上的摄像记录。

另外，机箱，键盘，电脑桌抽屉要上锁，以确保旁人即使进入房间也无法使用电脑，钥匙要放在另外的安全的地方。

我们可以停掉Guest 帐号、创建2个管理员用帐号、把系统administrator帐号改名、设置屏幕保护密码等确保安全，也可以利用win2000的安全配置工具来配置策略、关闭不必要的服务、关闭不必要的端口、禁止建立空连接和安装微软最新的补丁程序等措施来加强Windows 2000 Server安全。

要攻击Windows 2000系统，首先需要知道帐号和密码，因此保障Windows 2000系统的安全中，保障其帐号和密码的安全是关键，但通常密码可以通过穷举法等方法破解，所以Windows 2000帐号的安全非常重要。

下面几种方法可以有效保障Windows 2000系统中帐号的安全：方法一：禁止枚举帐号由于Windows 2000的默认安装允许任何用户通过空用户得到系统所有帐号和共享列表，这本来是为了方便局域网用户共享资源和文件的，但是，任何一个远程用户通过同样的方法都能得到帐户列表，使用非法手段破解帐户密码后，对我们的电脑进行攻击，所以必须采用以下方法禁止这种行为。

1、通过修改注册表禁用空用户连接，操作步骤如下：单击"开始"->"运行"打开"运行"对话框；输入"Regedit"并单击确定打开注册表编辑器；在注册表编辑器中逐层进入[HKEY_LOCAL_MACHINESSYSTEMCurentControlSetcontrolLsa]；将RestrictAnonymous的值设置为1，这样可以禁止空用户连接。

本次上机做两个实验(实验一和实验二)实验一用win2000的IP平安策略封锁端口的方式【实验目的】黑客大多通过端口进展入侵，因此你的效劳器只能开放你需要的端口，通过对用win2000的IP平安策略封锁端口的方式进展实验，从而初步了解系统对IPSEC的支持,从而阻止入侵者的解决。

【实验步骤】一、创建一个新的IP平安策略你能够通过“治理工具→本地平安策略〞进入，右击“IP平安策略〞，选择“创建IP平安策略〞，点[下一步]。

输入平安策略的名称，点[下一步]，一直到完成，你就创建了一个平安策略：二、，进入治理IP挑选器和挑选器操作接着你要做的是右击“IP平安策略〞，进入治理IP挑选器和挑选器操作，在治理IP挑选器列表中，你能够添加要封锁的端口，那个地址以关闭ICMP和139端口为例说明。

关闭了ICMP，黑客软件假设是没有强制扫描功能就不能扫描到你的机械，也Ping不到你的机械。

关闭ICMP的具体操作如下：点[添加]，然后在名称中输入“关闭ICMP〞，点右边的[添加]，再点[下一步]。

在源地址当选“任何IP地址〞，点[下一步]。

在目标地址当选择“我的IP地址〞，点[下一步]。

在协议当选择“ICMP〞，点[下一步]。

回到关闭ICMP属性窗口，即关闭了ICMP。

下面咱们再设置关闭139，一样在治理IP挑选器列表中点“添加〞，名称设置为“关闭139〞，点右边的“添加〞，点[下一步]。

在源地址当选择“任何IP地址〞，点[下一步]。

在目标地址当选择“我的IP地址〞，点[下一步]。

在协议当选择“TCP〞，点[下一步]。

在设置IP协议端口当选择从任意端口到此端口，在此端口中输入139，点[下一步]。

即完成关闭139端口，其他的端口也一样设置.然后进入设置治理挑选器操作，点“添加〞，点[下一步]，在名称中输入“拒绝〞，点[下一步]。

选择“阻止〞，点[下一步]。

三、指派该策略右击新建的IP平安策略“平安〞，掀开属性页。

在规那么当选择“添加〞，点[下一步]。

Windows 2000平安策略常用设置方法电脑资料为大家介绍一些常用的设置方法来为Windows 2000系统进展平安策略的设置从而起到平安保障的作用，一、平安策略Windows 2000系统本身就有很多平安方面的破绽，这是众所周知的。

