組策略設置訪問

❶ 如何設置上網許可權，組策略怎樣使用

步驟/方法
1
首先我們打開開始菜單，然後選擇運行選項，如圖所示:

2
然後在打開的運行選項窗口中，我們輸入gpedit.msc命令來打開組策略，如圖所示：

3
打開組策略屬性窗口，我們依次展開，計算機配置、Windows設置、安全設置、本地策略、用戶權利指派、如圖所示：

4
然後我們可以看到右邊有很多選項，都可設置用戶許可權的選項，只要雙擊打開就可以進行設置了。

❷ 怎麼設置組策略

你可以在「開始」菜單中運行「gpedit.msc」。

1.確定一個預設的口令策略，使你的機構設置位於「計算機配置/Windows設置/安全設置/賬號策略/口令策略」之下。

2.為了防止自動口令破解，在「計算機配置/Windows設置/安全設置/賬號策略/賬號關閉策略」中進行如下設置:

·賬號關閉持續時間(確定至少5-10分鍾)

·賬號關閉極限(確定最多允許5至10次非法登錄)

·隨後重新啟動關閉的賬號(確定至少10-15分鍾以後)

3.在「計算機配置/Windows設置/安全設置/本地策略/檢查策略」中啟用如下功能:

·檢查賬號管理

·檢查登錄事件

·檢查策略改變

·檢查許可權使用

·檢查系統事件

理想的情況是，你要啟用記錄成功和失敗的登錄。但是，這取決於你要保留什麼類型的記錄以及你是否能夠管理這些記錄。Roberta Bragg在這里介紹了一些普通的檢查記錄設置。要記住，啟用每一種類型的記錄都需要你的系統處理器和硬碟提供更多的資源。

4.作為增強Windows安全的最佳做法和為攻擊者設置更多的障礙以減少對Windows的攻擊，你可以在「計算機配置/Windows設置/安全設置/本地策略/安全選項」中進行如下設置:

·賬號:重新命名管理員賬號--不是要求更有效而是增加一個安全層(確定一個新名字)

·賬號:重新命名客戶賬號(確定一個新名字)

·互動式登錄:不要顯示最後一個用戶的名字(設置為啟用)

·互動式登錄:不需要最後一個用戶的名字(設置為關閉)

·互動式登錄: 為企圖登錄的用戶提供一個消息文本(確定為讓用戶閱讀banner text(旗幟文本)，內容大致為「這是專用和受控的系統。

如果你濫用本系統，你將受到制裁。--首先讓你的律師運行這個程序)

·互動式登錄: 為企圖登錄的用戶提供的消息題目--在警告!!!後面寫的東西

·網路接入:不允許SAM賬號和共享目錄(設置為「啟用」)

·網路接入:將「允許每一個人申請匿名用戶」設置為關閉

·網路安全:「不得存儲區域網管理員關於下一個口令變化的散列值」設置為「啟用」

·關機:「允許系統在沒有登錄的情況下關閉」設置為「關閉」

·關機:「清除虛擬內存的頁面文件」設置為「啟用」

❸ win10組策略拒絕訪問

1.在運行框 裡面輸入「gpedit.msc」。

2.打開組策略編輯器，打開windows設置。
3.打開安全設置。
4.打開本地策略。

5.打開安全選項。
6.打開用戶帳戶控制：用於內置管理員賬戶的管理員批准模式。
7.選中已啟用，保存退出。

❹ 怎麼用組策略修改用戶的軟體使用和網路訪問許可權

設置用戶訪問許可權：要賦予本機用戶FireYDC對E:\123目錄及其所有子目錄中的文件有完全控制許可權。在命令提示符對話框中輸入「Cacls E:\123 /t /e /c /g FireYDC:f 」命令即可。替換用戶訪問許可權：將本機用戶FireYDC的完全控制許可權替換為只讀許可權。在命令提示符對話框中輸入「 Cacls E:\123 /t /e /c /p FireYDC:r 」命令即可。撤銷用戶訪問許可權：要想撤銷本機用戶FireYDC對E:\123目錄的完全控制許可權也很容易，在命令提示符中運行「Cacls E:\123 /t /e /c /r FireYDC」即可。拒絕用戶訪問：要想拒絕用戶FireYDC訪問E:\123目錄及其所有子目錄中的文件，運行「Cacls E:\123 /t /e /c /d FireYDC」即可。

