本地安全策略

使用本地安全策略加强windows主机的整体防御

1.1学习目的与要求

1.1.1 学习目的

学生通过该能力模块的学习,能够独立完成和熟练掌握WindowsXP的本地安全策略设置。

1.1.2 学习要求

1.学习重点

?禁止枚举账号

?指派本地用户权利

?设置IP安全策略

?配置密码安全策略

2.学习难点

IP安全策略：IP安全策略是一个给予通讯分析的策略，它将通讯内容与设定好的规则进行比较以判断通讯是否与预期相吻合，然后决定是允许还是拒绝通讯的传输，它弥补了传统TCP/IP设计上的"随意信任"重大安全漏洞，可以实现更仔细更精确的TCP/IP安全，也就是说，当我们配置好IP安全策略后，就相当于拥有了一个免费，但功能完善的个人防火墙。

1.2 本能力单元涉及的知识组织

1.2.1本能力单元涉及的主要知识点

1.什么是枚举账号

2.什么事本地安全策略

3.什么是密码安全

1.2.2本能力单元需要解决的问题

1.按照项目的需求，重点针对WindowsXP的本地安全策略进行设置，达到对本地安全策略的进行深入的理解。

1.3 知识准备

1.3.1 本地安全策略

安全策略是影响计算机安全性的安全设置的组合。可以利用本地安全策略来编辑本地计算机上的帐户策略和本地策略。

通过本地安全策略可以控制：

?访问计算机的用户。

?授权用户使用计算机上的哪些资源。

?是否在事件日志中记录用户或组的操作。

1.3.2 枚举账号

禁用枚举账号的意义

一般来说，黑客攻击入侵，大部分利用漏洞，然后提升权限，成为管理员，这一切都跟用户帐号紧密相连。一般的黑客要攻击Windows 2000/XP等系统，必须要知道账号和密码。而账号更为关键，那么如何来避免这种情况的发生呢？

我们可以利用禁止枚举帐号来限制黑客攻击我们的账户和密码。

由于Windows 2000/XP的默认安装允许任何用户通过空用户得到系统所有账号和共享列表，但是，任何一个远程用户通过同样的方法都能得到账户列表，使用暴力法破解账户密码后，对我们的电脑进行攻击，所以有必要禁止枚举帐号，我们可以通过修改注册表和设置本地安全策略来禁止。

1.3.3 指派本地用户权利

在本地安全策略中可以指派本地用户的权利，比如说哪些用户组可以登录到此终端，哪些用户组或者用户不能登录到此终端中。还可以设置哪些用户组或者用户可以关闭此计算机等等。

1.3.4 IP策略

IP安全策略是一个给予通讯分析的策略，它将通讯内容与设定好的规则进行比较以判断通讯是否与预期相吻合，然后决定是允许还是拒绝通讯的传输，它弥补了传统TCP/IP设计上的"随意信任"重大安全漏洞，可以实现更仔细更精确的TCP/IP安全，当我们配置好IP安全策略后，就相当于拥有了一个免费但功能完善的个人防火墙。

1.3.5 密码安全

如何设置密码安全，我们可以利用用户账号的安全策略来进行保护密码，防止密码被破解：

Windows桌面系统中，用户账号的安全策略默认是关闭的。但要想设定安全的桌面系统，必须开启用户账号的安全策略，以下是用户账号安全策略的解释：

弱口令：在互联网术语中，弱口令我们经常会在一些资料中看到，什么是弱口令，弱口令是指仅包含简单数字和字母的口令，例如“123”、“abc”等。

密码长度：密码字符的长度。我们推荐密码的长度至少八位。建议10位以上。

密码复杂性：密码由大小写字母，数字，特殊字符组成。把他们进行组合的复杂程度我们称为密码复杂性。我们推荐密码复杂性需求至少组成密码字符应该是大小写字母，数字，特殊字符这四种当中的三种。

