1、怎么开启Windows Server 2008R2域安全策略的方法步骤
解决方法是,用户需将Windows Server 2008 R2系统升级为域控制器,那么域会自动把本地安全策略的某些功能锁定。现在,Windows Server 2008 R2的域安全策略应如何启动和打开呢?
一、方法步骤如下:
1、点击“开始”-“程序”-“管理工具”-点击“组策略管理”。
2、在打开的组策略管理,一次展开“林”-“域”-“sayms.com(域名)”-“组策略对象”-右击“Default Domain Policy”,选择“编辑”。
3、在打开的“组策略管理编辑器”,依次展开“计算机配置”-“策略”,这个策略里面包含的就是Windows Server 2008的域安全策略啦。
注:如用户需修改账户密码的复杂度,应继续展开“Windows设置”-“安全设置”-“账户策略”-“密码策略”。
当一台服务器被提升为域控制器后,本地策略不再有效,取而代之的是默认域策略。
二、本地组策略
本地组策略是指应用于本机,且设定后只会在本机起作用的策略,运行的方法为点‘开始’-‘运行’-然后键入‘gpedit.msc’,在弹出本地组策略编辑器中即可进行设置。
三、域组策略
域组策略是指应用于站点,域或者组织单元(OUs)的策略,它的最终作用对象通常是多个用户或者计算机,可以在DC上点开始 ? 运行 ? 然后键入gpmc.msc来运行。
密码策略是属于域级别的策略,必须在默认域策略或链接到根域的新策略中定义。所以虽然您可以在Default domain controller policy 中定义密码策略,但是因为Default domain controller policy只应用到了domain controllers OU而不是整个域,所以在Default domain controller policy 中定义密码策略是无效的。 另外由于域组策略的优先级高于本地组策略的优先级,在域密码策略应用并生效后,所有已经加入域的电脑(包括DC)的本地策略中,密码相关设置都会变成灰色不可修改状态。
在本地策略中的,密码策略就应该是灰色的,无法编辑。当点击开始-运行, 然后键入gpedit.msc回车后,本地策略编辑器就会被打开。而由于域组策略的优先级高于本地组策略的优先级,所有在域组策略中已经设定过的策略都将变为灰色不可修改状态(比如密码策略)。
如果您要修改密码策略,可以使用以下方法:
1、点击‘开始’-‘运行’-然后键入‘gpmc.msc’,回车后打开“组策略管理”控制台。
2、展开到 “域-Domain.com-组策略对象(Domain.com是指您的域名)”。
3、右键点击Default Domain Policy然后选择“编辑”。
4、展开到“计算机配置-策略-Windows 设置- 安全设置-账户策略- 密码策略”。
5、您可以在右边的窗口中定义密码相关的策略,此策略会应用于整个域中的所有账户。
2、请简述Windows Server 2003的三种安全策略的区别以及相互关系。
一、本地安全策略(策略影响对象:只影响本机) 二、域控制器安全策略(策略影响对象:只影响域控制器【DC】) 三、域安全策略(策略影响对象:影响整个域) 第一条:本地安全策略 在win2003中打开:开始-程序-管理工具-本地安全策略 会发现里面有这么5项: 1、帐户策略: a 密码策略 密码的复杂性程度:(一旦启用,密码必须符合这样的要求:“A”大写字母 “a”小写字母 “.”特殊字符 “1”数字 4种元素种任选三种的组合。) 密码长度最小值:(默认设置7位) 密码最长使用期限:(默认42天,超过42天密码过帐户将不能登陆,42天到期时间前用户必须更改密码,才能正常使用自己的帐户。这里主要是用来强制用户定期修改自己的密码,以加强帐户的安全性) 密码最短使用期限:(微软想的很周到,用户必须定期修改密码,但是某些用户平凡的更改密码会给服务器带来工作负担,怎么办?用这个选项来限制用户一个密码必须使用够几天后才能再次更改。) 强制密码历史:(有了以上的几种措施,貌似已经达到了我们的要求,但是如果用户第一次改的密码是123.com第二次改的密码还是第三次还是,这样重复性的密码就使得我们前面的设置前功尽弃了,如何解决呢?强制密码历史会帮助我们记住用户所用过的密码,当用户再次使用密码历史离记录的密码时,这个密码将会不可用。) 可还原的加密存储密码:建议不要轻易启用,主要是给第三方应用软件提供相关的用户执行权限的。 b 帐户锁定策略 帐户锁定阈值:我们去ATM机上连续好几次输错密码,就会出现我们最不想要的状况:吞卡。那么具体是几次呢?我们的阈值是多少,那么你可以出错的机会就是多少。 帐户锁定时间:当我们的卡被ATM吞了以后,站在提款机旁边等3天,ATM看你态度不错,就把卡吐出来给你了?这样的事情应该不会发生吧,呵呵。我们是要去联系银行的,对应着我们的管理员用户。