❺ 怎樣通過組策略設置禁止從我的電腦訪問磁碟分區

打開組策略
在用戶配置--管理模板--window組件--windows資源管理器,右邊找到[防止從我的電腦訪問驅動器]
雙擊打開就可以進行設置

❻ 在組策略表(gpedit.msc)怎麼設置允許其他計算機訪問

具體解決方法如下:
一、網上鄰居→本地連接→屬性里，檢查是否安裝了「Microsoft網路的文件和列印機共享」
二、控制面板→管理工具→本地安全策略→本地策略→用戶權利指派里，「從網路訪問此計算機」中加入guest帳戶，而「拒絕從網路訪問這台計算機」中刪除guest帳戶。

三、我的電腦→工具→文件夾選項→查看→去掉「使用簡單文件共享（推薦）」前的勾
四、控制面板→管理工具→本地安全策略→本地策略→安全選項里，把「網路訪問：本地帳戶的共享和安全模 式」設為「僅來賓-本地用戶以來賓的身份驗證」（可選，此項設置可去除訪問時要求輸入密碼的對話框，也可視情況設為「經典-本地用戶以自己的身份驗證」）。

五、右擊「我的電腦」→「屬性」→「計算機名」，看該選項卡中有沒有出現你的區域網工作組名稱，如「workgroup」等。然後單擊「網路 ID」按鈕，開始「網路標識向導」：單擊「下一步」，選擇「本機是商業網路的一部分，用它連接到其他工作著的計算機」；單擊「下一步」，選擇「公司使用沒有域的網路」；單擊「下一步」按鈕，然後輸入你的區域網的工作組名，如「work」，再次單擊「下一步」按鈕，最後單擊「完成」按鈕完成設置。

六、開通GUEST用戶，修改注冊表，HKEY_LOCAL_MACHINE\\SYSTEM\\currentcontrolset\\control\\lsa\\restrictanonymous值設為0，重啟一下電腦，就可以訪問了。

❼ 如何設置電腦訪問許可權

1、首先點擊電腦桌面左下角的windows圖標，在彈出來的選項裡面點擊右側頭像進入。

❽ 怎麼設置特定的用戶訪問共享文件夾

針對只允許特定IP或用戶訪問共享文件夾的問題，我們其實可以藉助「組策略」來實現。在組策略編輯器中，有一項「控制策略」，就是「IP安全策略」功能，可以實現對區域網IP地址的過濾及訪問許可權指定功能。直接打開「運行」窗口，輸入「gpedit.msc」並按回車即可打開「組策略」界面。

從打開的「組策略」編輯界面中，依次選擇「本地策略」-「IP安全策略」，並在右側找到「IP安全策略」項進行屬性設置界面。當然，針對Win10家庭版等操作系統中沒有組策略編輯器的電腦，可以通過MMC「控制單元」來添加「IP本地安全策略」功能。

通過組策略設置特定用戶或IP訪問共享文件夾的方法如下：
打開：控制面版--管理工具-本地安全設置。點左邊的
IP安全策略，在本地計算機。 然後在右邊點右鍵--創建IP安全策略，打開IP安全策略向導。 下一步，出現IP安全策略名稱，隨便起個就行。比如叫
阻止192.168.1.16 下一步，出現激活默認響應規則，不要選中，把鉤去掉。 下一步，選中編輯屬性，完成。 然後出現了
IP安全策略屬性，點下邊的添加，出現規則屬性，點擊添加，出現IP策略器列表。把使用添加向導去掉，點右邊的添加，出現篩選器屬性。 定址欄 原地址選
一個特定的IP 192.168.1.163。目標IP是 我的IP地址。然後點擊確定。

接著回到【
IP
篩選器】列表界面並點擊「確定中」按鈕，從打開的「規則屬性里」界面中可以看到多出一個列表，此時選中它，切換到「篩選器」操作選項卡，把使用添加向導去掉，點擊添加。在出現的篩選器操作
屬性里的安全措施選項卡中，選擇 阻止，點擊確定。在篩選器操作選項卡中會多出一個阻止的選項，選中它。
總之，在IP篩選器列表中你要選中你建的那個列表，篩選器操作中要選中阻止。然後點擊應用以後關閉。 現在回到 IP安全策略 屬性
這里，把你建的IP篩選器列表鉤上，點擊關閉。 這時，在你最開始打開的 本地安全設置里 會多出一個策略，就是你建立的
「阻止192.168.1.16」。在它身上點右鍵，選擇指派，就可以實現對應的功能啦。

