使用windows组策略对计算机进行安全配置讲述.doc

综合性实验项目名称：使用windows组策略对计算机进行安全配置 一、实验目的及要求： 1.组策略是管理员为用户和计算机定义并控制程序，网络资源及操作系统行为的主要工具,通过使用组策略可以设置各种软件，计算机和用户策略。 2.我们通过实验,学会使用组策略对计算机进行安全配置。 二、实验基本原理： 组策略是管理员为用户和计算机定义并控制程序，网络资源及操作系统行为的主要工具 通过使用组策略可以设置各种软件，计算机和用户策略。 三、主要仪器设备及实验耗材： PC机一台, Windows2000系统，具有管理员权限账户登录 四、注意事项 必须以管理员或管理员组成员的身份登录win2000系统 计算机配置中设置的组策略级别要高于用户配置中的级别策略 五、实验内容与步骤 1.在”开始”菜单中,单击”运行”命令项,输入gpedit.msc并确定，即可运行程序。 依次进行以下实验： (1)隐藏驱动器 平时我们隐藏文件夹后，别人只需在文件夹选项里显示所有文件，就可以看见了，我们可以在组策略里删除这个选项。 1.使用策略前,查看”我的电脑”的驱动器,如图6-1所示 图6-1 使用策略前,“我的电脑” 2.选择“用户配置—管理模板—windows组件—windows资源管理器”,如图6-2所示。 图6-2 隐藏驱动器 3. 使用策略后,查看”我的电脑”的驱动器,如图6-3所示 图6-3 使用策略后,“我的电脑” (2).禁止来宾账户本机登录 使用电脑时，我们有时要离开座位一段时间，如果有很多正在打开的文档还没有处理完成或者正在使用隐私内容时，为了避免有人动用电脑，我们一般会把电脑锁定。但是在局域网中，为了方便网络登录，我们有时候会建立一些来宾账户，如果对方利用这些账户来注销当前账户并登录到别的账户，就会给正常工作带来影响。我们可以通过“组策略”来禁止一些账户在本机上的登录，让对方只能通过网络登录。 在“组策略”窗口中依次打开“计算机配置—windows设置—安全设置—本地策略—用户权限分配”，然后双击右侧窗格的”拒绝本地登录”项，在弹出的窗口中添加要禁止的用户或组即可实现,如图6-4所示 图6-4 选择用户和组 采取拒绝本地登录策略,如图6-5所示 图6-5 拒绝本地登录 (3).开启审核策略 在“计算机配置—windows设置—安全设置—本地策略—审核策略”上，我们可以看到它可以审核策略更改，登录事件，对象访问，过程追踪，目录服务访问，特权使用等,这些审核可以记录下你某年某月某日某时某分某秒做过了什么操作：几时登录，关闭系统或更改过哪些策略等等,如图6-6所示 图6-6 审核策略 我们应该养成经常在“控制面板—管理工具—事件查看器”里查看事件的好习惯。比如，当你修改过“组策略”后，系统就发生了问题，此时“事件查看器“就会及时告诉你修改了哪些策略，在“登录事件”里，你可以查看到详细的登录事件，知道有人就尝试使用禁用的账户登录，谁的账户密码已过期……而要启用哪些审核，只要双击相应的项目，选中“成功”和“失败”两个选项即可 (4).禁止修改IE浏览器主页 如果你不希望他人或网络上的一些恶意代码对自己设定的IE浏览器主页进行随意的更改，我们可以选择“用户配置—管理模板—windows组件—internet explorer—禁用更改主页设置”,如图6-7所示 图6-7 禁止更改主页设置 禁止更改主页设置后,查看Internet属性, 如图6-8所示 图6-8所示 Internet属性 还提供了“更改历史记录设置，更改颜色设置，更改internet临时文件设置”等项目的禁用功能。如果启用了这个策略，在IE浏览器的“Internet选项”对话框，在“常规”选项卡的“主页”区域的设置将变灰 禁止更改历史记录设置,如图6-9所示 图6-9更改历史记录设置 禁止更改颜色设置,如图6-10所示 图6-10更改颜色设置 禁止更改internet临时文件设置,如图6-11所示 图6-11 更改internet临时文件设置 如果设置了“用户配置—管理模板—windows组件—Internet explorer—Internet控制面板—禁用常规页”，则“常规”选项被删除 禁用常规页,如图6-12所示 图6-12常规页设置 逐级展开“用户设置—管理模板—windows组件—Internet explorer”,包括了“Internet 控制面板，脱机页，浏览器菜单，工具栏，持续行为，管理员认可” 等策略选项。利用它可以打造一个极有个性和安全的IE,如图6-13所示 图6-13 IE管理设置 (5).禁用IE组件自动安装 计算机配置—管理模板—windows组件—Internet e