1、怎麼開啟Windows Server 2008R2域安全策略的方法步驟
解決方法是,用戶需將Windows Server 2008 R2系統升級為域控制器,那麼域會自動把本地安全策略的某些功能鎖定。現在,Windows Server 2008 R2的域安全策略應如何啟動和打開呢?
一、方法步驟如下:
1、點擊「開始」-「程序」-「管理工具」-點擊「組策略管理」。
2、在打開的組策略管理,一次展開「林」-「域」-「sayms.com(域名)」-「組策略對象」-右擊「Default Domain Policy」,選擇「編輯」。
3、在打開的「組策略管理編輯器」,依次展開「計算機配置」-「策略」,這個策略裡麵包含的就是Windows Server 2008的域安全策略啦。
註:如用戶需修改賬戶密碼的復雜度,應繼續展開「Windows設置」-「安全設置」-「賬戶策略」-「密碼策略」。
當一台伺服器被提升為域控制器後,本地策略不再有效,取而代之的是默認域策略。
二、本地組策略
本地組策略是指應用於本機,且設定後只會在本機起作用的策略,運行的方法為點『開始』-『運行』-然後鍵入『gpedit.msc』,在彈出本地組策略編輯器中即可進行設置。
三、域組策略
域組策略是指應用於站點,域或者組織單元(OUs)的策略,它的最終作用對象通常是多個用戶或者計算機,可以在DC上點開始 ? 運行 ? 然後鍵入gpmc.msc來運行。
密碼策略是屬於域級別的策略,必須在默認域策略或鏈接到根域的新策略中定義。所以雖然您可以在Default domain controller policy 中定義密碼策略,但是因為Default domain controller policy只應用到了domain controllers OU而不是整個域,所以在Default domain controller policy 中定義密碼策略是無效的。 另外由於域組策略的優先順序高於本地組策略的優先順序,在域密碼策略應用並生效後,所有已經加入域的電腦(包括DC)的本地策略中,密碼相關設置都會變成灰色不可修改狀態。
在本地策略中的,密碼策略就應該是灰色的,無法編輯。當點擊開始-運行, 然後鍵入gpedit.msc回車後,本地策略編輯器就會被打開。而由於域組策略的優先順序高於本地組策略的優先順序,所有在域組策略中已經設定過的策略都將變為灰色不可修改狀態(比如密碼策略)。
如果您要修改密碼策略,可以使用以下方法:
1、點擊『開始』-『運行』-然後鍵入『gpmc.msc』,回車後打開「組策略管理」控制台。
2、展開到 「域-Domain.com-組策略對象(Domain.com是指您的域名)」。
3、右鍵點擊Default Domain Policy然後選擇「編輯」。
4、展開到「計算機配置-策略-Windows 設置- 安全設置-賬戶策略- 密碼策略」。
5、您可以在右邊的窗口中定義密碼相關的策略,此策略會應用於整個域中的所有賬戶。
2、請簡述Windows Server 2003的三種安全策略的區別以及相互關系。
一、本地安全策略(策略影響對象:隻影響本機) 二、域控制器安全策略(策略影響對象:隻影響域控制器【DC】) 三、域安全策略(策略影響對象:影響整個域) 第一條:本地安全策略 在win2003中打開:開始-程序-管理工具-本地安全策略 會發現裡面有這么5項: 1、帳戶策略: a 密碼策略 密碼的復雜性程度:(一旦啟用,密碼必須符合這樣的要求:「A」大寫字母 「a」小寫字母 「.」特殊字元 「1」數字 4種元素種任選三種的組合。) 密碼長度最小值:(默認設置7位) 密碼最長使用期限:(默認42天,超過42天密碼過帳戶將不能登陸,42天到期時間前用戶必須更改密碼,才能正常使用自己的帳戶。這里主要是用來強制用戶定期修改自己的密碼,以加強帳戶的安全性) 密碼最短使用期限:(微軟想的很周到,用戶必須定期修改密碼,但是某些用戶平凡的更改密碼會給伺服器帶來工作負擔,怎麼辦?用這個選項來限制用戶一個密碼必須使用夠幾天後才能再次更改。) 強制密碼歷史:(有了以上的幾種措施,貌似已經達到了我們的要求,但是如果用戶第一次改的密碼是123.com第二次改的密碼還是第三次還是,這樣重復性的密碼就使得我們前面的設置前功盡棄了,如何解決呢?強制密碼歷史會幫助我們記住用戶所用過的密碼,當用戶再次使用密碼歷史離記錄的密碼時,這個密碼將會不可用。) 可還原的加密存儲密碼:建議不要輕易啟用,主要是給第三方應用軟體提供相關的用戶執行許可權的。 b 帳戶鎖定策略 帳戶鎖定閾值:我們去ATM機上連續好幾次輸錯密碼,就會出現我們最不想要的狀況:吞卡。那麼具體是幾次呢?我們的閾值是多少,那麼你可以出錯的機會就是多少。 帳戶鎖定時間:當我們的卡被ATM吞了以後,站在提款機旁邊等3天,ATM看你態度不錯,就把卡吐出來給你了?這樣的事情應該不會發生吧,呵呵。我們是要去聯系銀行的,對應著我們的管理員用戶。