问题一:本地安全策略怎么添加 win10在本地策略安全添加策略选项的方法:材料/工具
创新互联建站坚持“要么做到,要么别承诺”的工作理念,服务领域包括:成都网站设计、网站建设、企业官网、英文网站、手机端网站、网站推广等服务,满足客户于互联网时代的平凉网站设计、移动媒体设计的需求,帮助企业找到有效的互联网解决方案。努力成为您成熟可靠的网络建设合作伙伴!
win10系统电脑
方法/步骤
①右键点击开始,打开控制面板。如图:
②在大图标状态下,找到”管理工具“,点开。如图:
③在管理工具界面,在右侧窗口双击“本地安全策略”,就会进入“本地安全策略”界面。(如果提示没有权限,右键管理员身份运行就可以打开了)如图:
④左侧点击“本地策略”--“安全选项”,右侧找到“账户管理员账户状态“双击。如图:
⑤在弹出对话框里”已启用“前面选择上,,点击”应用“即可。如图:
问题二:我电脑里没有本地安全策略 谁知道怎么安装 可以这样1:开始--运行--MMC--文件--添加删除管理单元--添加--组策略--添加,后面的你应该会了。看你要开哪个策略,就添加哪个策略.
2:看是不是注册表中锁住了组策略“HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Policies\Explorer”,把“RestrictRun”的键值改为0即可。
问题三:如何配置Windows服务器本地安全策略 默认情况下,Windows无法正常访问Samba服务器上的共享文件夹。原因在于从Vista开始,微软默认只采用NTLMv2协议的认证回应消息了,而目前的Samba还只支持LM或者NTLM。
解决办法:修改本地安全策略。
1、通过Samba服务可以实现UNIX/Linux主机与Windows主机之间的资源互访,由于实验需要,轻车熟路的在linux下配置了samba服务,操作系统是red
hat linux 9.0,但是在windows7下访问的时候问题就出现了,能够连接到服务器,但是输入密码的时候却给出如图一的提示:
2、在linux下的 *** b.conf配置文件里面的配置完全没有错误,之前安装Windows XP的时候访问也完全正常,仔细查看配置还是正常,如果变动配置文件里面的工作组或者允许IP地址Windows7会出现连接不上的情况,不会出现提示输入用户名和密码。
3、这种情况看来是windows
7的问题,解决的办法是:单击”开始“-“运行”,输入secpol.msc,打开“本地安全策略”,在本地安全策略窗口中依次打开“本地策略”--“安全选项”,然后再右侧的列表中找到“网络安全:LAN
管理器身份验证级别”,把这个选项的值改为“发送 LM 和 NTLM 如果已协商,则使用 NTLMv2
会话安全”,最后确定。如图二。
到这里再连接samba服务器,输入密码就可以正常访问samba服务器了。
问题四:本地安全设置怎么打开 本地安全策略文件在什么地方 电脑维修技术网 在桌面的左下角点击开始,然后找到设置下面的控制面板并单击打开控制面板。个别电脑的开始菜单可能不一样。具体找一下,都是有控制面板的。
打开控制面板之后,然后在控制面板窗口中找到“管理工具”此项,并双击打开管理工具。
打开管理工具之后,找到本地安全策略,并双击打开就如出现“本地安全设置”程序。
运行“secpol.msc”命令即可直接打开本地安全设置
除了第一种方法之外,一些熟悉电脑的网友或者网管一般都喜欢直接开始运行secpol.msc命令直接打开。有时控制面板没有管理工具时就会使用此方法。
问题五:用什么命令可以进入本地安全策略 在启动的过程中不停地按下F8功能键 直到出现系统的启动菜单 选择“带命令行提示的安全模式” 将服务器系统切换到命令行提示符状 接下来在命令提示符下直接执行mmc.exe字符串命令 在弹出的系统控制台界面中,单击“文件”菜单项 并从弹出的下拉菜单中单击“添加/删除管理单元”选项 再单击其后窗口中的“独立”标签,然后单击“添加”按钮 再依次点“组策略”-“添加”-“完成”-“关闭”-“确定” 这样就能成功添加一个新的组策略控制台 以后,你就能重新打开组策略编辑窗口
