您好,欢迎访问三七文档
第8章组策略与安全配置本章要点●组策略可实现的功能与基本配置●帐户策略、用户指派权利、使用组策略部署软件●安全模板、安全配置和分析、安全配置向导●Windows防火墙●IP安全策略●证书服务目录首页实训案例1实训案例2目录8.1组策略概述8.2组策略的基本配置与实例8.3使用组策略配置用户环境8.4使用组策略部署软件☆综合实训7:WindowsServer2003服务器安全配置——本地安全策略8.5安全配置和分析8.6安全配置向导8.7WindowsServer2003防火墙8.8IP安全设置8.9证书服务☆综合实训8:安全配置目录首页实训案例1实训案例2组策略是管理员为计算机和用户定义的,是用来控制应用程序、系统设置和管理模板的一种机制。简单地说,组策略就是介于控制面板和注册表之间的一种修改系统、设置程序的工具。组策略高于注册表,组策略使用更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。1.使用组策略可以实现的功能帐户策略的设定本地策略的设定脚本的设定用户工作环境的定制软件的安装与删除限制软件的运行文件夹的转移其他系统设定8.1组策略概述目录首页实训案例1实训案例2方法1:单击【开始】|【运行】命令,输入gpedit.msc,单击【确定】按钮,打开当前计算机的组策略,如图8-1所示。方法2:单击【开始】|【运行】命令,输入MMC,单击【确定】按钮,打开Microsoft管理控制台,添加【组策略对象编辑器】,选择所需的组策略对象,打开要编辑的组策略对象,如图8-2所示。8.1组策略概述2.启动组策略的方法图8-1本地组策略窗口图8-2MMC中的组策略管理单元目录首页实训案例1实训案例23.组策略界面组策略主界面共分为左右两个窗格,左边窗格中的【“本地计算机”策略】由【计算机配置】和【用户配置】两个子项构成,右边窗格中是针对左边某一配置可以设置的具体策略。4.组策略对象组策略的基本单元是组策略对象GPO,它是一组设置的组合。有两种类型的组策略对象:本地组策略对象和非本地组策略对象。组策略作用范围:由它们所链接的站点、域或组织单元启用。5.组策略的应用时机计算机配置:计算机开机时自动启用,域控制器默认每隔5分钟自动启用,非域控制器默认每隔90-120分钟自动启动,此外不论策略是否有变动系统每隔16小时自动启动一次。用户配置:用户登录时自动启用,系统默认每隔90分钟自动启动,此外不论策略是否有变动系统每隔16小时自动启动一次。手动启动组策略的命令是:gpupdate/target:compute/force6.组策略的处理顺序组策略的配置是累加的。应用的顺序:本地组策略对象→站点的组策略对象→域的组策略对象→组织单元的组策略对象。后面策略覆盖前面策略。8.1组策略概述目录首页实训案例1实训案例21.计算机配置计算机配置包括所有与计算机相关的策略设置,它们用来指定操作系统行为、桌面行为、安全设置、计算机开机与关机脚本、指定的计算机应用选项以及应用设置。2.用户配置用户配置包括所有与用户相关的策略设置,它们用来指定操作系统行为、桌面设置、安全设置、指定和发布的应用选项、应用设置、文件夹重定向选项、用户登录与注销脚本等。3.组策略插件扩展(1)软件设置(2)Windows设置账号策略、本地策略、事件日志、受限组、系统服务、注册表、文件系统、IP安全策略、公钥策略(3)管理模板8.2组策略的基本配置与实例8.2.1组策略的基本配置目录首页实训案例1实训案例21.让Windows的上网速率提升20%操作步骤:在【组策略编辑器】控制台中,展开【计算机配置】|【管理模板】|【网络】|【QoS数据包调度程序】项,在右窗格双击【限制可保留带宽】策略,在属性对话框中,选择【已启用】单选按钮,并将【带宽限制】值设置为0%,单击【确定】按钮。8.2.2组策略实例1:计算机配置8.2组策略的基本配置与实例目录首页实训案例1实训案例22.