密码生存周期：也被称为密码有效期。通常情况下，一个密码是存在有效时间的，比如运行在工作组中的WinXP操作系统的密码，默认是0。意味着密码永不过期。

如密码存在于AD目录中，那么密码的生存周期是7天。在密码生存周期里，包含二种类型，一个是密码最长使用周期期限，另一个是密码最短使用期限。

强制密码历史：强制密码历史是指如果要更改密码，则密码不能是之前设置过的几个密码。例如在更改密码之前设置的密码从近到远依次是123，456，789，如强制密码历史设置为2，那么密码就不能改成之前的2次密码，即123，456。

1.4实施过程指导

〖步骤1 〗创建系统账户

第一步：创建多个Windows用户帐户

在PC1上创建bob、Mary、Tim三个用户，如图2-1，图2-2，图2-3所示。

图2- 1 新建bob账号

图2- 2 新建Mary账号

图2- 3 新建Tim账号

第二步：创建Windows用户组

在PC1上创建Sales、Manager、Engineer三个用户组，如图2-4，图2-5，图2-6所示。

图2- 4 建立Sales组

图2- 5 建立Manager组

图2- 6 建立Engineer组

第三步：将不同用户加入到不同的用户组中

将bob、Mary、Tim分别加入Sales、Manager、Engineer三个用户组中，如图2-7，图2-8，图2-9所示。

图2- 7 把bob加入Sales组

图2- 8 把Mary加入Manager组

图2- 9 把Tim加入Engineer组

〖步骤2 〗设置本地策略

第一步：禁止枚举账号

打开PC1的控制面板——管理工具——本地安全策略——本地策略——安全选项：

启用下图两个选项，如图2-10所示。

图2- 10 禁止枚举账号

双击停用的网络访问：不允许SAM账户和共享的匿名枚举，选择启用。如图2-11所示

图2- 11 配置策略

这样我们就启动了“禁用枚举账号”

第二步：指派本地用户权利

打开PC1的控制面板——管理工具——本地安全策略——本地策略——用户权利指派：1）设置“从网络访问此计算机”，只加入sales组

2）设置“拒绝从网络访问此计算机”，加入manager组

3）设置“关闭系统”，加入engineer组

第三步：IP策略

首先我们登陆PC2，打开命令提示符窗口，输入telnet 10.1.1.1 445，可以看到可以连接到PC1的445端口，表示PC1的445端口已经打开并且可以连接。如图2-12，图2-13所示。

