实验3使用windows组策略对计算机进行安全配置.docVIP

实验3 使用windows组策略对计算机进行安全配置 1 实验目的 组策略是管理员为用户和计算机定义并控制程序,网络资源及操作系统行为的主要工具.通过使用组策略可以设置各种软件\计算机和用户策略. 通过实验,学会使用组策略对计算机进行安全配置. ２．实验准备 Windows 2000系统,肯有管理员权限帐户登录.组策略可以做很多的配置,实验只是举例一二。 3．注意事项 必须以管理员或管理组成员的身份登录windwos 2000系统。 计算机配置中设置的策略级别要高于用户配置中的策略级别。 ４．实验步骤 在“开始”菜单中，单击“运行”命令项，输入gpedit.msc并确定，即可运行程序，依次进行以下实验： 　隐藏驱动器 平时我们隐藏文件夹后，别人只需在文件夹选项里显示所有文件，就可以看见了，我们可以在组策略删除这个选项：选择“用户配置－》管理模块－》windows组件-widows资源管理器“ 禁止来宾帐户本机登录 使用电脑时，我们有时要离开座位一段时间。如果有很多正在打开的文档还没有处理完成或者正在使用隐私内容时，为了避免有人动用电脑，我们一般会把电脑锁定。但是在局域网中，为了方便网络登录，我们有时候会建立一些来宾帐户，如果对方利用这些帐户来注销当前帐户并登录，我们有时候会建立一些来宾帐户，如果对方利用这些帐户来注销当前帐户并登录到别的帐户，就会给正常工作带来影响。我们可以通过“组策略”来禁止一些帐户在本机上登录，让对方只能过网络登录。 在“组策略”窗口中依次打开“计算机配置－windows设置-安全设置-本地策略-用户权限分配“，然后双击右侧窗格的”拒绝本地登录“项，在弹出的窗口中添加要禁止的用户或组即可实现。 开启审核策略 在“计算机配置－windows设置-安全设置-本地策略-审核策略”上，我们可以看到它可以审核策略更改、登录事件、对象访问、过程追踪、目录服务访问、特权使用等 这些审核可以记录下你某年某月某日某时某分某秒做过了什么操作：几时登录、关闭系统或更改过哪些策略等等。 我们应该养成经常在“控制面板-管理工具-事件查看器”里查看事件的好习惯。比如，当你修改过“组策略”后，系统就发生了问题，此时“事件查看器”就会及时告诉你改了哪些策略。在“登录事件”里，你可以查看到详细的登录事件，知道有人曾尝试使用禁用的帐户登录、谁的帐户密码已过期…..而要启用哪些审核，只要双击相应的项目，选中“成攻”和“失败”两个选项即可。 禁止修改IE浏览器的主页 如果你不希望他人或网络上的一些恶意代码对自已设定的IE浏览器主页进行随意更改的话，我们可以选择“用户配置”-“管理模板”－”windows组件”-’Internetexplorer分支，然后在右侧面窗口中，双击“禁用更改主页设置”策略启用即可 (1)如图，还提供了更改历史记录设置、更改颜色设置和更改internet临哩文件设置等项目的禁用功能。如果启用了这个策略，在职ie浏览器的“internet选项“对话框中，其”常规“选项卡的“主页”区域的设置将变灰。 (2)如果设置了位于“用户配置”-管理模板-windows组件-internet explorer-internet控制面板中的禁用常规页策略，则无需设置策略，因为”禁用常规页“策略将删除界面上的“常规”选项卡. (3)逐级展开“用户设置”-管理模板-windows组件-internet explorer分支，我们可以在其下发现internet控制面板，脱机页、浏览器菜单\工肯栏、持续行为和管理员认可的控件，等策略选项。利用它可以充分打造一个极有个性和安全的ie. 禁用IE组件自动安装 选择“计算机配置”－“管理模板”－”windows组件”-inter explorer项目，双击右边窗口中“禁用internet explorer组件的自动安装项目，在打开的窗口中选择“已启用”单选按钮，将会禁止internet explorer自动安装组件。这样可以防止internet explorer在用户访问到需要某个组件的网站时下该组件，篡改ie的行为也会得到遏制，相对来说ie也会安全许多。