而银行的锁定时间是永远,所以只能联系银行,等管理员来给你解锁。 2、本地策略: a审核策略 :显示在日志-安全性中(通过事件查看器进行查看)。 登录事件 审核所有计算机用户的登录和注销事件 对象访问 审核用户访问某个对象的事件,例如文件、文件夹、注册表项、打印机等 账户管理 审核计算机上的每一个帐户管理事件,包括:创建、更改或删除用户帐户或组; 重命名、禁用或启用用户帐户;设置或更改密码 目录服务访问 审核用户访问活动目录对象的事件 系统事件 审核用户重新启动或关闭计算机时或者对系统安全或安全日志有影响的事件 b用户权利指派 我们通过对windows server 2003工作组模型的学习,得知2003系统中有一些系统一安装好就自动创建的本地组:内置组,详细如下: Administrators 具有完全控制权限,并且可以向其他用户分配用户权利和访问控制权限 Backup Operators 加入该组的成员可以备份和还原服务器上的所有文件(企业应用中对特定的需要经常做备份操作的用户,可以加入改组进行管理) Guests 拥有一个在登录时创建的临时配置文件,在注销时该配置文件将被删除 Network Configuration Operators 可以更改 TCP/IP 设置并更新和发布 TCP/IP 地址 Power Users 该组具有创建用户账户和组账户的权利,可以在 Power Users 组、Users 组和 Guests 组中添加或删除用户,但是不能管理Administrators组成员 可以创建和管理共享资源 Print Operators 可以管理打印机 Users 可以执行一些常见任务,例如运行应用程序、使用本地和网络打印机以及锁定服务器 用户不能共享目录或创建本地打印机 上面这些内置组,为什么会有这样的权利呢?答案在我们的“用户权利指派”具体的选项里c安全选项
3、Windows服务器安全的几个重要注意事项
windows 服务器安全维护八大要点1对网站的代码进行检查,检查是否被黑客放置了网页木马和ASP木马、网站代码中是否有后门程序。
2、对网站代码安全性进行检查,检查是否存在SQL注入漏洞、上传文件漏洞等常见的危害站点安全的漏洞。
3、对服务器操作系统的日志进行分析,检查系统是否被入侵,查看是否被黑客安装了木马及对系统做了哪些改动。
4、对服务器操作系统打上最新的补丁,合理的配置和安装常用的应用软件(比如防火墙、杀毒软件、数据库等),并将服务器的软件更新为安全、稳定、兼容性好的版本。
5、对服务器操作系统进行合理配置和优化,注销掉不必要的系统组件,停掉不必要的危险的服务、禁用危险的端口,通过运行最小的服务以达到最大的安全性。
6、对常用应用程序的服务端口和提示信息,进行隐藏和伪造,防止黑客利用扫描工具来获取服务器信息。
7、合理的配置权限,每个站点均配置独立的internet来宾帐号,限制internet 来宾帐号的访问权限,只允许其可以读取和执行运行网站所需要的程序,只对甲方站点的网站目录有读取和写入权限,禁止访问其它目录,并限制其执行危险的命令,这样就算黑客有办法上传了木马程序到甲方网站目录,也无法执行,更不会对系统造成危害。
8、降低SQL数据库、SERV-U FTP等应用软件服务的运行权限,删除MSSQL数据库不必要的、危险的存储过程,防止黑客利用漏洞来进一步入侵和提升权限,并通过有效的设置,防止未知的溢出攻击。
4、windows 服务器 怎么做安全防护
默认情况下,Windows无法正常访问Samba服务器上的共享文件夹。原因在于从Vista开始,微软默认只采用NTLMv2协议的认证回应消息了,而目前的Samba还只支持LM或者NTLM。解决办法:修改本地安全策略。
1、通过Samba服务可以实现UNIX/Linux主机与Windows主机之间的资源互访,由于实验需要,轻车熟路的在linux下配置了samba服务,操作系统是red
hat linux 9.0,但是在windows7下访问的时候问题就出现了,能够连接到服务器,但是输入密码的时候却给出如图一的提示:
2、在linux下的smb.conf配置文件里面的配置完全没有错误,之前安装Windows XP的时候访问也完全正常,仔细查看配置还是正常,如果变动配置文件里面的工作组或者允许IP地址Windows7会出现连接不上的情况,不会出现提示输入用户名和密码。
3、这种情况看来是windows
7的问题,解决的办法是:单击”开始“-“运行”,输入secpol.msc,打开“本地安全策略”,在本地安全策略窗口中依次打开“本地策略”-->“安全选项”,然后再右侧的列表中找到“网络安全:LAN
管理器身份验证级别”,把这个选项的值改为“发送 LM 和 NTLM – 如果已协商,则使用 NTLMv2
会话安全”,最后确定。如图二。
到这里再连接samba服务器,输入密码就可以正常访问samba服务器了。
5、做一个服务器安全策略