通过打补丁的方法可以减少大部分的破绽，但是并不能杜绝一些小破绽，而往往这些小破绽也是导致被攻击或入侵的重要途径。

Windows 2000中自带的“本地平安策略”就是一个很不错的系统平安工具。

这个工具可以说是系统的防卫工具往往一些必要的设置就能起到防范的作用，可别小看这个工具。

下面就为大家介绍一些常用的设置方法来为系统进展平安策略的设置从而起到平安保障的作用。

二、详细操作图1系统的“本地平安策略”这个工具是在，单击“开始→控制面板→管理工具→本地平安策略”后，会进入“本地平安策略”的主界面。

在此可通过菜单栏上的命令设置各种平安策略，并可选择查看方式，导出列表及导入策略等操作。

1.平安日志的设置：因为平安日志是记录一个系统的重要手段，因此通过日志可以查看系统一些运行状态，而Windows 2000的默认安装是不开任何平安审核的，因此需要在本地平安策略→审核策略中翻开相应的审核。

单击“开始→控制面板→管理工具→本地平安策略→左边的本地策略→审核策略”，看到右栏有“审核策略更改”……等9个工程，我们双击每个工程，然后在“成功、失败”的选框上进展选择，2. 账号平安设置：Windows 2000的默认安装允许任何用户通过空用户得到系统所有账号和共享列表，造成一些密码容易泄漏而对电脑进展攻击，所以必须采用以下进展平安设置。

单击“开始→控制面板→管理工具→本地平安策略→本地策略→账户策略”，看到右栏有“密码策略、账户锁定策略”2个工程。

在密码策略中设置：启用“密码必须符合复杂性要求”，“密码长度最小值”为6个字符，“强迫密码历史”为5次，“密码最长存留期”为30天。

在账户锁定策略中设置：“复位账户锁定计数器”为30分钟之后，“账户锁定时间”为30分钟，“账户锁定值”为30分钟。

WIN2000 SERVER安全配置服务器手册1.NTFS比FAT分区多了安全控制功能，可以对不同的文件夹设置不同的访问权限，安全性增强。

2.建议最好一次性全部安装成NTFS分区，而不要先安装成FAT分区再转化为NTFS分区，这样做在安装了SP5和SP6的情况下会导致转化不成功，甚至系统崩溃。

3.安装NTFS分区有一个潜在的危险，就是目前大多数反病毒软件没有提供对软盘启动后NTFS 分区病毒的查杀，这样一旦系统中了恶性病毒而导致系统不能正常启动，后果就比较严重，因此及建议平时做好防病毒工作。

4.分区和逻辑盘的分配：推荐的安全配置是建立三个逻辑驱动器，第一个大于2G，用来装系统和重要的日志文件，第二个放IIS，第三个放FTP，这样无论IIS或FTP出了安全漏洞都不会直接影响到系统目录和系统文件。

要知道，IIS和FTP是对外服务的，比较容易出问题。

而把IIS和FTP分开主要是为了防止入侵者上传程序并从IIS中运行。

5.安装顺序的选择：win2000在安装中有几个顺序是一定要注意的。

首先，何时接入网络，Win2000在安装时有一个漏洞，在你输入Administrator密码后，系统就建立了ADMIN$的共享，但是并没有用你刚刚输入的密码来保护它，这种情况一直持续到你再次启动后，在此期间，任何人都可以通过ADMIN$进入你的机器；同时，只要安装一完成，各种服务就会自动运行，而这时的服务器是满身漏洞，非常容易进入的，因此，在完全安装并配置好win2000 SERVER之前，一定不要把主机接入网络。

其次，补丁的安装：补丁的安装应该在所有应用程序安装完之后，因为补丁程序往往要替换/修改某些系统文件，如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果，例如：IIS的HotFix就要求每次更改IIS的配置都需要安装。