而銀行的鎖定時間是永遠,所以只能聯系銀行,等管理員來給你解鎖。 2、本地策略: a審核策略 :顯示在日誌-安全性中(通過事件查看器進行查看)。 登錄事件 審核所有計算機用戶的登錄和注銷事件 對象訪問 審核用戶訪問某個對象的事件,例如文件、文件夾、注冊表項、列印機等 賬戶管理 審核計算機上的每一個帳戶管理事件,包括:創建、更改或刪除用戶帳戶或組; 重命名、禁用或啟用用戶帳戶;設置或更改密碼 目錄服務訪問 審核用戶訪問活動目錄對象的事件 系統事件 審核用戶重新啟動或關閉計算機時或者對系統安全或安全日誌有影響的事件 b用戶權利指派 我們通過對windows server 2003工作組模型的學習,得知2003系統中有一些系統一安裝好就自動創建的本地組:內置組,詳細如下: Administrators 具有完全控制許可權,並且可以向其他用戶分配用戶權利和訪問控制許可權 Backup Operators 加入該組的成員可以備份和還原伺服器上的所有文件(企業應用中對特定的需要經常做備份操作的用戶,可以加入改組進行管理) Guests 擁有一個在登錄時創建的臨時配置文件,在注銷時該配置文件將被刪除 Network Configuration Operators 可以更改 TCP/IP 設置並更新和發布 TCP/IP 地址 Power Users 該組具有創建用戶賬戶和組賬戶的權利,可以在 Power Users 組、Users 組和 Guests 組中添加或刪除用戶,但是不能管理Administrators組成員 可以創建和管理共享資源 Print Operators 可以管理列印機 Users 可以執行一些常見任務,例如運行應用程序、使用本地和網路列印機以及鎖定伺服器 用戶不能共享目錄或創建本地列印機 上面這些內置組,為什麼會有這樣的權利呢?答案在我們的「用戶權利指派」具體的選項里c安全選項
3、Windows伺服器安全的幾個重要注意事項
windows 伺服器安全維護八大要點1對網站的代碼進行檢查,檢查是否被黑客放置了網頁木馬和ASP木馬、網站代碼中是否有後門程序。
2、對網站代碼安全性進行檢查,檢查是否存在SQL注入漏洞、上傳文件漏洞等常見的危害站點安全的漏洞。
3、對伺服器操作系統的日誌進行分析,檢查系統是否被入侵,查看是否被黑客安裝了木馬及對系統做了哪些改動。
4、對伺服器操作系統打上最新的補丁,合理的配置和安裝常用的應用軟體(比如防火牆、殺毒軟體、資料庫等),並將伺服器的軟體更新為安全、穩定、兼容性好的版本。
5、對伺服器操作系統進行合理配置和優化,注銷掉不必要的系統組件,停掉不必要的危險的服務、禁用危險的埠,通過運行最小的服務以達到最大的安全性。
6、對常用應用程序的服務埠和提示信息,進行隱藏和偽造,防止黑客利用掃描工具來獲取伺服器信息。
7、合理的配置許可權,每個站點均配置獨立的internet來賓帳號,限制internet 來賓帳號的訪問許可權,只允許其可以讀取和執行運行網站所需要的程序,只對甲方站點的網站目錄有讀取和寫入許可權,禁止訪問其它目錄,並限制其執行危險的命令,這樣就算黑客有辦法上傳了木馬程序到甲方網站目錄,也無法執行,更不會對系統造成危害。
8、降低SQL資料庫、SERV-U FTP等應用軟體服務的運行許可權,刪除MSSQL資料庫不必要的、危險的存儲過程,防止黑客利用漏洞來進一步入侵和提升許可權,並通過有效的設置,防止未知的溢出攻擊。
4、windows 伺服器 怎麼做安全防護
默認情況下,Windows無法正常訪問Samba伺服器上的共享文件夾。原因在於從Vista開始,微軟默認只採用NTLMv2協議的認證回應消息了,而目前的Samba還只支持LM或者NTLM。解決辦法:修改本地安全策略。
1、通過Samba服務可以實現UNIX/Linux主機與Windows主機之間的資源互訪,由於實驗需要,輕車熟路的在linux下配置了samba服務,操作系統是red
hat linux 9.0,但是在windows7下訪問的時候問題就出現了,能夠連接到伺服器,但是輸入密碼的時候卻給出如圖一的提示:
2、在linux下的smb.conf配置文件裡面的配置完全沒有錯誤,之前安裝Windows XP的時候訪問也完全正常,仔細查看配置還是正常,如果變動配置文件裡面的工作組或者允許IP地址Windows7會出現連接不上的情況,不會出現提示輸入用戶名和密碼。
3、這種情況看來是windows
7的問題,解決的辦法是:單擊」開始「-「運行」,輸入secpol.msc,打開「本地安全策略」,在本地安全策略窗口中依次打開「本地策略」-->「安全選項」,然後再右側的列表中找到「網路安全:LAN
管理器身份驗證級別」,把這個選項的值改為「發送 LM 和 NTLM – 如果已協商,則使用 NTLMv2
會話安全」,最後確定。如圖二。
到這里再連接samba伺服器,輸入密碼就可以正常訪問samba伺服器了。
5、做一個伺服器安全策略