问题六:本地安全策略在哪里找 开始-设置-控制面板-管理工具-本地安全策略(XP或者windows2003)
WIN7.单击“控制面板”--“系统和安全”--“管理工具”--“本地安全策略”,会进入“本地安全策略”界面
Win7和xp都是:开始--搜索“运行”--secpol.msc,同样打开“本地安全策略”
win7的运行就是点开始的最下面那就是运行直接输入即可
问题七:如何恢复默认的本地安全策略 1:secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose
用这个命令可以将本地安全恢复默认
2:扩展相关,Windows 7系统自带的是一个统安全管理工具--本地安全策略,它可以使系统更安全。
启动本地安全策略:
1.单击“控制面板”--“系统和安全”--“管理工具”--“本地安全策略”,会进入“本地安全策略”界面。
2.开始--搜索“运行”--secpol.msc,同样打开“本地安全策略”。
3.win+R--secpol.msc,也可以。
问题八:如何利用本地安全策略做安全选项设置 单击“控制面板→管理工具→本地安全策略”后,会进入“本地安全策略”的主界面。在此可通过菜单栏上的命令设置各种安全策略,并可选择查看方式,导出列表及导入策略等操作。
问题九:在管理工具--本地安全策略选项如何设置才安全呢? 单击控制面板管理工具本地安全策略后,会进入本地安全策略的主界面。在此可通过菜单栏上的命令设置各种安全策略,并可选择查看方式,导出列表及导入策略等操作。
一、加固系统账户
1.禁止枚举账号
我们知道,某些具有黑客行为的蠕虫病毒,可以通过扫描Windows 2000/XP系统的指定端口,然后通过共享会话猜测管理员系统口令。因此,我们需要通过在本地安全策略中设置禁止枚举账号,从而抵御此类入侵行为,操作步盯如下:
在本地安全策略左侧列表的安全设置目录树中,逐层展开本地策略安全选项。查看右侧的相关策略列表,在此找到网络访问:不允许SAM账户和共享的匿名枚举,用鼠标右键单击,在弹出菜单中选择属性,而后会弹出一个对话框,在此激活已启用选项,最后点击应用按钮使设置生效。
2.账户管理
为了防止入侵者利用漏洞登录机器,我们要在此设置重命名系统管理员账户名称及禁用来宾账户。设置方法为:在本地策略安全选项分支中,找到账户:来宾账户状态策略,点右键弹出菜单中选择属性,而后在弹出的属性对话框中设置其状态为已停用,最后确定退出。
二、加强密码安全
在安全设置中,先定位于账户策略密码策略,在其右侧设置视图中,可酌情进行相应的设置,以使我们的系统密码相对安全,不易破解。如防破解的一个重要手段就是定期更新密码,大家可据此进行如下设置:鼠标右键单击密码最长存留期,在弹出菜单中选择属性,在弹出的对话框中,大家可自定义一个密码设置后能够使用的时间长短(限定于1至999之间)。
此外,通过本地安全设置,还可以进行通过设置审核对象访问,跟踪用于访问文件或其他对象的用户账户、登录尝试、系统关闭或重新启动以及类似的事件。诸如此类的安全设置,不一而足。大家在实际应用中会逐渐发觉本地安全设置的确是一个不可或缺的系统安全工具
问题十:怎样设置win7的本地安全策略来防止黑客攻击 1、点击“开始”,在搜索框中输入“本地安全策略”,点击“本地安全策略”,就可以打开了。如图1所示
2、打开“本地安全策略”界面,点击“本地策略”――“安全选项”,找到“网络访问:可远程访问的注册表路径”和“网络访问:可远程访问的注册表路径和子路径”这两个选项。如图2所示
3、双击打开“网络访问:可远程访问的注册表路径”,删除“注册表路径”,点击“确定”。如图3所示
4、双击打开“网络访问:可远程访问的注册表路径和子路径”,删除“注册表路径”,点击“确定”。如图4所示
1、首先我们选择鼠标单击打开服务器中的安全策略功能选项。
2、设定举例,这里选择设定限制一个IP范围。
3、首先创建两个网段规则,右键单击空白区域。
4、选择鼠标单击新IP筛选器的功能选项。创建IP地址范围。
5、设置两个网段后,设置两个策略,一个用于权限,一个用于阻止。
阿江的Windows 2000服务器安全设置教程
前言