办法1:在服务器连接的网络设备上做,因为设备多种多样,这里无法一一列举,但简单方便。
办法2:在服务器上添加IPsec策略,运行gpedit.msc找到 计算机配置--windows设置---安全设置----IP安全策略---右边右键--创建IP安全策略
详细步骤参考http://tech.sina.com.cn/s/s/2005-01-14/0909504096.shtml
6、如何打开Windows Server 2008 R2的域安全策略
解决方法是,用户需将Windows Server 2008 R2系统升级为域控制器,那么域会自动把本地安全策略的某些功能锁定。现在,Windows Server 2008 R2的域安全策略应如何启动和打开呢?
一、方法步骤如下:
1、点击“开始”-“程序”-“管理工具”-点击“组策略管理”。
2、在打开的组策略管理,一次展开“林”-“域”-“sayms.com(域名)”-“组策略对象”-右击“Default Domain Policy”,选择“编辑”。
3、在打开的“组策略管理编辑器”,依次展开“计算机配置”-“策略”,这个策略里面包含的就是Windows Server 2008的域安全策略啦。
注:如用户需修改账户密码的复杂度,应继续展开“Windows设置”-“安全设置”-“账户策略”-“密码策略”。
当一台服务器被提升为域控制器后,本地策略不再有效,取而代之的是默认域策略。
二、本地组策略
本地组策略是指应用于本机,且设定后只会在本机起作用的策略,运行的方法为点‘开始’-‘运行’-然后键入‘gpedit.msc’,在弹出本地组策略编辑器中即可进行设置。
三、域组策略
域组策略是指应用于站点,域或者组织单元(OUs)的策略,它的最终作用对象通常是多个用户或者计算机,可以在DC上点开始 ? 运行 ? 然后键入gpmc.msc来运行。
密码策略是属于域级别的策略,必须在默认域策略或链接到根域的新策略中定义。所以虽然您可以在Default domain controller policy 中定义密码策略,但是因为Default domain controller policy只应用到了domain controllers OU而不是整个域,所以在Default domain controller policy 中定义密码策略是无效的。 另外由于域组策略的优先级高于本地组策略的优先级,在域密码策略应用并生效后,所有已经加入域的电脑(包括DC)的本地策略中,密码相关设置都会变成灰色不可修改状态。
在本地策略中的,密码策略就应该是灰色的,无法编辑。当点击开始-运行, 然后键入gpedit.msc回车后,本地策略编辑器就会被打开。而由于域组策略的优先级高于本地组策略的优先级,所有在域组策略中已经设定过的策略都将变为灰色不可修改状态(比如密码策略)。
如果您要修改密码策略,可以使用以下方法:
1、点击‘开始’-‘运行’-然后键入‘gpmc.msc’,回车后打开“组策略管理”控制台。
2、展开到 “域-Domain.com-组策略对象(Domain.com是指您的域名)”。
3、右键点击Default Domain Policy然后选择“编辑”。
4、展开到“计算机配置-策略-Windows 设置- 安全设置-账户策略- 密码策略”。
5、您可以在右边的窗口中定义密码相关的策略,此策略会应用于整个域中的所有账户。
7、如何配置Windows服务器本地安全策略
默认情况下,Windows无法正常访问Samba服务器上的共享文件夹。原因在于从Vista开始,微软默认只采用NTLMv2协议的认证回应消息了,而目前的Samba还只支持LM或者NTLM。
解决办法:修改本地安全策略。
1、通过Samba服务可以实现UNIX/Linux主机与Windows主机之间的资源互访,由于实验需要,轻车熟路的在linux下配置了samba服务,操作系统是red
hat linux 9.0,但是在windows7下访问的时候问题就出现了,能够连接到服务器,但是输入密码的时候却给出如图一的提示:
2、在linux下的smb.conf配置文件里面的配置完全没有错误,之前安装Windows XP的时候访问也完全正常,仔细查看配置还是正常,如果变动配置文件里面的工作组或者允许IP地址Windows7会出现连接不上的情况,不会出现提示输入用户名和密码。
3、这种情况看来是windows
7的问题,解决的办法是:单击”开始“-“运行”,输入secpol.msc,打开“本地安全策略”,在本地安全策略窗口中依次打开“本地策略”-->“安全选项”,然后再右侧的列表中找到“网络安全:LAN
管理器身份验证级别”,把这个选项的值改为“发送 LM 和 NTLM – 如果已协商,则使用 NTLMv2
会话安全”,最后确定。如图二。
到这里再连接samba服务器,输入密码就可以正常访问samba服务器了。
8、求救WINdows 2008 域安全策略在那?怎么打开?