雖然以上的方法可以實現對共享文件夾的訪問許可權控制，只允許特定用戶和IP訪問此共享文件夾，但以上方法存在明顯的不足之外，就是需要操作人員具備一定的計算機基礎及網路分析能力，同時其操作過程比較復雜。針對以上問題和不足，我們可以藉助專門用於對共享文件夾進行管理的軟體來實現，直接在網路中搜索「大勢至共享文件審計系統」以獲取程序下載地址。

下載並解壓「大勢至共享文件審計系統」解壓包，雙擊「SharedFileMonitorMain.Trial.exe」程序即可啟動主程序。在其主界面中，點擊「綁定許可」按鈕，即可在彈出的「IP/MAC綁定」界面中，將IP地址與用戶進行綁定。

接下來在「當前共享文件列表」中選中想要設置訪問許可權的共享文件夾，並從左側「用戶列表」中選擇或添加想要為你設置訪問共享文件夾許可權的用戶，就可以在「用戶許可權」列表中為其指定特定的訪問許可權啦。

「大勢至共享文件審計系統」具有非常強大的共享文件夾許可權控制功能，可以實現對共享文件夾「禁止刪除」、「禁止修改」、「禁止另存為」以及「禁止列印」、「禁止拷貝」、「禁止復制內容」等操作。
同時還支持多用戶訪問許可權分配功能，針對同一共享文件夾可以分配給多個不同用戶訪問許可權，從而實現共享文件夾的多樣化訪問許可權控制。
當然，要想實現以上所述的所有功能，就必須將客戶端程序「FileLockerMain.exe」拷貝到共享文件夾目錄中。對於其它想要訪問此文件夾的用戶，需要先運行此客戶端程序才能正常按訪問許可權所規定的訪問對應的共享文件夾。

❾ 組策略如何限制IE訪問網站

在本篇技術指南中，將概要介紹你如何修改最重要的組策略安全設置。

在本篇技術指南中，將概要介紹你如何修改最重要的組策略安全設置。

你可以在採用Windows XP、2000和Server 2003操作系統的本地計算機上使用這些方法，或者在Server 2003和2000中的OU域名級上使用這些方法。為了簡明扼要和提供最新的信息，我准備介紹一下如何設置基於Windows Server 2003的域名。請記住，這些只是你在你的域名中能夠設置的組策略對象中最有可能出現問題的。按照我的觀點，這些設置可以保持或者破壞Windows的安全。而且由於設置的不同，你的進展也不同。因此，我鼓勵你在使用每一個設置之前都進行深入的研究，以確保這些設置能夠兼容你的網路。如果有可能的話，對這些設置進行試驗(如果你很幸運有一個測試環境的話)。

如果你沒有進行測試，我建議你下載和安裝微軟的組策略管理控制台(GPMC)來做這些改變。這個程序能夠把組策略管理任務集中到一個單一的界面讓你更全面地查看你的域名。要開始這個編輯流程，你就上載GPMC，擴展你的域名，用滑鼠右鍵點擊「預設域名策略」，然後選擇「編輯」。這樣就裝載了組策略對象編輯器。如果你要以更快的速度或者「次企業級」的方式編輯你的域名組策略對象，你可以在「開始」菜單中運行「gpedit.msc」。

1.確定一個預設的口令策略，使你的機構設置位於「計算機配置/Windows設置/安全設置/賬號策略/口令策略」之下。

2.為了防止自動口令破解，在「計算機配置/Windows設置/安全設置/賬號策略/賬號關閉策略」中進行如下設置:

·賬號關閉持續時間(確定至少5-10分鍾)

·賬號關閉極限(確定最多允許5至10次非法登錄)

·隨後重新啟動關閉的賬號(確定至少10-15分鍾以後)

3.在「計算機配置/Windows設置/安全設置/本地策略/檢查策略」中啟用如下功能:

·檢查賬號管理

·檢查登錄事件

·檢查策略改變

·檢查許可權使用

·檢查系統事件

理想的情況是，你要啟用記錄成功和失敗的登錄。但是，這取決於你要保留什麼類型的記錄以及你是否能夠管理這些記錄。Roberta Bragg在這里介紹了一些普通的檢查記錄設置。要記住，啟用每一種類型的記錄都需要你的系統處理器和硬碟提供更多的資源。

4.作為增強Windows安全的最佳做法和為攻擊者設置更多的障礙以減少對Windows的攻擊，你可以在「計算機配置/Windows設置/安全設置/本地策略/安全選項」中進行如下設置:

·賬號:重新命名管理員賬號--不是要求更有效而是增加一個安全層(確定一個新名字)