图2- 12 测试PC1的445端口（1）

图2- 13 测试PC1的445端口（2）

打开PC1的控制面板——管理工具——本地安全策略——本地策略——IP安全策略：单击右键新建IP安全策略，如图2-14所示。

图2- 14 新建IP安全策略

点击创建IP安全策略，进入IP安全策略向导界面。如图2-15所示。

图2- 15 IP安全策略向导（1）

点击【下一步】，进入下图：键入名称：屏蔽本地445端口，单击【下一步】，如图2-16所示：

图2- 16 IP安全策略向导（2）

配置安全通信请求，如图2-17所示。

图2- 17 IP安全策略向导（3）

完成IP安全策略向导，如图2-18所示。

图2- 18 IP安全策略向导（4）

点击完成

返回本地安全策略页面，右键单击IP安全策略，选择管理IP筛选器表和筛选器操作，如图2-19所示。

图2- 19 管理IP筛选器表盒筛选器操作（1）

进入配置页面，如图2-20所示。

图2- 20 管理IP筛选器表和筛选器操作（2）

在上图中点击添加，进入下面页面：修改名称，再点击添加按钮，如图2-21所示。

图2- 21 建立IP筛选器列表

点击【下一步】，进入到IP筛选器向导，如图2-22所示。

图2- 22 配置IP通信源

在源地址标签中选择任何IP地址。点击【下一步】，进入到ip通信目标设置页面，如图2-23所示。

图2- 23 设置目标地址

目标地址选择我的IP地址，点击【下一步】，设置目标端口，如图2-24所示。

图2- 24设置目标端口

点击【下一步】，进入到设置IP协议端口界面，如图2-25所示。

图2- 25 设置IP协议端口

点击完成进入返回下图。如图2-26所示。

图2- 26 返回管理IP筛选器界面从上图进入到“管理筛选器操作”标签，如图2-27所示。

图2- 27 管理筛选器操作

点击添加按钮，进入筛选器操作向导，如图2-28所示。

图2- 28 筛选器操作向导（1）添加筛选器操作名称，如图2-29所示。

图2- 29 设置名称和描述

点击【下一步】，进入到筛选器操作行为界面，选择阻止，点击【下一步】，如图2-30所示。

图2- 30 筛选器操作行为

图2- 31 完成筛选器操作向导

点击完成按钮。

重新回到本地安全策略界面，在ip安全策略的右侧，可以看到我们刚才新建的屏蔽本地445端口策略。在此上点击右键，选择属性。如图2-32所示。

图2- 32 进入设定的IP安全策略属性页面

图2- 33 屏蔽445端口策略属性标签

点击添加按钮，进入安全规则向导，如图2-34所示。

图2- 34 安全规则向导（1）

这里选择“此规则不建立隧道”，如图2-35所示。

图2- 35 安全规则向导（2）选择隧道选择所有网络连接，如果2-36所示。

图2- 36 配置网络类型

选择屏蔽445端口，如图2-37所示。

图2- 37 选择“屏蔽445端口”

选择“拒绝445”，如图所示

图2- 38 选择筛选器操作

点击【下一步】，完成配置。

图2- 39 完成配置

这样我们就完成了IP策略的配置。下面我们来激活此策略。

右键单击此策略，选择指派。如图2-40所示。

图2- 40 指派IP安全策略

激活了此策略，我们在下面步骤三中来验证此策略。

第四步：密码安全

在安全设置标签的账户策略——密码策略中设置密码策略：如图2-41所示。

图2- 41 密码策略

●启动密码必须符合复杂性要求

●密码长度最小值设定为8位

●密码最长使用期限设定为默认的42天

●密码最短使用期限为1天

●强制密码历史建议设置为至少3次

●激活用户还原的加密来储存密码

〖步骤3 〗验证测试

第一步：安全策略验证

1）指派用户权利

利用PC2远程桌面登陆到PC1上。

●填入bob用户进入到PC1，发现bob用户可以登录到PC1上。

●同样利用Mary用户无法登陆到PC1上。

●Tim账号登陆后发现Tim无法关闭PC1系统。

2）IP安全策略

利用PC2上的命令提示符工具来验证IP安全策略。在命令提示符上输入telnet 10.1.1.1 445，观察状态，发现无法进行连接（做IP策略之前可以登录，见IP策略配置），如图2-42所示。

图2- 42 测试连接

3）用户密码安全

设定用户安全策略后，新建的用户必须符合密码复杂性策略等策略。

数据库系统概论第5版课后答案第4章数据库安全性

第4章数据库安全性 1.什么是数据库的安全性？答：数据库的安全性是指保护数据库以防止不合法的使用所造成的数据泄露、更改或破坏。 2.数据库安全性和计算机系统的安全性有什么关系？答：安全性问题不是数据库系统所独有的，所有计算机系统都有这个问题。只是在数据库系统中大量数据集中存放，而且为许多最终用户直接共享，从而使安全性问题更为突出。系统安全保护措施是否有效是数据库系统的主要指标之一。数据库的安全性和计算机系统的安全性，包括操作系统、网络系统的安全性是紧密联系、相互支持的。 CC评估保证级（EAL）的划分 4.试述实现数据库安全性控制的常用方法和技术。答：实现数据库安全性控制的常用方法和技术有：

