4.4 域内客户端主机系统安全的部署.pdf

4.4 域内客户端主机系统安全的部署 一 实验目的 局域网单域环境下，通过此合理设置与应用组策略，能够增强域内客户端主 机系统的安全性，也有益于域内网络防范的加强。 二 实验背景及参数 DC Server XP Client 三 实验内容及步骤 1. 部署局域网域管理实验环境 2. 合理设置组策略能够增强主机系统的安全性。 1. 部署局域网域管理实验环境 1 1) DC Server 主机升级为域控制器 2) 更改主机名称为 “DC”，重启主机。 3) 开始→运行→dcpromo。 4) 安装过程中提示 “DNS 域名”→你的汉语拼音全名。 5) 在XP Client 主机改主机名为 “Client01”。重启系统。 6) 主机Client01 加入域，成为域内主机。 7) 主机DC 上，新建组织单位名为 “你的汉语拼音全名”。 8) 将主机Client01 加入名为 “你的汉语拼音全名”的组织单位。 9) 对 “你的汉语拼音全名”组织单位实施组策略，部署如下。 2. 组策略的安全设置方法如下： 1) 新建的组策略名为 “你的汉语拼音全名”： 2) 需要说明的是这里的“计算机配置”是对整个计算机中的系统配置进行设置 的，是对计算机中所有用户的运行环境起作用；而“用户配置”则是对当前 用户的系统配置进行设置的，它仅对当前用户起作用。 3) 隐藏电脑的驱动器 位置：用户配置\管理模板\Windows 组件\Windows 资源管理器\ 启用后，发现我的电脑里的磁盘驱动器全不见了，但在地址栏输入盘符后，仍然 2 可以访问，如果再把下面的防止从“我的电脑”访问驱动器设置为启用，在地址 栏输入盘符就无法访问了，但在运行里直接输入cmd，仍然可以看见， 4) 接下来就是把CMD 命令也禁用了。位置：用户配置\管理模板\系统\ 5) 禁用注册表 位置：用户配置\管理模板\系统\ 6) 禁用控制面板 位置：用户配置\管理模板\系统\ 7) 如果你只想显示隐藏某些配置，就选择下面的 如想在控制面板中隐藏Internet 选项，则在隐藏控制面板程序里添加 Inetcpl.cpl，具体名称可查看Windows\System32 里以cpl 结尾的文件。 8) 隐藏文件夹 平时我们隐藏文件夹后，别人只需在文件夹选项里显示所有文件，就可以看 见了，我们可以在组策略里删除这个选项： 位置：用户配置\管理模板\Windows 组件\Windows 资源管理器\ 9) 关闭缩略图缓存 有时我们在文件夹中放过图片，后来移除了，但以缩略图缓存仍然能被其他 人读取。 位置：用户配置\管理模板\Windows 组件\Windows 资源管理器\ 10) 去除开始菜单中的“文档”菜单 开始菜单中的文档一栏，会记载我们曾经编辑过的文档，我们可以去掉这个 菜单： 位置：用户配置\管理模板\Windows 组件\任务栏和“开始”菜单\ 3 11) 隐藏 ‘屏幕保护程序“”选项卡 有时我们设置了屏幕密码保护，但很容易被人修改，我们可以隐藏这一选项。 用户配置\管理模板\控制面板\显示、 12) 禁止更改TCP/IP 属性 我们设定的IP 地址可能会被更改，那么只要关闭它的属性页就可以了。 位置：用户配置\管理模板\网络\网络连接 把下面两项设为启用： 13) 删除任务管理器 可别小看了任务管理器，它除了可以终止程序、进程外还可以重启、关机， 搜索程序的执行文件名，及更改程序运行的优先顺序。 位置：用户配置\管理模板\系统\C trl+Alt+Del 选项\ 14) 禁用“添加/删除程序” 阻止其他用户通过它来安装或卸载程序，可利用组策略来实现。 位置：用户配置\管理模板\控制面板\添加/删除程序 15) 禁用IE “工具”菜单下的“In