·賬號:重新命名客戶賬號(確定一個新名字)

·互動式登錄:不要顯示最後一個用戶的名字(設置為啟用)

·互動式登錄:不需要最後一個用戶的名字(設置為關閉)

·互動式登錄: 為企圖登錄的用戶提供一個消息文本(確定為讓用戶閱讀banner text(旗幟文本)，內容大致為「這是專用和受控的系統。

如果你濫用本系統，你將受到制裁。--首先讓你的律師運行這個程序)

·互動式登錄: 為企圖登錄的用戶提供的消息題目--在警告!!!後面寫的東西

·網路接入:不允許SAM賬號和共享目錄(設置為「啟用」)

·網路接入:將「允許每一個人申請匿名用戶」設置為關閉

·網路安全:「不得存儲區域網管理員關於下一個口令變化的散列值」設置為「啟用」

·關機:「允許系統在沒有登錄的情況下關閉」設置為「關閉」

·關機:「清除虛擬內存的頁面文件」設置為「啟用」

如果你沒有Windows Server 2003域名控制器，你在這里可以找到有哪些Windows XP本地安全設置的細節，以及這里有哪些詳細的Windows 2000 Server組策略的設置。要了解更多的有關Windows Server 2003組策略的信息，請查看微軟的專門網頁。

十一、如何設置IE中的安全設置選項按鈕？
問:我在Windows 2000桌面右擊IE圖標並選擇「屬性」，選擇了「安全」標簽後，發現「自定義級別」和「默認級別」按鈕變成灰色不可選狀態，無法改變IE的安全等級。請問該如何解決？

答:出現這個問題的原因是系統在注冊表中添加了一個「SecChangeSettings」鍵進行了限制。請打開注冊表編輯器，找到[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]，將右側窗口中的「SecChangeSettings」鍵刪除後，重啟IE即可解決問題。

十二、FAT32轉換為NTFS
如果要使用文件訪問許可權，文件還必須位於NTFS文件系統的分區上。跟FAT和FAT32文件系統相比，NTFS文件系統可以在保持簇大小不變的情況下支持更大的分區，還有一系列的安全特性，建議使用。不過DOS和Windows 9x操作系統並不能支持這種文件系統。有兩種方法獲得NTFS文件系統的分區：創建一個分區，然後格式化為NTFS文件系統；或者把現有的FAT或者FAT32文件系統的分區在保留數據的前提下轉化為NTFS文件系統。這個轉化可以使用Windows自帶的convert.exe程序，在命令行狀態下輸入「convert c:/fs:ntfs」並回車就可以把C盤轉換，其他盤需要替換C為相應的盤符。另外要注意，轉換系統盤可能需要你重啟動系統才能完成。

十三、用組策略從十大方面保護Windows安全
Windows操作系統中組策略的應用無處不在，如何讓系統更安全，也是一個常論不休的話題，下面就讓我們一起來看看通過組策略如何給Windows系統練就一身金鍾罩。

一、給我們的IP添加安全策略

在「計算機配置」→「Windows設置」→「安全設置」→「IP 安全策略，在本地計算機」下與有與網路有關的幾個設置項目(如圖1)。如果大家對Internet較為熟悉，那也可以通過它來添加或修改更多的網路安全設置，這樣在Windows上運行網路程序或者暢游Internet時將會更加安全。
小提示 :由於此項較為專業，其間會涉及到很多的專業概念，一般用戶用不到，在這里只是給網路管理員們提個醒，因此在此略過。

二、隱藏驅動器

平時我們隱藏文件夾後，別人只需在文件夾選項里顯示所有文件，就可以看見了，我們可以在組策略里刪除這個選項：選擇「用戶配置→管理模板→Windows組件→Windows資源管理器」。

三、禁用指定的文件類型

在「組策略」中，我們可以禁用SHS、MSI、BAT、CMD、COM、EXE等程序文件類型，而且不影響系統的正常運行。這里假設我們要禁用注冊表的REG文件，不讓系統運行REG文件，具體操作方法如下：

1. 打開組策略，點擊「計算機配置→Windows設置→安全設置→軟體限制策略」，在彈出的右鍵菜單上選擇「創建軟體限制策略」，即生成「安全級別」、「其他規則」及「強制」、「指派的文件類型」、「受信任的出版商」項。