关闭系统还原功能操作步骤:在【组策略】控制台中,展开【计算机配置】|【管理模板】|【系统】|【系统还原】项,在右窗格双击【关闭系统还原】策略,在属性对话框中,选择【已启用】单选按钮,单击【确定】按钮,启用此设置来关闭系统还原。3.禁止WindowsMessenger自动运行操作步骤:在【组策略】控制台中,展开【计算机配置】|【管理模板】|【Windows组件】|【WindowsMessenger】项,在右窗格双击【不允许运行WindowsMessenger】策略,在属性对话框中,选择【已启用】单选按钮,单击【确定】按钮。8.2.2组策略实例1:计算机配置8.2组策略的基本配置与实例目录首页实训案例1实训案例24.管理远程桌面设置实例★允许“远程桌面”连接在【组策略编辑器】中,展开【计算机配置】|【管理模板】|【Windows组件】|【终端服务】项,在右窗格中双击【允许用户使用终端服务远程连接】策略,在属性对话框中,选择【已启用】单选按钮,单击【确定】按钮即可。★配置“数据重定向”双击【客户端/服务器数据重定向】目录,打开【客户端/服务器数据重定向】项,可以设置在建立连接后所能使用的客户端资源。★设置空闲会话连接时间展开【会话】目录,双击【为活动但空闲的终端服务会话设置时间限制】策略,可以限制空闲会话的连接时间。5.审核登录帐户在【组策略】控制台中,展开【计算机配置】|【Windows设置】|【安全设置】|【本地策略】|【审核策略】项,双击【帐户登录审核】策略,选择审核【成功】和【失败】两项,单击【确定】按钮。8.2.2组策略实例1:计算机配置8.2组策略的基本配置与实例目录首页实训案例1实训案例21.个性化【任务栏和「开始」菜单】通过组策略可以实现【任务栏和「开始」菜单】的个性化。在【组策略编辑器】控制台中,展开【用户配置】|【管理模板】|【任务栏和‘开始’菜单】项,在右窗格中列出【任务栏和‘开始’菜单】有关策略的具体配置。具体实例如下:8.2.3组策略实例2:用户配置8.2组策略的基本配置与实例目录首页实训案例1实训案例2★给「开始」菜单减肥在组策略窗口中,可以启用【从开始菜单删除用户文件夹】、【从开始菜单删除公用程序组】、【从开始菜单中删除‘我的文档’图标】等多种组策略配置项目来去掉不需要的菜单项。★保护好【任务栏和「开始」菜单】如果不想随意让他人更改【任务栏和「开始」菜单】的设置,只要启用【阻止更改“任务栏和开始菜单”设置】和【阻止访问任务栏的上下文菜单】两个策略即可。★禁止【关机】启动计算机后,如果不希望用户进行【关机】操作,那么启用【删除和阻止访问“关机”命令】策略。★利用组策略保护个人文档隐私如果不希望用户查看曾经访问过的文件,只要在组策略窗口中的【任务栏和「开始」菜单】项中,启用【不要保留最近打开文档的记录】和【退出时清除最近打开的文档的记录】两个策略即可。8.2.3组策略实例2:用户配置8.2组策略的基本配置与实例目录首页实训案例1实训案例22.个性化桌面通过组策略可以实现【桌面】的个性化,可以让桌面管理工作变得易如反掌。在【组策略编辑器】控制台中,展开【用户配置】|【管理模板】|【桌面】项,在右窗格中列出【桌面】有关策略的具体配置,具体实例如下:8.2.3组策略实例2:用户配置8.2组策略的基本配置与实例目录首页实训案例1实训案例2★隐藏桌面的系统图标只要启用【隐藏桌面上“网上邻居”图标】、【隐藏桌面上的InternetExplorer图标】、【隐藏和禁用桌面上的所有项目】、【删除桌面上的“我的文档”图标】、【删除桌面上的“我的电脑”图标】和【从桌面删除回收站】等策略可以隐藏桌面上的相应的图标。★退出时不保存桌面设置启用【退出时不保存设置】策略可以防止用户保存对桌面的某些更改(如图标的位置、任务栏的位置及大小等),不过任务栏上的快捷方式总可以被保存。★禁用ActiveDesktop【活动桌面】是Windows系统中自带的高级功能,最大的特点是可以设置各种图片格式的墙纸,甚至可以将网页作为墙纸显示。