6.端口是计算机和外部网络相连的逻辑接口，也是计算机的第一道屏障，端口配置正确与否直接影响到主机的安全，一般来说，仅打开你需要使用的端口会比较安全，配置的方法是在网卡属性-TCP/IP-高级-选项-TCP/IP筛选中启用TCP/IP筛选，不过对于win2000的端口过滤来说，有一个不好的特性：只能规定开哪些端口，不能规定关闭哪些端口，这样对于需要开大量端口的用户就比较痛苦。

Windows 2000 server的安全设置一、基本的安全设定（1）文件系统的设定windows2000server 支持多种文件系统，最安全的要数NTFS文件系统，如果你的windows2000server要用作服务器，最好将所有的分区都格式化为NTFS文件系统，fat32是不能用的（2）补丁（pack)微软的作风就是三天一小补，五天一大补，漏洞太多，补一点就好一点，使用“开始-Windows Update" 然后把所有的补丁都装进去,目前windows2000已经到sp4了，这个大补丁一定要装的，安装sp4后再到网络上升级，将微软提供的各种重要系统安全更新全部都升级，不要怕麻烦，这是防病毒和黑客攻击的非常重要安全设置步骤。

（3）帐号安全帐号是windows2000server的重要的安全保证，要注意区分一些工作组的权限：administrators是系统管理员组，administrator是系统默认的管理帐号，administrator最好设置一个复杂的密码，复杂到什么程度呢？简单的说，自己都要记不住这个密码，这个密码可以是字符、数字、符号、大小写的组合（如：AGgF!452KhtUN)，密码不要让别人猜得到，不要用自己得电话号码啦之类的东西，最好在笔记本上将密码设定好后再设置，设好密码后妥善保管记录密码的笔记本，每隔一段时间更改自己的密码guest帐号最好禁止使用，如果没有必要，不要添加其他的系统管理员帐号2.删除默认共享2.1删除IPC$共享Win2k的缺省安装很容易被攻击者取得帐号列表，即使安装了最新的Service ack 也是如此。

在Win2k中有一个缺省共享IPC$，并且还有诸如admin$ C$ D$等等,而IPC$允许匿名用户（即未经登录的用户）访问，利用这个缺省共享可以取得用户列表。

如何防范这东东，很简单在"管理工具\本地安全策略\安全设置\本地策略\安全选项"中的"对匿名连接的额外限制"可修改为"不允许枚举SAM帐号和共享"。

内部拟定（有需要修改的请大家用带色表明）Windows 2000 Server 安全策略Windows 2000 Server 基准安全清单概述了一系列您应当遵循的步骤，来确保那些独立运行或作为 Windows NT 或 Windows 2000 域的一部分运行 Windows 2000 Server 的计算机的安全。

这些步骤适用于Windows2000 Server 和 Windows 2000 Advanced Server。

要点本清单旨在提供为 Windows 2000 Server 计算机配置安全基准级别的指导。

可以通过“安全配置工具集”配置安全设置，并将其应用到本地服务器。

可以通过“安全配置工具集”创建域安全策略，并通过“组策略”分发和应用它们。

本清单包含有关编辑注册表的信息。

在编辑注册表之前，请确认您知道在出现问题时如何恢复注册表。

有关如何操作的信息，请参阅 Regedit.exe 中的“恢复注册表”帮助主题或 Regedt32.exe 中的“恢复注册表项”帮助主题。

Windows 2000 Server 配置步骤验证所有的磁盘分区都以 NTFS 格式进行了格式化验证管理员帐户拥有一个可靠的密码禁用不必要的服务禁用或删除不必要的帐户保护文件和目录确保禁用来宾帐户保护注册表防止匿名访问应用适当的注册表 ACL限制对公用的本地安全权限 (LSA) 信息的访问设置更加可靠的密码策略设置帐户锁定策略配置管理员帐户取消所有不必要的文件共享给所有必要的文件共享设置适当的 ACL安装防病毒软件及其更新安装最新的 Service Pack在安装 Service Pack 之后安装适当的安全修补程序Windows 2000 Server 配置清单详细资料一、验证所有的磁盘分区都以 NTFS 格式进行了格式化NTFS 分区能够提供 FAT、FAT32 或 FAT32x 文件系统所不能提供的访问控制与保护。