2. 雙擊「指派的文件類型」打開「指派的文件類型屬性」窗口，只留下REG文件類型，將其他的文件全部刪除，如果還有其他的文件類型要禁用，可以再次打開這個窗口，在「文件擴展名」空白欄里輸入要禁用的文件類型，將它添加上去。

3. 雙擊「安全級別→不允許的」項，點擊「設為默認」按鈕。然後注銷系統或者重新啟動系統，此策略即生效，運行REG文件時，會提示「由於一個軟體限制策略的阻止，Windows無法打開此程序」。

4.要取消此軟體限制策略的話，雙擊「安全級別→不受限的」，打開「不受限的屬性」窗口，按「設為默認值」即可。

如果你滑鼠右鍵點擊「計算機配置→Windows設置→安全設置→軟體限制策略→其他規則」，你會看到它可以建立哈希規則、Internet 區域規則、路徑規則等策略，利用這些規則我們可以讓系統更加安全，比如利用「路徑規則」可以為電子郵件程序用來運行附件的文件夾創建路徑規則，並將安全級別設置為「不允許的」，以防止電子郵件病毒。

提示：為了避免「軟體限制策略」將系統管理員也限制，我們可以雙擊「強制」，選擇「除本地管理員以外的所有用戶」。如果用你的是文件類型限制策略，此選項可以確保管理員有權運行被限制的文件類型，而其他用戶無權運行。

四、未經許可，不得在本機登錄

使用電腦時，我們有時要離開座位一段時間。如果有很多正在打開的文檔還沒有處理完成或者正在下載東西、掛POPO等等，為了避免有人動用電腦，我們一般會把電腦鎖定。但是在區域網中，為了方便網路登錄，我們有時候會建立一些來賓賬戶，如果對方利用這些賬戶來注銷當前賬戶登錄到別的賬戶，那就麻煩了。既然我們不能刪除或禁用這些賬戶，那麼我們可以通過「組策略」來禁止一些賬戶在本機上登錄，讓對方只能通過網路登錄。

在「組策略」窗口中依次打開「計算機配置→Windows設置→安全設置→本地策略→用戶許可權分配」，然後雙擊右側窗格的「拒絕本地登錄」項，在彈出的窗口中添加要禁止的用戶或組即可實現。

如果我們想反其道而行之，禁止用戶從網路登錄，只能從本地登錄，可以雙擊「拒絕從網路訪問這台計算機」項將用戶加上去。

五、給「休眠」和「待機」加個密碼

只有「屏幕保護」有密碼是遠遠不夠安全的，我們還要給「休眠」和「待機」加上密碼，這樣才會更安全。讓我們來給「休眠」和「待機」加上密碼吧。在「組策略」窗口中展開「用戶配置→管理模板→系統→電源管理」，在右邊的窗格中雙擊「從休眠/掛起恢復時提示輸入密碼」，將其設置為「已啟用」(圖5)，那麼當我們從「待機」或「休眠」狀態返回時將會要求你輸入用戶密碼。

六、自動給操作做個記錄

在「計算機配置→Windows設置→安全設置→本地策略→審核策略」上，我們可以看到它可以審核策略更改、登錄事件、對象訪問、過程追蹤、目錄服務訪問、特權使用等(圖6)。這些審核可以記錄下你某年某月某日某時某分某秒做過了什麼操作：幾時登錄、關閉系統或更改過哪些策略等等。

我們應該養成經常在「控制面板→管理工具→事件查看器」里查看事件的好習慣。比如，當你修改過「組策略」後，系統就發生了問題，此時「事件查看器」就會及時告訴你改了哪些策略。在「登錄事件」里，你可以查看到詳細的登錄事件，知道有人曾嘗試使用禁用的賬戶登錄、誰的賬戶密碼已過期……而要啟用哪些審核，只要雙擊相應的項目，選中「成功」和「失敗」兩個選項即可。

注意：Windows XP Home Edition沒有「組策略」，只有Windows XP Professional版本才有「組策略」，這一點注意。

七、限制IE瀏覽器的保存功能

當多人共用一台計算機時，為了保持硬碟的整潔，需要對瀏覽器的保存功能進行限制使用，那麼如何才能實現呢?具體方法為：選擇「用戶設置」→「管理模板」→「Windows組件」→「Internet Explorer」→「瀏覽器菜單」分支。雙擊右側窗格中的「『文件』菜單：禁用『另存為…』菜單項」，在打開的設置窗口中選中「已啟用」單選按鈕(如圖7)。
提示 : 我們還可以對「『文件』菜單：禁用另存為網頁菜單項」、「『查看』菜單：禁用『源文件』菜單項」和「禁用上下文菜單」等策略項目進行修改，這樣我們的IE將會安全一些。

