Win server 應用組策略和安全

組策略用于從一個單獨的點對多個Microsoft Active Directory目錄服務用戶和計算機對象進行配置。在默認情況下，策略不僅影響應用該策略的容器中的對象，還影響子容器中的對象。

專注于為中小企業(yè)提供成都網站設計、成都網站制作服務,電腦端+手機端+微信端的三站合一,更高效的管理,為中小企業(yè)鐵西免費做網站提供優(yōu)質的服務。我們立足成都，凝聚了一批互聯(lián)網行業(yè)人才，有力地推動了1000多家企業(yè)的穩(wěn)健成長，幫助中小企業(yè)通過網站建設實現(xiàn)規(guī)模擴充和轉變。

組策略包含了"計算機配置、Windows 設置、安全設置"下的安全設置。您可將預先配置的安全模板導入策略，來完成對這些設置的配置。

應用組策略

下列步驟顯示了如何應用組策略，以及如何向"用戶權限分配"添加安全組。

將組策略應用于組織單位或域

1.依次單擊"開始"、"管理工具"、"Active Directory 用戶和計算機"，打開"Active Directory 用戶和計算機"。

2.突出顯示相關域或組織單位，單擊"操作"菜單，選擇"屬性"。

3.選擇"組策略"選項卡。

注意：每個容器可應用多個策略。這些策略的處理順序是從列表的底部向上。如果出現(xiàn)沖突，最后應用的策略優(yōu)先。

4.單擊"新建"創(chuàng)建一個策略，并為其指定有實際意義的名稱，如"域策略"。

注意：單擊"選項"按鈕可配置"禁止替代"設置。"禁止替代"是為每個單獨的策略配置的，而不是為整個容器；"阻止策略繼承"則是為整個容器配置的。如果"禁止替代"和"阻止策略繼承"設置發(fā)生沖突，"禁止替代"設置優(yōu)先。要配置"阻止策略繼承"，請選中 OU 屬性中的復選框。

組策略可自動更新，但為了立即啟動更新過程，可在命令提示符下使用下面的 GPUpdate 命令：GPUpdate /force

向"用戶權限分配"添加安全組

1.依次單擊"開始"、"管理工具"、"Active Directory 用戶和計算機"，打開"Active Directory 用戶和計算機"。

2.突出顯示相關 OU(如"成員服務器")，單擊"操作"菜單，選擇"屬性"。

3.單擊"組策略"選項卡，選擇相關策略(如"成員服務器基準策略")，然后單擊"編輯"。

4.在"組策略對象編輯器"中，依次展開"計算機配置"、"Windows 設置"、"安全設置"、"本地策略"，然后突出顯示"用戶權限分配"。

5.在右側窗格中，右鍵單擊相關用戶權限。

6.選中"定義這些策略設置"復選框，單擊"添加用戶和組"修改該列表。

7.單擊"確定"。

將安全模板導入組策略

下列步驟顯示了如何向組策略導入安全模板。

導入安全模板

1.依次單擊"開始"、"管理工具"、"Active Directory 用戶和計算機"，打開"Active Directory 用戶和計算機"。

2.突出顯示相關域或 OU，單擊"操作"菜單，選擇"屬性"。

3.選擇"組策略"選項卡。

4.突出顯示相關策略，單擊"編輯"。

5.依次展開"計算機配置"、"Windows 設置"，然后突出顯示"安全設置"。

6.單擊"操作"菜單，選擇"導入策略"。

7.導航到 Security GuideJob Aids，選擇相關模板，單擊"打開"。

8.在"組策略對象編輯器"中，單擊"文件"菜單，選擇"退出"。

9.在容器屬性中，單擊"確定"。

使用"安全配置和分析"