统 ， 伴 随着 灵 活 性 而 来 的是 复 杂 性 ， 何 熟悉 、 练 应 用 组 策 略 但 如 熟
是 系 统 管 理 员 必 须 解 决 的一 个 问 题 。如 果 能 够 正 确 、 活 地 运 用 灵 组 策 略 ， 能 使 Ｗ ｉｄ ｗｓ０ ０系 统 发 挥 出 更 加 强 大 的功 能 ， 个 就 ｎｏ ２０ 为 人 用 户 和 企 业 用 户 带 来 相 当大 的利 益 。
注 册 表 中 的设 置 值 。 当然 ， 统策 略编 辑 器 也 支 持 对 当 前 注 册 表 系 的 修 改 ， 外 也 支 持 连 接 网 络 计算 机并 对 其 注册 表进 行 设 置 。而 另
组策 略及其工 具 ，则 是对 当前注册 表进行 直接修 改 。② 显然 ，
ห้องสมุดไป่ตู้
２ 组 策 略 概 述
Ｗ ｉｄｗ ００系统 的 网络 功 能 是 其 最 大 的 特 色 之 处 ，其 网络 功 ｎ ｏ ２０ ｓ 能 自然 是 不 可 少 的 ， 因此 组 策 略 工 具 还 可 以 打 开 网 络 上 的计 算 机
进 行 配 置 ， 至 可 以 打 开 某 个 Ａ ｕ ｅＤｉ ｃ ｒ 象 （ 站 点 、 甚 ｃｖ ｒ ｔ ｙ对 ｅｏ 即 域
组 策 略是 自 Ｗ ｉｄ ｗｓ９ ＮＴ 以来 ， 作 系 统 自带 的最 强 大 ｎ ｏ Ｘ／ 操 的 设 置 管 理 工 具 之 一 。 时 至 今 日 ，最 新 的 Ｗ ｉｄ ｗ ０ ｏ． ｎ ｏ ｓ２ ０ ／ ｘＰ （ ｍｅ 除 外 ）２０ Ｈｏ 版 ／ ０ ３系 统 赋 予 组 策 略 更 新 的功 能 和 特 性 ，通 过 它 ， 们 能 更 容 易 地 管 理 计 算 机 甚 至 是 网络 上 的 资 源 。 我 对 于 大 部 分 计算 机 用 户 来 说 ， 们 管 理 计 算 机 的方 法 ， 本 他 基

此外，需要注意的是，在对一个GPO进行编辑时，要“禁止”它，修改结束后重新使能。
GPO的优缺点
GPO的优点是可以让用户灵活地控制Win2K环境，但伴随着灵活性而来的是复杂性。如果能够正确、灵活地运用GPO，就能使Win2K发挥出更加强大的功能。
--------------------------------------------------------------------------------
只有运行Win2K的系统可以执行组策略，运行NT 4.0和Windows9x的客户机则无法识别到或运行具有AD架构的GPO。
组策略和AD
要充分发挥GPO的功能，需要有AD域架构的支持，利用AD可以定义一个集中的策略，所有的Win2K服务器和工作站都可以采用它。然而，每台运行Win2K的计算机都有一个本地GPO（驻留在本地计算机文件系统上的GPO），通过本地GPO，可以为每台工作站指定一个策略，它在AD域中不起作用。例如，出于安全原因，你不会在AD域中配置公用的计算机。利用本地GPO，可以通过修改本地策略来得到安全性和对台式机的限制使用而无需利用基于AD域的GPO。访问本地GPO的方法有2种，第1种方法，在需要修改GPO的计算机的“开始”菜单上选择“运行”，然后键入：gpedit.msc
GPO带来的难题
虽然GPO的功能很强大，但要掌握它可不容易。最难掌握的是如何判断一条有效的策略如何对域中的计算机或用户起作用，由于GPO可以存在于AD链中不同的层次上，这种判断就特别困难。同时，由于可以指派一个GPO的控制，因此不大容易清楚其他的GPO是否会对你没有控制权的容器中的GPO有影响。因此，计算一个计算机或用户对象接收的“策略的结果”（RSoP）是相当困难的。尽管微软还没有提供计算RSoP的工具，但已经有第三方厂商提供了相应的计算RSoP的工具。