考虑性能因素,需要禁用这一功能,打开【桌面】中【ActiveDesktop】目录,在右侧窗格中启用【禁用ActiveDesktop】策略,可以禁用活动桌面。8.2.3组策略实例2:用户配置8.2组策略的基本配置与实例目录首页实训案例1实训案例23.IE浏览器设置微软的IE浏览器让我们可以轻松地在互联网上遨游,但要想用好IE浏览器,则必须将它配置好。通过组策略可轻松实现高级配置功能。在【组策略编辑器】中,展开【用户配置】|【管理模板】|【Windows组件】|【InternetExplorer】项(需添加inetres.adm模板文件),在右窗口格中列出【InternetExplorer】有关策略的具体配置。具体实例如下:8.2.3组策略实例2:用户配置8.2组策略的基本配置与实例目录首页实训案例1实训案例2★禁用IE浏览器的某些菜单项例如在【浏览器菜单】目录项,启用【禁用“在新窗口中打开”菜单项】策略,在浏览器中用户右击链接,选择【在新窗口中打开】时,该命令不起作用。网页自动打开的窗口也被禁止,可达到屏蔽弹出广告窗口的效果。★禁用【Internet选项】控制面板如果不希望用户修改InternetExplorer的属性中的某些设置,可以禁用【Internet选项】的某些选项卡,在【Internet控制面板】目录中,启用【禁用常规页】、【禁用安全页】等组策略项,可在【Internet选项】中删除【常规】、【安全】等选项卡。★禁止修改IE浏览器的主页在【工具栏】目录,启用【禁用更改主页设置】策略即可。★自定义IE工具栏在【组策略】控制台中,展开【用户配置】|【Windows设置】|【InternetExplorer维护】|【浏览器用户界面】项,双击【浏览器工具栏按钮自定义】策略,打开其设置窗口中,在【按钮】栏中单击【添加】按钮,在【工具栏标题】中输人【我的QQ】,在【工具栏操作】中选择QQ程序的路径,最后再选择好【颜色图标】和【灰度图标】的路径。添加了一个【我的QQ】按钮。8.2.3组策略实例2:用户配置8.2组策略的基本配置与实例目录首页实训案例1实训案例24.轻松实现Windows高级功能★关闭缩略图的缓存在【组策略编辑器】中,展开【用户配置】|【管理模板】|【Windows组件】|【Windows资源管理器】项,启用【关闭缩略图的缓存】策略即可。★隐藏【我的电脑】中指定的驱动器在【组策略编辑器】中,展开【用户配置】|【管理模板】|【Windows组件】|【Windows资源管理器】项,启用【隐藏“我的电脑”中的这些指定的驱动器】策略,并在列表框中选择一个驱动器或几个驱动器。★防止从【我的电脑】访问驱动器在【组策略编辑器】中,展开【用户配置】|【管理模板】|【Windows组件】|【Windows资源管理器】项,启用【防止从“我的电脑”访问驱动器】策略,并在列表框中选择一个驱动器或几个驱动器。★禁止使用【命令提示符】在【组策略编辑器】中,展开【用户配置】|【管理模板】|【系统】项,启用【阻止访问命令提示符】策略,并选择【也停用命令提示符脚本处理】项。8.2.3组策略实例2:用户配置8.2组策略的基本配置与实例目录首页实训案例1实训案例2★禁止更改显示属性在【组策略编辑器】中,展开【用户配置】|【管理模板】|【控制面板】|【显示】项,可根据需要启用【隐藏桌面选项卡】、【隐藏主题选项卡】、【隐藏保护程序选项卡】、【隐藏设置选项卡】等策略,来隐藏相关属性的选项卡,用户将无法再对桌面属性进行更改。★禁用注册表编辑器在【组策略编辑器】中,展开【用户配置】|【管理模板】|【系统】项,启用【阻止访问注册表编辑工具】策略,禁止用户启动注册表编辑器。★禁止访问【控制面板】在【组策略编辑器】中,展开【用户配置】|【管理模板】|【扩展面板】项,启用【禁止访问控制面板】策略。此后用户不能使用Control.exe启动【控制面板】,「开始」菜单和【资源管理器】中将删除【
本文标题:组策略与安全配置
链接地址:https://www.777doc.com/doc-832475 .html