组策略是什么

组策略（英语：Group Policy）是微软Windows NT家族 *** 作系统的一个特性，它可以控制用户帐户和计算机帐户的工作环境。组策略提供了 *** 作系统、应用程序和活动目录中用户设置的集中化管理和配置。组策略的其中一个版本名为本地组策略（缩写“LGPO”或“LocalGPO”），这可以在独立且非域的计算机上管理组策略对象。

所谓组策略，就是基于组的策略。它以Windows中的一个MMC管理单元的形式存在，可以帮助系统管理员针对整个计算机或是特定 组策略界面图
用户来设置多种配置，包括桌面配置和安全配置。譬如，可以为特定用户或用户组定制可用的程序、桌面上的内容，以及“开始”菜单选项等，也可以在整个计算机范围内创建特殊的桌面配置。简而言之，组策略是Windows中的一套系统更改和配置管理工具的集合。 注册表是Windows系统中保存系统软件和应用软件配置的数据库，而随着Windows功能越来越丰富，注册表里的配置项目也越来越多，很多配置都可以自定义设置，但这些配置分布在注册表的各个角落，如果是手工配置，可以想像是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供用户直接使用，从而达到方便管理计算机的目的。
其实简单地说，组策略设置就是在修改注册表中的配置。当然，组策略使用了更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。

通通领航服务器设置经验总结
一 取消匿名访问功能
默认情况下，Windows 2003系统的FTP服务器是允许匿名访问的，虽然匿名访问为用户上传、下载文件提供方便，但却存在极大的安全隐患。用户不需要申请合法的账号，就能访问FTP服务器，甚至还可以上传、下载文件，特别对于一些存储重要资料的FTP服务器，很容易出现泄密的情况，因此建议用户取消匿名访问功能。
在Windows 2003系统中，点击“开始→程序→管理工具→Internet服务管理器”，d出管理控制台窗口。然后展开窗口左侧的本地计算机选项，就能看到IIS50自带的FTP服务器，下面通通网络以默认FTP站点为例，介绍如何取消匿名访问功能。
右键点击“默认FTP站点”项，在右键菜单中选择“属性”，接着d出默认FTP站点属性对话框，切换到“安全账号”标签页，取消“允许匿名连接”前的勾选，最后点击“确定”按钮，这样用户就不能使用匿名账号访问FTP服务器了，必须拥有合法账号才行。
二 启用日志记录
Windows日志记录着系统运行的一切信息，但很多管理员对日志记录功能不够重视，为了节省服务器资源，禁用了FTP服务器日志记录功能，这是万万要不得的。FTP服务器日志记录着所有用户的访问信息，如访问时间、客户机IP地址、使用的登录账号等，这些信息对于FTP服务器的稳定运行具有很重要的意义，一旦服务器出现问题，就可以查看FTP日志，找到故障所在，及时排除。因此一定要启用FTP日志记录。
在默认FTP站点属性对话框中，切换到“FTP站点”标签页，一定要确保“启用日志记录”选项被选中，这样就可以在“事件查看器”中查看FTP日志记录了。
当然，通通网络现在说的只是最基本最简单的安全设置，并不能完全的防范病毒木马以及黑客入侵，如果要加强服务器的安全性，还要更进一步的对服务器进行设置。

网站要依靠计算机服务器来运行整个体系，计算机服务器的安全程度直接关系着网站的稳定程度，加强计算机服务器的安全等级，避免网站信息遭恶意泄露。

一、基于帐户的安全策略

1、帐户改名

Administrator和guest是Windows系统默认的系统帐户，正因如此它们是最可能被利用，攻击者通过破解密码而登录计算机服务器。可以通过为其改名进行防范。

2、密码策略

密码策略作用于域帐户或本地帐户，其中就包含以下几个方面：强制密码历史，密码最长使用期限，密码最短使用期限，密码长度最小值，密码必须符合复杂性要求，用可还原的`加密来存储密码。

对于本地计算机的用户帐户，其密码策略设置是在“本地安全设置”管理工个中进行的。

3、帐户锁定

当计算机服务器帐户密码不够安全时，非法用户很容易通过多次重试“猜”出用户密码而登录系统，存在很大的安全风险。那如何来防止黑客猜解或者爆破计算机服务器密码呢

其实，要避免这一情况，通过组策略设置帐户锁定策略即可完美解决。此时当某一用户尝试登录系统输入错误密码的次数达到一定阈值即自动将该帐户锁定，在帐户锁定期满之前，该用户将不可使用，除非管理员手动解除锁定。

二、安全登录系统

1、远程桌面

远程桌面是比较常用的远程登录方式，但是开启“远程桌面”就好像系统打开了一扇门，合法用户可以进来，恶意用户也可以进来，所以要做好安全措施。

(1)用户限制

点击“远程桌面”下方的“选择用户”按钮，然后在“远程桌面用户” 窗口中点击“添加”按钮输入允许的用户，或者通过“高级→立即查找”添加用户。由于远程登录有一定的安全风险，管理员一定要严格控制可登录的帐户。

(2)更改端口

远程桌面默认的连接端口是3389，攻击者就可以通过该端口进行连接尝试。因此，安全期间要修改该端口，原则是端口号一般是1024以后的端口，而且不容易被猜到。

2、telnet连接

telnet是命令行下的远程登录工具，因为是系统集成并且 *** 作简单，所以在计算机服务器管理占有一席之地。因为它在网络上用明文传送口令和数据，别有用心的人非常容易就可以截获这些口令和数据。而且，这些服务程序的安全验证方式也是有其弱点的，就是很容易受到“中间人”(man-in-the-middle)这种方式的攻击。，并且其默认的端口是23这是大家都知道的。因此我们需要加强telnet的安全性。

3、第三方软件

可用来远程控制的第三方工具软件非常多，这些软件一般都包括客户端和计算机服务器端两部分，需要分别在两边都部署好，才能实现远控控制。一般情况下，这些软件被安全软件定义为木马或者后门，从而进行查杀。安全期间建议大家不要使用此类软件，因为使用此类工具需要对安全软件进行设置(排除、端口允许等)，另外，这类软件也有可能被人植入木马或者留有后门，大家在使用时一定要慎重。

默认情况下，Windows无法正常访问Samba服务器上的共享文件夹。原因在于从Vista开始，微软默认只采用NTLMv2协议的认证回应消息了，而目前的Samba还只支持LM或者NTLM。
解决办法：修改本地安全策略。
1、通过Samba服务可以实现UNIX/Linux主机与Windows主机之间的资源互访，由于实验需要，轻车熟路的在linux下配置了samba服务， *** 作系统是red
hat linux 90，但是在windows7下访问的时候问题就出现了，能够连接到服务器，但是输入密码的时候却给出如图一的提示：
2、在linux下的smbconf配置文件里面的配置完全没有错误，之前安装Windows XP的时候访问也完全正常，仔细查看配置还是正常，如果变动配置文件里面的工作组或者允许IP地址Windows7会出现连接不上的情况，不会出现提示输入用户名和密码。
3、这种情况看来是windows
7的问题，解决的办法是：单击”开始“-“运行”，输入secpolmsc，打开“本地安全策略”，在本地安全策略窗口中依次打开“本地策略”-->“安全选项”，然后再右侧的列表中找到“网络安全：LAN
管理器身份验证级别”，把这个选项的值改为“发送 LM 和 NTLM – 如果已协商，则使用 NTLMv2
会话安全”，最后确定。如图二。
到这里再连接samba服务器，输入密码就可以正常访问samba服务器了。

---