综合性实验项目名称：使用windows组策略对计算机进行安全配置一、实验目的及要求：1.组策略是管理员为用户和计算机定义并控制程序，网络资源及操作系统行为的主要工具,通过使用组策略可以设置各种软件，计算机和用户策略。

2.我们通过实验,学会使用组策略对计算机进行安全配置。

二、实验基本原理：组策略是管理员为用户和计算机定义并控制程序，网络资源及操作系统行为的主要工具通过使用组策略可以设置各种软件，计算机和用户策略。

三、主要仪器设备及实验耗材：PC机一台,Windows2000系统，具有管理员权限账户登录四、注意事项必须以管理员或管理员组成员的身份登录win2000系统计算机配置中设置的组策略级别要高于用户配置中的级别策略五、实验内容与步骤1.在”开始”菜单中,单击”运行”命令项,输入gpedit.msc并确定，即可运行程序。

依次进行以下实验：(1)隐藏驱动器平时我们隐藏文件夹后，别人只需在文件夹选项里显示所有文件，就可以看见了，我们可以在组策略里删除这个选项。

1.使用策略前,查看”我的电脑”的驱动器,如图6-1所示图6-1 使用策略前,“我的电脑”2.选择“用户配置—>管理模板—>windows组件—>windows资源管理器”,如图6-2所示。

图6-2隐藏驱动器3.使用策略后,查看”我的电脑”的驱动器,如图6-3所示图6-3 使用策略后,“我的电脑”(2).禁止来宾账户本机登录使用电脑时，我们有时要离开座位一段时间，如果有很多正在打开的文档还没有处理完成或者正在使用隐私内容时，为了避免有人动用电脑，我们一般会把电脑锁定。

但是在局域网中，为了方便网络登录，我们有时候会建立一些来宾账户，如果对方利用这些账户来注销当前账户并登录到别的账户，就会给正常工作带来影响。

我们可以通过“组策略”来禁止一些账户在本机上的登录，让对方只能通过网络登录。

在“组策略”窗口中依次打开“计算机配置—>windows设置—>安全设置—>本地策略—>用户权限分配”，然后双击右侧窗格的”拒绝本地登录”项，在弹出的窗口中添加要禁止的用户或组即可实现,如图6-4所示图6-4 选择用户和组采取拒绝本地登录策略,如图6-5所示图6-5 拒绝本地登录(3).开启审核策略在“计算机配置—>windows设置—>安全设置—>本地策略—>审核策略”上，我们可以看到它可以审核策略更改，登录事件，对象访问，过程追踪，目录服务访问，特权使用等,这些审核可以记录下你某年某月某日某时某分某秒做过了什么操作：几时登录，关闭系统或更改过哪些策略等等,如图6-6所示图6-6 审核策略我们应该养成经常在“控制面板—>管理工具—>事件查看器”里查看事件的好习惯。