八、禁止修改IE瀏覽器的主頁

如果您不希望他人或網路上的一些惡意代碼對自己設定的IE瀏覽器主頁進行隨意更改的話，我們可以選擇「用戶配置」→「管理模板」→「Windows 組件」→「Internet Explorer」分支，然後在右側窗格中，雙擊「禁用更改主頁設置」策略啟用即可。
(1)在圖8，還提供了更改歷史記錄設置、更改顏色設置和更改Internet臨時文件設置等項目的禁用功能。如果啟用了這個策略，在IE瀏覽器的「Internet 選項」對話框中，其「常規」選項卡的「主頁」區域的設置將變灰。

(2)如果設置了位於「用戶配置」→「管理模板」→「Windows 組件」→「Internet Explorer」→「Internet 控制面板」中的「禁用常規頁」策略，則無需設置該策略，因為「禁用常規頁」策略將刪除界面上的「常規」選項卡。

(3)逐級展開「用戶設置」→「管理模板」→「Windows組件」→「Internet Explorer」分支，我們可以在其下發現「Internet控制面板」、「離線頁」、「瀏覽器菜單」、「工具欄」、「持續行為」和「管理員認可的控制項」等策略選項。利用它可以充分打造一個極有個性和安全的IE。

九、把Administrator藏起來

Windows系統默認的系統管理員賬戶名是Administrator。因此，為了避免有人惡意破解系統管理員Administrator賬戶的密碼，我們可以將Administrator改為其他名字以加強安全。點擊「開始→運行」，輸入gpedit.msc，打開「組策略」，如圖9所示，選擇「計算機配置→Windows設置→安全設置→本地策略→安全選項」，在右邊窗格里雙擊「賬戶：重命名系統管理員賬戶」項，在上面輸入你想要的用戶名。重新啟動計算機後，輸入的新用戶名即刻生效。如果再新建一個Guest用戶，用戶名為Administrator，然後再加上十分復雜的密碼就更安全。

提示：為了避免讓人在Windows的登錄框中看到曾經登錄過的用戶名，就要雙擊「互動式登錄：不顯示上次的用戶名」子項，選擇「已啟用」將該策略啟用。這樣上次登錄到計算機的用戶名就不會顯示在Windows的登錄畫面中。

十.禁用IE組件自動安裝

選擇「計算機配置」→「管理模板」→「Windows組件」→「Internet Explorer」項目，雙擊右邊窗口中「禁用Internet Explorer組件的自動安裝」項目，在打開的窗口中選擇「已啟用」單選按鈕(如圖10)，將會禁止 Internet Explorer 自動安裝組件。這樣可以防止 Internet Explorer 在用戶訪問到需要某個組件的網站時下載該組件，篡改IE的行為也會得到遏制!相對來說IE也會安全許多!

小提示

如果禁用該策略或不對其進行配置，則用戶在訪問需要某個組件的網站時，將會收到一則消息，提示用戶下載並安裝該組件。有時用戶看也不看就選擇「安裝」則往往會出問題。網上的很多惡意代碼往往都是這樣工作的。

十四、Windows 2000 安全檢查清單
在網上偶爾看到這篇關於Window 2000安全的問題，雖然有點老了，但覺得還是挺實用的，於是就轉過來了，希望大家有所幫助。注意：很多操作請不要在伺服器上直接嘗試，因為操作不當可能會引起伺服器很多功能出錯或無法使用，建議您在個人的機器上操作成功後再試。 ---51windows(海娃)

前段時間，中美網路大戰，我看了一些被黑的伺服器，發現絕大部分被黑的伺服器都是Nt/win2000的機器，真是慘不忍睹。Windows2000 真的那麼不安全么？其實，Windows2000 含有很多的安全功能和選項，如果你合理的配置它們，那麼windows 2000將會是一個很安全的操作系統.我抽空翻了一些網站，翻譯加湊數的整理了一篇checklist出來。希望對win2000管理員有些幫助。本文並沒有什麼高深的東西，所謂的清單，也並不完善，很多東西要等以後慢慢加了，希望能給管理員作一參考。

具體清單如下：

初級安全篇

1.物理安全

伺服器應該安放在安裝了監視器的隔離房間內，並且監視器要保留15天以上的攝像記錄。另外，機箱,鍵盤，電腦桌抽屜要上鎖，以確保旁人即使進入房間也無法使用電腦，鑰匙要放在另外的安全的地方。