其实,在服务器的安全设置方面,我虽然有一些经验,但是还谈不上有研究,所以我写这篇文章的时候心里很不踏实,总害怕说错了会误了别人的事。
本文更侧重于防止ASP漏洞攻击,所以服务器防黑等方面的讲解可能略嫌少了点。
基本的服务器安全设置
安装补丁
安装好操作系统之后,最好能在托管之前就完成补丁的安装,配置好网络后,如果是2000则确定安装上了SP4,如果是2003,则最好安装上SP1,然后点击开始→Windows Update,安装所有的关键更新。
安装杀毒软件
虽然杀毒软件有时候不能解决问题,但是杀毒软件避免了很多问题。我一直在用诺顿2004,据说2005可以杀木马,不过我没试过。还有人用瑞星,瑞星是确定可以杀木马的。更多的人说卡巴司机好,不过我没用过。
不要指望杀毒软件杀掉所有的木马,因为ASP木马的特征是可以通过一定手段来避开杀毒软件的查杀。
设置端口保护和防火墙、删除默认共享
都是服务器防黑的措施,即使你的服务器上没有IIS,这些安全措施都最好做上。这是阿江的盲区,大概知道屏蔽端口用本地安全策略,不过这方面的东西网上攻略很多,大家可以擞出来看看,晚些时候我或者会复制一些到我的网站上。
权限设置
阿江感觉这是防止ASP漏洞攻击的关键所在,优秀的权限设置可以将危害减少在一个IIS站点甚至一个虚拟目录里。我这里讲一下原理和设置思路,聪明的朋友应该看完这个就能解决问题了。
权限设置的原理
WINDOWS用户,在WINNT系统中大多数时候把权限按用户(组)来划分。在【开始→程序→管理工具→计算机管理→本地用户和组】管理系统用户和用户组。
NTFS权限设置,请记住分区的时候把所有的硬盘都分为NTFS分区,然后我们可以确定每个分区对每个用户开放的权限。【文件(夹)上右键→属性→安全】在这里管理NTFS文件(夹)权限。
IIS匿名用户,每个IIS站点或者虚拟目录,都可以设置一个匿名访问用户(现在暂且把它叫“IIS匿名用户),当用户访问你的网站的.ASP文件的时候,这个.ASP文件所具有的权限,就是这个“IIS匿名用户所具有的权限。
权限设置的思路
要为每个独立的要保护的个体(比如一个网站或者一个虚拟目录)创建一个系统用户,让这个站点在系统中具有惟一的可以设置权限的身份。
在IIS的【站点属性或者虚拟目录属性→目录安全性→匿名访问和验证控制→编辑→匿名访问→编辑】填写刚刚创建的那个用户名。
设置所有的分区禁止这个用户访问,而刚才这个站点的主目录对应的那个文件夹设置允许这个用户访问(要去掉继承父权限,并且要加上超管组和SYSTEM组)。
这样设置了之后,这个站点里的ASP程序就只有当前这个文件夹的权限了,从探针上看,所有的硬盘都是红叉叉。
我的设置方法
我是先创建一个用户组,以后所有的站点的用户都建在这个组里,然后设置这个组在各个分区没病权限。然后再设置各个IIS用户在各在的文件夹里的权限。
因为比较多,所以我很不想写,其实知道了上面的原理,大多数人都应该懂了,除非不知道怎么添加系统用户和组,不知道怎么设置文件夹权限,不知道IIS站点属性在那里。真的有那样的人,你也不要着急,要沉住气慢慢来,具体的方法其实自己也能摸索出来的,我就是这样。当然,如果我有空,我会写我的具体设置方法,很傲能还会配上图片。
改名或卸载不安全组件
不安全组件不惊人
我的在阿江探针1.9里加入了不安全组件检测功能(其实这是参考7i24的代码写的,只是把界面改的友好了一点,检测方法和他是基本一样的),这个功能让很多站长吃惊不小,因为他发现他的服务器支持很多不安全组件。
其实,只要做好了上面的权限设置,那么FSO、XML、strem都不再是不安全组件了,因为他们都没有跨出自己的文件夹或者站点的权限。那个欢乐时光更不用怕,有杀毒软件在还怕什么时光啊。
最危险的组件是WSH和Shell,因为它可以运行你硬盘里的EXE等程序,比如它可以运行提升程序来提升SERV-U权限甚至用SERVU来运行更高权限的系统程序。
卸载最不安全的组件
最简单的办法是直接卸载后删除相应的程序文件。将下面的代码保存为一个.BAT文件,
regsvr32/u C:WINNTSystem32wshom.ocx
del C:WINNTSystem32wshom.ocx
regsvr32/u C:WINNTsystem32shell32.dll