返回
6.3.2 组策略的创建
1．在非域控制器上创建本地组策略 ． 2．在域控制器上创建全局组策略对象 ． 3．将组策略对象链接到站点、域或组织单位 ．将组策略对象链接到站点、
返回
1．在非域控制器上创建本地组策略
单击【开始】 【运行】 运行】对话框的【打开】 单击【开始】|【运行】，在【运行】对话框的【打开】栏中输入 gpedit.msc，单击【确定】，即可启动 组策略管理窗口。 ，单击【确定】 即可启动Windows 2000组策略管理窗口。 组策略管理窗口 如图6.10所示。 所示。 如图 所示
返回
图6.5 组类型和作用域转换
返回
6.2.5 更改组作用域
(1) 打开 打开Active Directory 用户和计算机管理控制台。 用户和计算机管理控制台。 (2) 在控制台树中，双击域节点。 在控制台树中，双击域节点。 (3) 单击包含组的文件夹。 单击包含组的文件夹。 (4) 在详细信息窗口中，右击组，然后单击【属性】。 在详细信息窗口中，右击组，然后单击【属性】 (5) 在【常规】选项卡的【组作用域】下，单击【本地域】、【全局】 常规】选项卡的【组作用域】 单击【本地域】 全局】 所示。 或【通用】，单击【确定】。如图6.5所示。 通用】 单击【确定】 所示
注意：如果用户目前创建的组所属的域处于混合模式，则只能选择具有“域本地” 注意：如果用户目前创建的组所属的域处于混合模式，则只能选择具有“域本地”或“全局”作用域的安全组。 全局”作用域的安全组。
返回
图6.1
属性
一个新组被创建好之后，系统并没有设置该组常规属性和权限， 一个新组被创建好之后，系统并没有设置该组常规属性和权限， 也没有为其指定组成员和管理人，该组几乎不发挥任何作用。如果要 也没有为其指定组成员和管理人，该组几乎不发挥任何作用。 充分发挥组对用户和计算机账户的管理作用，用户必须设置该组的属 充分发挥组对用户和计算机账户的管理作用， 性，来解决上面提出的问题。 来解决上面提出的问题。

怎样保证Windows2000Server的日常平安管理电脑资料
1.Windows2000Server一定要安装最新的补丁SevicePack，这主要是为了修补平安破绽，
2.将磁盘分区转换成NTFS。

Windows2000使用的NTFS文件系统具有更大的平安性,可以将每个用户允许读写的文件限制在磁盘目录下的任何一个文件夹内，而且Windows2000新增的磁盘限额效劳还可以控制每个用户允许使用的磁盘空间大小。

因此，要将所有的磁盘分区格式转换成NTFS。

3.取消共享目录的Everyone组。

默认情况下，在Windows2000中新增一个共享目录时，操作系统会自动将Everyone这个用户组添加到权限模块中，这个组的默认权限是完全控制，任何人都可以对共享目录进展读写，
4.使用审核机制。

审核机制是Windows2000用来跟踪访问文件、其他对象的用户账户、尝试、系统关闭、重新启动以及类似事件的一种平安特性。

所以应对所有需要审核的用户使用审核机制。

目前，对于磁盘访问的审核机制还只能应用在NTFS文件系统之上。

5.使用平安策略。

平安策略是用于配置本地计算机的平安设置。

这些设置包括密码策略、账户锁定策略、审核策略、IP平安策略、用户权限指派、加密数据的恢复代理以及其他平安选项。

由于本地平安策略主要是针对本地用户设置的，因此只有在不是域控制器的Windows2000计算机上才可用。

第1部分Windows 2000 Server网络操作系统实验实验1.1 Windows 2000 Server网络属性配臵1、实验内容与目标1.1、熟悉网络组件及客户、服务、协议的安装。

掌握网络属性参数配臵。

1.2、根据需求选择要添加的网络组件及确定网络客户、网络服务。

1.3、由网络类型选择正确的通信协议、配臵TCP/IP协议1.4、诊断TCP/IP的连通性2、实验设备与条件2.1、硬件：PC机一台、网络适配器、局域网环境；2.2、软件：Windows Server2000操作系统。

3、实验指导3.1、Windows2000网络组件Windows2000网络组件分为客户、服务、协议三大类。

客户：是针对服务器而言的，可以提供对计算机和连接到网上的文件的访问。

Windows2000提供的客户类型有：Microsoft Networks客户，允许用户计算机访问Microsoft网络上的资源；Net Ware网关和客户端服务，允许其他Windows2000计算机不用运行Net Ware客户端软件就可以访问Net Ware服务器。