1)用户标识和鉴别：该方法由系统提供一定的方式让用户标识自己的名字或身份。每次用户要求进入系统时，由系统进行核对，通过鉴定后才提供系统的使用权。 2)存取控制：通过用户权限定义和合法权检查确保只有合法权限的用户访问数据库，所有未被授权的人员无法存取数据。例如CZ 级中的自主存取控制( DAC ) , Bl 级中的强制存取控制（MAC ）。 3)视图机制：为不同的用户定义视图，通过视图机制把要保密的数据对无权存取的用户隐藏起来，从而自动地对数据提供一定程度的安全保护。 4)审计：建立审计日志，把用户对数据库的所有操作自动记录下来放入审计日志中，DBA 可以利用审计跟踪的信息，重现导致数据库现有状况的一系列事件，找出非法存取数据的人、时间和内容等。 5)数据加密：对存储和传输的数据进行加密处理，从而使得不知道解密算法的人无法获知数据的内容。 5.什么是数据库中的自主存取控制方法和强制存取控制方法？答：自主存取控制方法：定义各个用户对不同数据对象的存取权限。当用户对数据库访问时首先检查用户的存取权限。防止不合法用户对数据库的存取。强制存取控制方法：每一个数据对象被（强制地）标以一定的密级，每一个用户也被（强制地）授予某一个级别的许可证。系统规定只有具有某一许可证级别的用户才能存取某一个密级的数据对象。 6.对下列两个关系模式使用GRANT语句完成下列授权功能：学生（学号，姓名，年龄，性别，家庭住址，班级号）班级（班级号，班级名，班主任，班长） 1)授予用户U1对两个表的所有权限，并可给其他用户授权。 GRANT ALL PRIVILEGES ON TABLE学生，班级 TO U1 WITH GRANT OPTION ; 2)授予用户U2对学生表具有查看权限，对家庭住址具有更新权限。 GRANT SELECT,UPDATE(家庭住址) ON TABLE学生 TO U2; 3)将对班级表查看权限授予所有用户。 GRANT SELECT ON TABLE 班级 TO PUBLIC; 4)将对学生表的查询、更新权限授予角色R1。 CREATE ROLE R1; GRANT SELECT,UPDATE ON TABLE 学生 TO R1; 5)将角色R1授予用户U1，并且U1可继续授予给其他角色。 GRANT R1 TO U1 WITH ADMIN OPTION;称,MAX(工资),MIN(工资),AVG(工资) FROM 职工,部门 WHERE 职工.部门号=部门.部门号 GROUP BY 职工.部门号; GRANT SELECT ON 部门工资 TO 杨兰; 7.针对习题7 中1）~7）的每一种情况，撤销各用户所授予的权限。 1)REVOKE SELECT ON TABLE职工，部门 FROM 王明; 2)REVOKE INSERT , DELETE ON TABLE职工，部门 FROM 李勇; 3)REOVKE SELECT ON TABLE职工WHEN USER ( ) =NAMEFROM ALI; 4)REVOKE SELECT , UPDATE ON TABLE职工FROM 刘星; 5)REVOKE ALTER TABLE ON TABLE职工，部门FROM 张新; 6)REVOKE ALL PRIVILIGES ON TABLE职工，部门FROM 周平;

IP安全策略详细设置

首先,打开"管理工具"中的"本地安全策略",在"IP安全策略"选项上点击右键,如图1: 选择"创建IP安全策略",会弹出向导窗口,单击下一步,在弹出的窗口中,输入此策略的名称,比如这里我们键入"3389过滤"再单击下一步,以后全部默认下一步,其中有一个警告,单击"是"即可这样就完成新策略的添加.如图2: 点击确定后,回到图1界面,选择"管理IP筛选器操作",弹出窗口,如图3

我们先要建立一个筛选器,单击"添加",弹出窗口,在筛选器名称里填入"3389筛选器1",再单击旁边的"添加",会弹出向导窗口,单击"下一步",会出现源地址选项,(你可以按照自己的需要选择),在这里我们选择"任何IP地址",单击下一步,在目的地址中选择"我的IP地址",再单击下一步,选择IP协议,这里我们选择TCP,单击下一步,会出现端口选择,如图4: 我们设置从任何端口到本机的3389端口.单击下一步.就完成了筛选器的建立.如图5:

接着回到图3界面,单击"管理筛选器操作"页栏单击"添加",会弹出筛选器操作向导,单击"下一步",取名为"阻止3389",单击下一步, 在选择操作页面中选择"阻止",单击"下一步",就完成了筛选器的建立.如图6:

好了! 我们建立了筛选器和筛选器操作,现在就要建立IP安全规则了.(***)在图1界面中,双击我们刚刚建立的"3389过滤"策略,弹出策略属性窗口,然后单击"添加"弹出向导,单击"下一步",一直单击下一步,其中一个选择"是",直到这里,如图7：这时,我们要选择我们刚才建立的"3389筛选器1",然后再单击下一步.如图8