del C:WINNTsystem32shell32.dll
然后运行一下,WScript.Shell, Shell.application, WScript.Network就会被卸载了。可能会提示无法删除文件,不用管它,重启一下服务器,你会发现这三个都提示“×安全了。
改名不安全组件
需要注意的是组件的名称和Clsid都要改,并且要改彻底了。下面以Shell.application为例来介绍方法。
打开注册表编辑器【开始→运行→regedit回车】,然后【编辑→查找→填写Shell.application→查找下一个】,用这个方法能找到两个注册表项:“{13709620-C279-11CE-A49E-444553540000}和“Shell.application。为了确保万无一失,把这两个注册表项导出来,保存为 .reg 文件。
比如我们想做这样的更改
13709620-C279-11CE-A49E-444553540000 改名为 13709620-C279-11CE-A49E-444553540001
Shell.application 改名为 Shell.application_ajiang
那么,就把刚才导出的.reg文件里的内容按上面的对应关系替换掉,然后把修改好的.reg文件导入到注册表中(双击即可),导入了改名后的注册表项之后,别忘记了删除原有的`那两个项目。这里需要注意一点,Clsid中只能是十个数字和ABCDEF六个字母。
下面是我修改后的代码(两个文件我合到一起了):
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}]
@="Shell Automation Service"
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}InProcServer32]
@="C:WINNTsystem32shell32.dll"
"ThreadingModel"="Apartment"
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}ProgID]
@="Shell.Application_ajiang.1"
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}TypeLib]
@="{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}"
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}Version]
@="1.1"
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}VersionIndependentProgID]
@="Shell.Application_ajiang"
[HKEY_CLASSES_ROOTShell.Application_ajiang]
@="Shell Automation Service"
[HKEY_CLASSES_ROOTShell.Application_ajiangCLSID]
@="{13709620-C279-11CE-A49E-444553540001}"
[HKEY_CLASSES_ROOTShell.Application_ajiangCurVer]
@="Shell.Application_ajiang.1"
你可以把这个保存为一个.reg文件运行试一下,但是可别就此了事,因为万一黑客也看了我的这篇文章,他会试验我改出来的这个名字的。
防止列出用户组和系统进程
我在阿江ASP探针1.9中结合7i24的方法利用getobject("WINNT")获得了系统用户和系统进程的列表,这个列表可能会被黑客利用,我们应当隐藏起来,方法是:
【开始→程序→管理工具→服务】,找到Workstation,停止它,禁用它。
防止Serv-U权限提升
其实,注销了Shell组件之后,侵入者运行提升工具的可能性就很小了,但是prel等别的脚本语言也有shell能力,为防万一,还是设置一下为好。