辦法1:在伺服器連接的網路設備上做,因為設備多種多樣,這里無法一一列舉,但簡單方便。
辦法2:在伺服器上添加IPsec策略,運行gpedit.msc找到 計算機配置--windows設置---安全設置----IP安全策略---右邊右鍵--創建IP安全策略
詳細步驟參考http://tech.sina.com.cn/s/s/2005-01-14/0909504096.shtml
6、如何打開Windows Server 2008 R2的域安全策略
解決方法是,用戶需將Windows Server 2008 R2系統升級為域控制器,那麼域會自動把本地安全策略的某些功能鎖定。現在,Windows Server 2008 R2的域安全策略應如何啟動和打開呢?
一、方法步驟如下:
1、點擊「開始」-「程序」-「管理工具」-點擊「組策略管理」。
2、在打開的組策略管理,一次展開「林」-「域」-「sayms.com(域名)」-「組策略對象」-右擊「Default Domain Policy」,選擇「編輯」。
3、在打開的「組策略管理編輯器」,依次展開「計算機配置」-「策略」,這個策略裡麵包含的就是Windows Server 2008的域安全策略啦。
註:如用戶需修改賬戶密碼的復雜度,應繼續展開「Windows設置」-「安全設置」-「賬戶策略」-「密碼策略」。
當一台伺服器被提升為域控制器後,本地策略不再有效,取而代之的是默認域策略。
二、本地組策略
本地組策略是指應用於本機,且設定後只會在本機起作用的策略,運行的方法為點『開始』-『運行』-然後鍵入『gpedit.msc』,在彈出本地組策略編輯器中即可進行設置。
三、域組策略
域組策略是指應用於站點,域或者組織單元(OUs)的策略,它的最終作用對象通常是多個用戶或者計算機,可以在DC上點開始 ? 運行 ? 然後鍵入gpmc.msc來運行。
密碼策略是屬於域級別的策略,必須在默認域策略或鏈接到根域的新策略中定義。所以雖然您可以在Default domain controller policy 中定義密碼策略,但是因為Default domain controller policy只應用到了domain controllers OU而不是整個域,所以在Default domain controller policy 中定義密碼策略是無效的。 另外由於域組策略的優先順序高於本地組策略的優先順序,在域密碼策略應用並生效後,所有已經加入域的電腦(包括DC)的本地策略中,密碼相關設置都會變成灰色不可修改狀態。
在本地策略中的,密碼策略就應該是灰色的,無法編輯。當點擊開始-運行, 然後鍵入gpedit.msc回車後,本地策略編輯器就會被打開。而由於域組策略的優先順序高於本地組策略的優先順序,所有在域組策略中已經設定過的策略都將變為灰色不可修改狀態(比如密碼策略)。
如果您要修改密碼策略,可以使用以下方法:
1、點擊『開始』-『運行』-然後鍵入『gpmc.msc』,回車後打開「組策略管理」控制台。
2、展開到 「域-Domain.com-組策略對象(Domain.com是指您的域名)」。
3、右鍵點擊Default Domain Policy然後選擇「編輯」。
4、展開到「計算機配置-策略-Windows 設置- 安全設置-賬戶策略- 密碼策略」。
5、您可以在右邊的窗口中定義密碼相關的策略,此策略會應用於整個域中的所有賬戶。
7、如何配置Windows伺服器本地安全策略
默認情況下,Windows無法正常訪問Samba伺服器上的共享文件夾。原因在於從Vista開始,微軟默認只採用NTLMv2協議的認證回應消息了,而目前的Samba還只支持LM或者NTLM。
解決辦法:修改本地安全策略。
1、通過Samba服務可以實現UNIX/Linux主機與Windows主機之間的資源互訪,由於實驗需要,輕車熟路的在linux下配置了samba服務,操作系統是red
hat linux 9.0,但是在windows7下訪問的時候問題就出現了,能夠連接到伺服器,但是輸入密碼的時候卻給出如圖一的提示:
2、在linux下的smb.conf配置文件裡面的配置完全沒有錯誤,之前安裝Windows XP的時候訪問也完全正常,仔細查看配置還是正常,如果變動配置文件裡面的工作組或者允許IP地址Windows7會出現連接不上的情況,不會出現提示輸入用戶名和密碼。
3、這種情況看來是windows
7的問題,解決的辦法是:單擊」開始「-「運行」,輸入secpol.msc,打開「本地安全策略」,在本地安全策略窗口中依次打開「本地策略」-->「安全選項」,然後再右側的列表中找到「網路安全:LAN
管理器身份驗證級別」,把這個選項的值改為「發送 LM 和 NTLM – 如果已協商,則使用 NTLMv2
會話安全」,最後確定。如圖二。
到這里再連接samba伺服器,輸入密碼就可以正常訪問samba伺服器了。
8、求救WINdows 2008 域安全策略在那?怎麼打開?
