windows的组策略

运行：gpedit.msc

简介：

　所谓组策略，就是基于组的策略。它以Windows中的一个MMC管理单元的形式存在，可以帮助系统管理员针对整个计算机或是特定用户来设置多种配置，包括桌面配置和安全配置。譬如，可以为特定用户或用户组定制可用的程序、桌面上的内容，以及“开始”菜单选项等，也可以在整个计算机范围内创建特殊的桌面配置。简而言之，组策略是Windows中的一套系统更改和配置管理工具的集合。 　　注册表是Windows系统中保存系统软件和应用软件配置的数据库，而随着Windows功能越来越丰富，注册表里的配置项目也越来越多，很多配置都可以自定义设置，但这些配置分布在注册表的各个角落，如果是手工配置，可以想像是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供用户直接使用，从而达到方便管理计算机的目的。 　　其实简单地说，组策略设置就是在修改注册表中的配置。当然，组策略使用了更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大

你妈。。。原来这里可以删除回收站啊

在网吧里运行不能用的话。。可以在组策略里调

还有啥用这玩意啊。。。貌似这个脚本登录吊。。重启后。。可执行任意脚本

===========================================================

管理员组策略的安全配置

1.设置用户权限

　　当多人共用一台计算机时，设置用户权限，可以按照以下步骤进行： 在“组策略”窗口依次展开“计算机配置”→“Windows设置”→“安全设置”→“本地策略”→“用户权限指派”

2.禁止访问注册表编辑器

　　为了防止他人修改你的注册表，我们可以在组策略中禁止访问注册表编辑器，具体步骤如下：

　　依次展开“用户配置”→“管理模板”→“系统”，然后在右边窗口中找到并双击“阻止访问注册表编辑器”项，并将其设置为“已启用”，这样用户在试图启动注册表编辑器时，系统将提示：注册编辑已被管理员停用。

　 另外，如果你的注册表编辑器被锁死，也可以双击此设置，在弹出对话框的“设置”标签中点选“未被设置”项，这样你的注册表就可以解锁了。如果要防止用户使用其他注册表编辑工具打开注册表，请双击启用“只运行许可的Windows应用程序”，这样用户只能运行您所指定的程序了。

3.隐藏或删除资源管理器中的项目

一直以来，资源管理器就是Windows系统中最重要的工具，如何高效、安全地管理资源也一直是电脑用户的不懈追求。依次展开“用户配置”→“管理模板”→“Windows组件”→“Windows资源管理器”项，可以看到“Windows资源管理器”节点下的所有设置。比如“文件夹选项”是资源管理器中一个重要的菜单项，通过它可修改文件的查看方式，编辑文件类型的打开方式，为了防止他人随意更改，可将此菜单项删除，我们找到并双击启用“从‘工具’菜单删除‘文件夹选项’菜单”便能完成这一设置；此外，双击启用“隐藏Windows资源管理器上下文菜单上的‘管理’项目”项则可以屏蔽电脑中的“管理”菜单；我们还可以通过启用“隐藏‘我的电脑’中的这些指定的驱动器”来隐藏你指定的驱动器；双击启用“不要将已删除的文件移到‘回收站’”则以后删除文件时将不进入回收站直接删除掉。当然还有不少项目这里没有讲到，大家可根据需要自行探讨，进行适当的配置]

 4.我们可以从“控制面板”中的“添加或删除程序”项目中安装、卸载、修复并添加和删除 Windows 的功能和组件以及种类很多的 Windows 程序。如果你想阻止其他用户安装或卸载程序，可利用组策略来实现。

　　依次展开“用户配置”→“管理模板”→“控制面板”→“添加/删除程序”

5.如果不希望别人对IE浏览器的设置随意更改，可以将“‘工具’菜单：禁用‘Internet选项...’”策略启用。具体设置步骤如下：

　　依次展开“用户配置”→“管理模板”→“Windows组件”→“Internet Explorer”→“浏览器菜单”，然后在右边窗口中启用“‘工具’菜单：禁用‘Internet选项...’”菜单项即可

　　另外，根据个人的需要，在该窗格中还可以禁用其他项目（例如隐藏IE收藏夹，在文件菜单中禁用另存为、新建、打开等）。


==========================================

1.重命名管理账户

    “计算机配置”|“Windows设置”|“安全设置”|“本地策略”|“安全选项”，在右侧分别双击“重命名系统管理员帐户”、“重命名来宾帐户”策略，在弹出的对话框上重新输入一个帐户名即可重命名Administrator和Guest帐号。

2.用账户锁定策略

　　 有些黑客会利用帐户词典和密码词典远程破解Windows帐户以便通过IPC$或终端服务远程登录到Windows，启用帐户锁定策略可以有效防止黑客通过这种方法远程破解Windows帐户。打开组策略编辑器，依次展开“计算机配置”|“Windows设置”|“安全设置”|“帐户策略”|“帐户锁定策略”，在右侧双击“帐户锁定阈值”，在弹出的对话框上输入“5”（登录失败5次被猜测的帐户将被锁定），接着，再双击“账户锁定时间”，在弹出的对话框输入“30”（30分钟之后锁定将被解除），这样，就可有效地防止黑客利用软件采用穷举法远程破解Windows帐户。