下列步驟顯示了如何使用"安全配置和分析"來導入、分析和應用安全模板。

導入安全模板

1.依次單擊"開始"、"運行"。在"打開"文本框中鍵入 mmc，然后單擊"確定"。

2.在 Microsoft 管理控制臺中，單擊"文件"，選擇"添加/刪除管理單元"。

3.單擊"添加"，突出顯示列表中的"安全配置和分析"。

4.依次單擊"添加"、"關閉"、"確定"。

5.突出顯示"安全配置和分析"，單擊"操作"菜單，選擇"打開數據庫"。

6.鍵入新的`數據庫名稱(如 Bastion Host)，單擊"打開"。

7.在"導入模板"界面中，導航到 Security GuideJob Aids，選擇相關模板。單擊"打開"。

分析導入的模板并與當前設置比較

1.突出顯示 Microsoft 管理單元中的"安全配置和分析"，單擊"操作"菜單，并選擇"立即分析計算機"。

2.單擊"確定"，接受默認的"錯誤日志文件路徑"。

3.完成分析后，展開節(jié)點標題對結果進行研究。

應用安全模板

1.突出顯示 Microsoft 管理單元中的"安全配置和分析"，單擊"操作"菜單，選擇"立即配置計算機"。

2.單擊"確定"，接受默認的"錯誤日志文件路徑"。

3.在 Microsoft 管理控制臺，單擊"文件"，然后選擇"退出"關閉"安全配置和分析"。

計算機服務器的安全策略

網站要依靠計算機服務器來運行整個體系，計算機服務器的安全程度直接關系著網站的穩(wěn)定程度，加強計算機服務器的安全等級，避免網站信息遭惡意泄露。

一、基于帳戶的安全策略

1、帳戶改名

Administrator和guest是Windows系統(tǒng)默認的系統(tǒng)帳戶，正因如此它們是最可能被利用，攻擊者通過破解密碼而登錄計算機服務器。可以通過為其改名進行防范。

2、密碼策略

密碼策略作用于域帳戶或本地帳戶，其中就包含以下幾個方面：強制密碼歷史，密碼最長使用期限，密碼最短使用期限，密碼長度最小值，密碼必須符合復雜性要求，用可還原的`加密來存儲密碼。

對于本地計算機的用戶帳戶，其密碼策略設置是在“本地安全設置”管理工個中進行的。

3、帳戶鎖定

當計算機服務器帳戶密碼不夠安全時，非法用戶很容易通過多次重試“猜”出用戶密碼而登錄系統(tǒng)，存在很大的安全風險。那如何來防止黑客猜解或者爆破計算機服務器密碼呢?

其實，要避免這一情況，通過組策略設置帳戶鎖定策略即可完美解決。此時當某一用戶嘗試登錄系統(tǒng)輸入錯誤密碼的次數達到一定閾值即自動將該帳戶鎖定，在帳戶鎖定期滿之前，該用戶將不可使用，除非管理員手動解除鎖定。

二、安全登錄系統(tǒng)

1、遠程桌面

遠程桌面是比較常用的遠程登錄方式，但是開啟“遠程桌面”就好像系統(tǒng)打開了一扇門，合法用戶可以進來，惡意用戶也可以進來，所以要做好安全措施。

(1).用戶限制

點擊“遠程桌面”下方的“選擇用戶”按鈕，然后在“遠程桌面用戶” 窗口中點擊“添加”按鈕輸入允許的用戶，或者通過“高級→立即查找”添加用戶。由于遠程登錄有一定的安全風險，管理員一定要嚴格控制可登錄的帳戶。

(2).更改端口

遠程桌面默認的連接端口是3389，攻擊者就可以通過該端口進行連接嘗試。因此，安全期間要修改該端口，原則是端口號一般是1024以后的端口，而且不容易被猜到。

2、telnet連接

telnet是命令行下的遠程登錄工具，因為是系統(tǒng)集成并且操作簡單，所以在計算機服務器管理占有一席之地。因為它在網絡上用明文傳送口令和數據，別有用心的人非常容易就可以截獲這些口令和數據。而且，這些服務程序的安全驗證方式也是有其弱點的，就是很容易受到“中間人”(man-in-the-middle)這種方式的攻擊。，并且其默認的端口是23這是大家都知道的。因此我們需要加強telnet的安全性。

3、第三方軟件

可用來遠程控制的第三方工具軟件非常多，這些軟件一般都包括客戶端和計算機服務器端兩部分，需要分別在兩邊都部署好，才能實現(xiàn)遠控控制。一般情況下，這些軟件被安全軟件定義為木馬或者后門，從而進行查殺。安全期間建議大家不要使用此類軟件，因為使用此類工具需要對安全軟件進行設置(排除、端口允許等)，另外，這類軟件也有可能被人植入木馬或者留有后門，大家在使用時一定要慎重。

本地安全組策略命令是什么

本地安全組策略命令是gpedit.msc。

打開本地安全組策略的方法如下：

1、以win10為例，按win+R打開運行，在運行中輸入“gpedit.msc”并回車。

2、或者打開windows開始菜單，找到windows系統(tǒng)中的控制面板。

3、在控制面板中點擊右上角的類別，選擇大圖標。

4、然后在改變后的控制面板中找到管理工具。

5、點擊管理工具中的本地安全策略即可。