2.停掉Guest 帳號

在計算機管理的用戶裡面把guest帳號停用掉，任何時候都不允許guest帳號登陸系統。為了保險起見，最好給guest 加一個復雜的密碼，你可以打開記事本，在裡面輸入一串包含特殊字元,數字，字母的長字元串，然後把它作為guest帳號的密碼拷進去。

3．限制不必要的用戶數量

去掉所有的plicate user 帳戶, 測試用帳戶, 共享帳號，普通部門帳號等等。用戶組策略設置相應許可權，並且經常檢查系統的帳戶，刪除已經不在使用的帳戶。這些帳戶很多時候都是黑客們入侵系統的突破口，系統的帳戶越多，黑客們得到合法用戶的許可權可能性一般也就越大。國內的nt/2000主機，如果系統帳戶超過10個，一般都能找出一兩個弱口令帳戶。我曾經發現一台主機197個帳戶中竟然有180個帳號都是弱口令帳戶。

4．創建2個管理員用帳號

雖然這點看上去和上面這點有些矛盾，但事實上是服從上面的規則的。創建一個一般許可權帳號用來收信以及處理一些日常事物，另一個擁有Administrators 許可權的帳戶只在需要的時候使用。可以讓管理員使用 「 RunAS」 命令來執行一些需要特權才能作的一些工作，以方便管理。

5．把系統administrator帳號改名

大家都知道，windows 2000 的administrator帳號是不能被停用的，這意味著別人可以一遍又一邊的嘗試這個帳戶的密碼。把Administrator帳戶改名可以有效的防止這一點。當然，請不要使用Admin之類的名字，改了等於沒改，盡量把它偽裝成普通用戶，比如改成：guestone 。

6．創建一個陷阱帳號

什麼是陷阱帳號? Look!>創建一個名為」 Administrator」的本地帳戶，把它的許可權設置成最低，什麼事也幹不了的那種，並且加上一個超過10位的超級復雜密碼。這樣可以讓那些 Scripts s忙上一段時間了，並且可以藉此發現它們的入侵企圖。或者在它的login scripts上面做點手腳。嘿嘿，夠損！

7．把共享文件的許可權從」everyone」組改成「授權用戶」

「everyone」 在win2000中意味著任何有權進入你的網路的用戶都能夠獲得這些共享資料。任何時候都不要把共享文件的用戶設置成」everyone」組。包括列印共享，默認的屬性就是」everyone」組的，一定不要忘了改。

8．使用安全密碼

一個好的密碼對於一個網路是非常重要的，但是它是最容易被忽略的。前面的所說的也許已經可以說明這一點了。一些公司的管理員創建帳號的時候往往用公司名，計算機名，或者一些別的一猜就到的東西做用戶名，然後又把這些帳戶的密碼設置得N簡單，比如 「welcome」 「iloveyou」 「letmein」或者和用戶名相同等等。這樣的帳戶應該要求用戶首此登陸的時候更改成復雜的密碼，還要注意經常更改密碼。前些天在IRC和人討論這一問題的時候，我們給好密碼下了個定義：安全期內無法破解出來的密碼就是好密碼，也就是說，如果人家得到了你的密碼文檔，必須花43天或者更長的時間才能破解出來，而你的密碼策略是42天必須改密碼。

9．設置屏幕保護密碼

很簡單也很有必要，設置屏幕保護密碼也是防止內部人員破壞伺服器的一個屏障。注意不要使用OpenGL和一些復雜的屏幕保護程序，浪費系統資源，讓他黑屏就可以了。還有一點，所有系統用戶所使用的機器也最好加上屏幕保護密碼。

10． 使用NTFS格式分區

把伺服器的所有分區都改成NTFS格式。NTFS文件系統要比FAT,FAT32的文件系統安全得多。這點不必多說，想必大家得伺服器都已經是NTFS的了。

11．運行防毒軟體

我見過的Win2000/Nt伺服器從來沒有見到有安裝了防毒軟體的，其實這一點非常重要。一些好的殺毒軟體不僅能殺掉一些著名的病毒，還能查殺大量木馬和後門程序。這樣的話，「黑客」們使用的那些有名的木馬就毫無用武之地了。不要忘了經常升級病毒庫