初步试用Windows 2008 服务器,不像Windows 2003我在管理工具里找不到域安全策略,上版网也找不到相关资料。搞了半天权原来它藏在“服务器管理器里”->“功能”->“组策略管理器”->“林:你的域名”->“域”->“你的域名”->“组策略对象”->“Default Domain Policy [你的域名] ”藏的够深,还换了个名字,还真不好找。我不禁感叹那句“小样的,以为换了件衣服藏起来我就找不到你了。”由于网上我未找到相关资料,所以我写出来,希望对像我一样的后者有用
9、如何提高windows 服务器安全性 知乎
1.注销——最好让使用不频繁的或使用时间不长的服务器保持退出系统。当你的服务器上只有一个入口的时候,最好只登录一个服务。你可能认为不关闭服务器是为了节省时间,但这存在很大的安全隐患。
2.使用强密码——强密码对于保护网上账户的作用是很重要的,同时对服务器的安全性也是尤为重要。所以要确保你的Windows OS服务器包含6~8个字母和数字结合的字符密码。另外运行可以找出破损密码的恢复系统。
3.把服务器放在安全地方——公司里员工比较多,那就把服务器放在安全的实际位置,最好是可以锁的房间,把钥匙交给设备直接使用的专门人员。
4.关掉不用的选项——删除或者关掉所有不必要的、不使用的程序,还有连接到服务器上的设备,包括FTP、简单的TCP/IP设备和不需要的网络通信协议。如果考虑到它是数据库或者邮件服务功能的单用途服务器,就需要删除服务器上其他功能的所有软件。
5.建立防火墙——防火墙将会帮助建立一个架在你和同事还有外界之间的障碍物。这个可以是硬件也可以是建立在软件基础上的防火墙能免于Windows服务器遭受外界攻击。
6.双重验证——如果一个验证方法是好的,那么两个验证方法就更好了。确保你的管理员至少有两个验证方法,包括一个用户名/密码端口和生物测定数据或者智能卡。
7.尽快更新软件——一旦需要更新,那就尽快安装。Microsoft里有安全漏洞可能会让你的服务器很危险,等待维修是不现实的,也有可能会被黑客、垃圾邮件和恶意软件钻了空子。
8.增加防护软件——这看上去和‘关掉不用选项’的建议相矛盾,但这款软件必须用在任何一个使用的软件上,才能发现并删除恶意软件和间谍软件,也可以增加反间谍软件过滤器和扫描器,增加预防软件来对抗攻击并维护系统文件完整性。
9.分区操作——如果你的Windows OS服务器是用来发送、接收邮件的,请确保在彻底传输完成之前,对接收文件、上传文件和运行防毒软件进行分区操作。另外就是拒绝上传文件到服务器。
10.时时关注安全性——将许多安全措施布置到位之后,有些计算机人士就认为万事大吉了,其实这是一个很大的误区--因为有许多黑客正在夜以继日的盗取你的信息,危害你服务器;所以时时关注你的安全措施是至关重要的。最好是安排专门人员每天检查使用记录,定期寻找更新方法和补丁,研究近期网络攻击的新闻,以便更好的维护服务器。