初步試用Windows 2008 伺服器,不像Windows 2003我在管理工具里找不到域安全策略,上版網也找不到相關資料。搞了半天權原來它藏在「伺服器管理器里」->「功能」->「組策略管理器」->「林:你的域名」->「域」->「你的域名」->「組策略對象」->「Default Domain Policy [你的域名] 」藏的夠深,還換了個名字,還真不好找。我不禁感嘆那句「小樣的,以為換了件衣服藏起來我就找不到你了。」由於網上我未找到相關資料,所以我寫出來,希望對像我一樣的後者有用
9、如何提高windows 伺服器安全性 知乎
1.注銷——最好讓使用不頻繁的或使用時間不長的伺服器保持退出系統。當你的伺服器上只有一個入口的時候,最好只登錄一個服務。你可能認為不關閉伺服器是為了節省時間,但這存在很大的安全隱患。
2.使用強密碼——強密碼對於保護網上賬戶的作用是很重要的,同時對伺服器的安全性也是尤為重要。所以要確保你的Windows OS伺服器包含6~8個字母和數字結合的字元密碼。另外運行可以找出破損密碼的恢復系統。
3.把伺服器放在安全地方——公司里員工比較多,那就把伺服器放在安全的實際位置,最好是可以鎖的房間,把鑰匙交給設備直接使用的專門人員。
4.關掉不用的選項——刪除或者關掉所有不必要的、不使用的程序,還有連接到伺服器上的設備,包括FTP、簡單的TCP/IP設備和不需要的網路通信協議。如果考慮到它是資料庫或者郵件服務功能的單用途伺服器,就需要刪除伺服器上其他功能的所有軟體。
5.建立防火牆——防火牆將會幫助建立一個架在你和同事還有外界之間的障礙物。這個可以是硬體也可以是建立在軟體基礎上的防火牆能免於Windows伺服器遭受外界攻擊。
6.雙重驗證——如果一個驗證方法是好的,那麼兩個驗證方法就更好了。確保你的管理員至少有兩個驗證方法,包括一個用戶名/密碼埠和生物測定數據或者智能卡。
7.盡快更新軟體——一旦需要更新,那就盡快安裝。Microsoft里有安全漏洞可能會讓你的伺服器很危險,等待維修是不現實的,也有可能會被黑客、垃圾郵件和惡意軟體鑽了空子。
8.增加防護軟體——這看上去和『關掉不用選項』的建議相矛盾,但這款軟體必須用在任何一個使用的軟體上,才能發現並刪除惡意軟體和間諜軟體,也可以增加反間諜軟體過濾器和掃描器,增加預防軟體來對抗攻擊並維護系統文件完整性。
9.分區操作——如果你的Windows OS伺服器是用來發送、接收郵件的,請確保在徹底傳輸完成之前,對接收文件、上傳文件和運行防毒軟體進行分區操作。另外就是拒絕上傳文件到伺服器。
10.時時關注安全性——將許多安全措施布置到位之後,有些計算機人士就認為萬事大吉了,其實這是一個很大的誤區--因為有許多黑客正在夜以繼日的盜取你的信息,危害你伺服器;所以時時關注你的安全措施是至關重要的。最好是安排專門人員每天檢查使用記錄,定期尋找更新方法和補丁,研究近期網路攻擊的新聞,以便更好的維護伺服器。