12．保障備份盤的安全

一旦系統資料被破壞，備份盤將是你恢復資料的唯一途徑。備份完資料後，把備份盤防在安全的地方。千萬別把資料備份在同一台伺服器上，那樣的話，還不如不要備份。

中級安全篇：

1．利用win2000的安全配置工具來配置策略

微軟提供了一套的基於MMC(管理控制台)安全配置和分析工具，利用他們你可以很方便的配置你的伺服器以滿足你的要求。具體內容請參考微軟主頁：
www.microsoft.com/windows2000/techinfo/howitworks/security/sctoolset.asp

2．關閉不必要的服務

windows 2000 的 Terminal Services（終端服務），IIS ,和RAS都可能給你的系統帶來安全漏洞。為了能夠在遠程方便的管理伺服器，很多機器的終端服務都是開著的，如果你的也開了，要確認你已經正確的配置了終端服務。有些惡意的程序也能以服務方式悄悄的運行。要留意伺服器上面開啟的所有服務，中期性(每天)的檢查他們。下面是C2級別安裝的默認服務：
Computer Browser service TCP/IP NetBIOS Helper
Microsoft DNS server Spooler
NTLM SSP Server
RPC Locator WINS
RPC service Workstation
Netlogon Event log

3．關閉不必要的埠

關閉埠意味著減少功能，在安全和功能上面需要你作一點決策。如果伺服器安裝在防火牆的後面，冒的險就會少些，但是，永遠不要認為你可以高枕無憂了。用埠掃描器掃描系統所開放的埠，確定開放了哪些服務是黑客入侵你的系統的第一步。\system32\drivers\etc\services 文件中有知名埠和服務的對照表可供參考。具體方法為：
網上鄰居>屬性>本地連接>屬性>internet 協議(tcp/ip)>屬性>高級>選項>tcp/ip篩選>屬性打開tcp/ip篩選，添加需要的tcp,udp,協議即可。

4．打開審核策略

開啟安全審核是win2000最基本的入侵檢測方法。當有人嘗試對你的系統進行某些方式（如嘗試用戶密碼,改變帳戶策略，未經許可的文件訪問等等）入侵的時候，都會被安全審核記錄下來。很多的管理員在系統被入侵了幾個月都不知道，直到系統遭到破壞。下面的這些審核是必須開啟的，其他的可以根據需要增加：
策略 設置
審核系統登陸事件 成功，失敗
審核帳戶管理 成功，失敗
審核登陸事件 成功，失敗
審核對象訪問 成功
審核策略更改 成功，失敗
審核特權使用 成功，失敗
審核系統事件 成功，失敗

5．開啟密碼密碼策略

策略 設置
密碼復雜性要求 啟用
密碼長度最小值 6位
強制密碼歷史 5 次
強制密碼歷史 42 天

6．開啟帳戶策略

策略 設置
復位帳戶鎖定計數器 20分鍾
帳戶鎖定時間 20分鍾
帳戶鎖定閾值 3次

7．設定安全記錄的訪問許可權

安全記錄在默認情況下是沒有保護的，把他設置成只有Administrator和系統帳戶才有權訪問。

8．把敏感文件存放在另外的文件伺服器中

雖然現在伺服器的硬碟容量都很大，但是你還是應該考慮是否有必要把一些重要的用戶數據(文件，數據表，項目文件等)存放在另外一個安全的伺服器中，並且經常備份它們。

9.不讓系統顯示上次登陸的用戶名

默認情況下，終端服務接入伺服器時，登陸對話框中會顯示上次登陸的帳戶明，本地的登陸對話框也是一樣。這使得別人可以很容易的得到系統的一些用戶名，進而作密碼猜測。修改注冊表可以不讓對話框里顯示上次登陸的用戶名，具體是： HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\DontDisplayLastUserName 把 REG_SZ 的鍵值改成 1 .

10．禁止建立空連接

默認情況下，任何用戶通過通過空連接連上伺服器，進而枚舉出帳號，猜測密碼。我們可以通過修改注冊表來禁止建立空連接： Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成」1」即可。

11．到微軟網站下載最新的補丁程序

很多網路管理員沒有訪問安全站點的習慣，以至於一些漏洞都出了很久了，還放著伺服器的漏洞不補給人家當靶子用。誰也不敢保證數百萬行以上代碼的2000不出一點安全漏洞，經常訪問微軟和一些安全站點，下載最新的service pack和漏洞補丁，是保障伺服器長久安全的唯一方法。

❿ 如何在注冊表裡修改訪問組策略許可權求大神幫助

可以通過組策略來限制和許可權設置！~點擊「開始」菜單打開「運行」窗口，輸入「gpedit.msc」，打開「組策略」編輯器