服务：是指网络的服务功能，Windows2000提供的部分服务组件功能主要如下：Microsoft Networks文件和打印服务，允许其他计算机用Microsoft 网络访问计算机上的资源；Qos数据包计划程序，即质量服务数据包计划程序。

该组件提供网络交通控制，包括流量率和优先级服务；SAP代理程序，即服务公布协议，公布网络上的服务和地址。

协议：是计算机间通信的语言，它规定了计算机间传递数据的规则，并定义相互间沟通的方法。

Windows2000中提供的协议有：⏹Internet协议（TCP/IP）⏹NetBEUI⏹Apple Talk⏹NWLink IPX/SPX/NetBIOS 兼容传输协议（NWLink）等。

Windows2000的3个主要网络协议：⏹TCP/IP协议：是Internet通信的基本发送协议，很灵活且可用于几乎任何需要传输协议的环境，但是管理比较困难，比IPX和NETBEUI慢。

（2）安全选项： ① 账户：管理员账户状态：决定 Administrator 账号是否被启用或禁用。 ② 账户：来宾账户状态：决定 Guest 账号是否 被启用或禁用。
③ 账户：使用空白密码的本地账户只允 许进行控制台登录：如果启用，使用空 白密码 的用户不允许通过网络登录计算 机。
④ 交互式登录：无须按 Ctrl+Alt+Del：在登 录界面中不需要按组合键 Ctrl+Alt+Del。 ⑤ 交互式登录：不显示后的用户名：登录系 统时不显示上一次登录用户的名称。
图4-10
设置账户锁定阈值
步骤 5：完成设置后重启计算机或在 “运行”对话框中输入“gpupdate”，使 安全策略的 设置生效。
图4-11
使设置生效的命令
任务2 设置本地策略
【任务描述】 【预备知识】
1．本地策略
账号策略用于控制登录过程，要控 制用户登录之后的操作，需要使用本地 策略。 利用本 地策略可以实现审核，指定 用户权利和设置安全选项。
【学习目标】
掌握账户策略的使用，能根据实际需求 设置用户的密码使用规则。 掌握本地策略的使用，能针对用户设置 其在系统中的各种操作权限，并能审核 所有用户 对指定文件的访问情况。


能通过组策略掌握简单的控制用户和计 算机的程序、网络资源等的使用规则。
任务1 设置账户策略
【任务描述】 【预备知识】
【任务实施】
步骤 1：在域控制器中依次单击“开始” →“程序”→“管理工具”→“域安全策略”， 打开“域安全策略”对域成员和计算机进行统 一的设置。再依次单击“安全设置” →“账户 策略”。
图4-7
打开账户策略设置界面
步骤 2：单击“账户策略”下的“密码 策略”，在窗口右侧双击打开“密码长度小 值” 的设置，输入密码长度小值“6”。

利用安全策略构建Windows 2000服务器
张宏星
【期刊名称】《宁波工程学院学报》
【年(卷),期】2005(017)004
【摘要】本文详细介绍了如何利用Windows 2000安全策略提高Windows 2000服务器的安全性能,策略给出了推荐设置值.
【总页数】4页(P47-50)
【作者】张宏星
【作者单位】宁波工程学院,浙江,宁波,315016
【正文语种】中文
【中图分类】TP309.2
【相关文献】
1.Windows2000系统服务器的安全配置方法 [J], 赵志刚
2.利用Windows2000服务器解决低档机上网问题 [J], 陈树平
3.利用Windows2000 server的终端服务实现服务器远程管理 [J], 蔡群英
4.让校园网服务器更安全——Windows2000／2003／2008服务器安全问题检测[J], 张晶
5.利用Windows 2000 Server的终端服务实现服务器的远程管理 [J], 寿智振因版权原因，仅展示原文概要，查看原文内容请购买。