3.启用密码策略

　　 从上面的介绍可以看出Windows帐户和密码的重要性，但是大多数Windows用户的帐户使用的却是“弱口令”（密码极易被破解的口令），甚至有些用户的Administrator帐户是空口令。为了防止帐户和密码设置上的“轻率”，使你的Windows帐户有一个复杂的密码，建议按以下方法启用密码策略：打开组策略编辑器，依次展开“计算机配置”|“Windows设置”|“安全设置”|“帐户策略”|“密码策略”，双击相应的策略，在弹出的对话框上启用“密码必须符合复杂性要求”策略，并设置密码长度的最小值为8个字符，强制密码历史为3个，密码最长存留期为30天。

windows2003配置IP安全策略

当木马利用某些端口侵入我们的电脑的时候，大可不必慌张，只要我们堵住端口，切断木马与外界的联系，就ok了

telnet利用23端口，要想禁止，我们就可以堵住23端口

网上135，139的抓鸡更是猖獗。。

就拿135端口为例把。。。。

打开 管理工具——本地安全策略——IP安全策略在本地计算机

1.右键创建IP安全策略

一直下一步

2.编辑IP安全规则

点击添加。。。一直下一步。。再点击刚才新建的IP安全策略（此处有的时候不显示再另行添加IP安全策略）

编辑——添加

 
 
 
 
直接下一步完成，回到

直接下一步。。

下一步完成。。。
这样的话，135端口就得到了保护。。。扫肉鸡的估计就扫不到了。。

window2003内网邮件服务的安装

第一步 安装两项服务
  1.POP3服务组件
    添加/删除windows组件——电子邮件服务
 
  2.SMTP服务组件
    添加/删除windows组件——应用程序服务器——internet信息服务——SMTP service

第二步:配置POP3组件
  打开管理工具——POP3服务
 1.新建主机域名

 2.添加个邮箱帐户
 
 manuel@youngstyle.com
 qcbk@youngstyel.com


第三步：配置SMTP服务
 打开IIS服务管理器——SMTP虚拟服务器
 在属性中设置IP地址和连接数

ok。。。邮件服务器搭建完成了。。。

         

web数据库防下载配置

1.在网站数据库文件名前面加#
  ##DatalaoY3.0sp1.mdb
  但是经常玩渗透的都知道可以把#改成%23直接下载数据库
2.把文件##DatalaoY3.0sp1.mdb的后缀名改成asp
  可以防下载，但是容易被hacker写入一句话木马
3.修改网站默认文件夹名

4.添加数据库名的如MDB的扩展映射

这个方法就是通过修改IIS设置来实现，适合有IIS控制权的朋友，不适合购买虚拟主机用户(除非管理员已经设置了）。这个方法我认为是目前最好的。只要修改一处，整个站点的数据库都可以防止被下载。无须修改代码即使暴露目标地址也可以防止下载

在 IIS属性---主目录---配置---映射---应用程序扩展那里添加.mdb文件的应用解析。注意这里的选择的DLL（或EXE等）似乎也不是任意的，选择不当，这个MDB文件还是可以被下载的，  注意最好不要选择asp.dll等。

ok。。。。。。。。

window2003远程桌面谨慎配置

在不用的情况下，还是别开了。。毕竟存在安全隐患嘛。。
非开不可的情况下

1.右键我的电脑——属性——开启远程桌面

 提示信息足以说明，只要拥有管理组权限的用户都能够远程。。包括user组的克隆管理用户
所以安全方面。。真的要小心，一般不用的用户。。一定要禁止。。
此外，用户密码千万别在设什么123456的弱密码了。。。小心服务器被当肉鸡给秒了

2.修改远程桌面默认3389端口
   运行regedit。。。打开注册表，修改两处
——HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
Server\Wds\rdpwd\Tds\tcp

 

——HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp


重启服务器远程一下试试。。

ok。。。

IBM server xserveies 235安装windows2003

前几天，学长在图书馆机房拿了台服务器，是window2000系统，机器加了密，不知道那位学长，就直接格式化硬盘重装系统，结果按F1进入BIOS设置启动后，安装失败

大家都没见过这种情况，找不到硬盘驱动，，起初以为是硬件坏了，于是乎，各种拆。。。
最终也没发现什么线路问题。
正好那晚开会，部长说，谁能搞好这台服务器，以后这台服务器就给谁来管了。。。
我一听乐了。。。
在网上查了下，其中各种坑爹的资料，都没啥用，找了好久才找到！！
IBM server 安装系统需要两张系统盘
1.IBM serverguide 系统安装驱动盘
2.wondows 2003  系统盘

=============================================
1.IBM serverguide 系统安装驱动盘的制作，各种伤心啊！！
 到IBM官网找了下服务器支持的版本
http://www-947.ibm.com/support/entry/portal/docdisplay?lndocid=serv-guide
查看了一下，由于这台服务器太老了，没有对应的版本下载，

不过我百度问了下，有人说7.4.16版本可以用

下一步不就把下载好的ios刻成启动盘嘛。。我手里有Dvd的刻盘。。
结果刻完开始装系统。。无法读取启动盘。。我又重新刻了一边，还是不行。。郁闷了好久
实在没办法了，我要放弃的时候，看到官网下载界面有这么一句话



你妹的。。这服务器只支持cd的刻盘！！伤心了。。
之后就没啥问题了。。

IBM serverguide使用教程
link：http://www.doc88.com/p-29735987623.html

安装完 IBM serverguide 再放进window2003的安装盘安装就行了！！

莫有实战过的菜鸟的，悲催经历！！=_=!!!