用Ultraedit打开ServUDaemon.exe查找Ascii:LocalAdministrator,和#l@$ak#.lk;0@P,修改成等长度的其它字符就可以了,ServUAdmin.exe也一样处理。
另外注意设置Serv-U所在的文件夹的权限,不要让IIS匿名用户有读取的权限,否则人家下走你修改过的文件,照样可以分析出你的管理员名和密码。
利用ASP漏洞攻击的常见方法及防范
一般情况下,黑客总是瞄准论坛等程序,因为这些程序都有上传功能,他们很容易的就可以上传ASP木马,即使设置了权限,木马也可以控制当前站点的所有文件了。另外,有了木马就然后用木马上传提升工具来获得更高的权限,我们关闭shell组件的目的很大程度上就是为了防止攻击者运行提升工具。
如果论坛管理员关闭了上传功能,则黑客会想办法获得超管密码,比如,如果你用动网论坛并且数据库忘记了改名,人家就可以直接下载你的数据库了,然后距离找到论坛管理员密码就不远了。
作为管理员,我们首先要检查我们的ASP程序,做好必要的设置,防止网站被黑客进入。另外就是防止攻击者使用一个被黑的网站来控制整个服务器,因为如果你的服务器上还为朋友开了站点,你可能无法确定你的朋友会把他上传的论坛做好安全设置。这就用到了前面所说的那一大堆东西,做了那些权限设置和防提升之后,黑客就算是进入了一个站点,也无法破坏这个网站以外的东西。
网站要依靠计算机服务器来运行整个体系,计算机服务器的安全程度直接关系着网站的稳定程度,加强计算机服务器的安全等级,避免网站信息遭恶意泄露。
一、基于帐户的安全策略
1、帐户改名
Administrator和guest是Windows系统默认的系统帐户,正因如此它们是最可能被利用,攻击者通过破解密码而登录计算机服务器。可以通过为其改名进行防范。
2、密码策略
密码策略作用于域帐户或本地帐户,其中就包含以下几个方面:强制密码历史,密码最长使用期限,密码最短使用期限,密码长度最小值,密码必须符合复杂性要求,用可还原的`加密来存储密码。
对于本地计算机的用户帐户,其密码策略设置是在“本地安全设置”管理工个中进行的。
3、帐户锁定
当计算机服务器帐户密码不够安全时,非法用户很容易通过多次重试“猜”出用户密码而登录系统,存在很大的安全风险。那如何来防止黑客猜解或者爆破计算机服务器密码呢?
其实,要避免这一情况,通过组策略设置帐户锁定策略即可完美解决。此时当某一用户尝试登录系统输入错误密码的次数达到一定阈值即自动将该帐户锁定,在帐户锁定期满之前,该用户将不可使用,除非管理员手动解除锁定。
二、安全登录系统
1、远程桌面
远程桌面是比较常用的远程登录方式,但是开启“远程桌面”就好像系统打开了一扇门,合法用户可以进来,恶意用户也可以进来,所以要做好安全措施。
(1).用户限制
点击“远程桌面”下方的“选择用户”按钮,然后在“远程桌面用户” 窗口中点击“添加”按钮输入允许的用户,或者通过“高级→立即查找”添加用户。由于远程登录有一定的安全风险,管理员一定要严格控制可登录的帐户。
(2).更改端口
远程桌面默认的连接端口是3389,攻击者就可以通过该端口进行连接尝试。因此,安全期间要修改该端口,原则是端口号一般是1024以后的端口,而且不容易被猜到。
2、telnet连接
telnet是命令行下的远程登录工具,因为是系统集成并且操作简单,所以在计算机服务器管理占有一席之地。因为它在网络上用明文传送口令和数据,别有用心的人非常容易就可以截获这些口令和数据。而且,这些服务程序的安全验证方式也是有其弱点的,就是很容易受到“中间人”(man-in-the-middle)这种方式的攻击。,并且其默认的端口是23这是大家都知道的。因此我们需要加强telnet的安全性。
3、第三方软件
可用来远程控制的第三方工具软件非常多,这些软件一般都包括客户端和计算机服务器端两部分,需要分别在两边都部署好,才能实现远控控制。一般情况下,这些软件被安全软件定义为木马或者后门,从而进行查杀。安全期间建议大家不要使用此类软件,因为使用此类工具需要对安全软件进行设置(排除、端口允许等),另外,这类软件也有可能被人植入木马或者留有后门,大家在使用时一定要慎重。