操作系统的安全策略基本配置原则(最新版)

操作系统的安全策略基本配置原则(最新版) Safety management is an important part of enterprise production management. The object is the state management and control of all people, objects and environments in production. ( 安全管理 ) 单位：______________________ 姓名：______________________ 日期：______________________ 编号：AQ-SN-0307

操作系统的安全策略基本配置原则(最新版) 安全配置方案中级篇主要介绍操作系统的安全策略配置,包括十条基本配置原则: (1)操作系统安全策略,(2)关闭不必要的服务(3)关闭不必要的端口,(4)开启审核策略(5)开启密码策略,(6)开启帐户策略,(7)备份敏感文件,(8)不显示上次登陆名,(9)禁止建立空连接(10)下载最新的补丁 1操作系统安全策略利用Windows2000的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器的安全策略.在管理工具中可以找到"本地安全策略".可以配置四类安

全策略:帐户策略,本地策略,公钥策略和IP安全策略.在默认的情况下,这些策略都是没有开启的. 2关闭不必要的服务 Windows2000的TerminalServices(终端服务)和IIS(Internet 信息服务)等都可能给系统带来安全漏洞.为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果开了,要确认已经正确的配置了终端服务. 有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务.要留意服务器上开启的所有服务并每天检查.Windows2000可禁用的服务服务名说明 ComputerBrowser维护网络上计算机的最新列表以及提供这个列表Taskscheduler允许程序在指定时间运行RoutingandRemoteAccess在局域网以及广域网环境中为企业提供路由服务Removablestorage管理可移动媒体,驱动程序和库RemoteRegistryService允许远程注册表操作PrintSpooler将文件加载到内存中以便以后打印.要用打印机的用户不能禁用这项服务

数据库安全性习题解答和解析学习资料

数据库安全性习题解答和解析

第九章数据库安全性习题解答和解析 1.1.什么是数据库的安全性? 答：数据库的安全性是指保护数据库以防止不合法的使用所造成的数据泄露、更改或破坏。 2.2.数据库安全性和计算机系统的安全性有什么关系? 答：安全性问题不是数据库系统所独有的,所有计算机系统都有这个问题。只是在数据库系统中大量数据集中存放,而且为许多最终用户直接共享,从而使安全性问题更为突出。系统安全保护措施是否有效是数据库系统的主要指标之一。数据库的安全性和计算机系统的安全性,包括操作系统、网络系统的安全性是紧密联系、相互支持的。 3.试述可信计算机系统评测标准的情况,试述TDI/TCSEC标准的基本内容。答：各个国家在计算机安全技术方面都建立了一套可信标准。目前各国引用或制定的一系列安全标准中,最重要的是美国国防部(DoD)正式颁布的《DoD 可信计算机系统评估标准》(Trusted Computer System Evaluation Criteria,简称 TCSEC,又称桔皮书)。(详细介绍参见《概论》9.1.2)。 TDI/TCSEC标准是将TCSEC扩展到数据库管理系统,即《可信计算机系统评估标准关于可信数据库系统的解释》(Trusted Database Interpretation 简称TDI, 又称紫皮书)。在TDI中定义了数据库管理系统的设计与实现中需满足和用以进行安全性级别评估的标准。 TDI与TCSEC一样,从安全策略、责任、保证和文档四个方面来描述安全性级别划分的指标。每个方面又细分为若干项。这些指标的具体内容,参见《概论》9.1.2。 4.试述TCSEC(TDI)将系统安全级别划分为4组7个等级的基本内容。答：根据计算机系统对安全性各项指标的支持情况,TCSEC(TDI)将系统划分为四组(division)7个等级,依次是D、C(C1,C2)、B(B1,B2,B3)、A(A1),按系统可靠或可信程度逐渐增高。

windows安全策略.

Windows安全策略“软件”防火墙来源：互联网作者：无名不来发表日期：2008-8-28 16:52:54 阅读次数：16 在互联网越来越普及的今天，互联网安全问题日益严重，木马病毒横行网络。大多数人会选择安装杀毒软件和防火墙，不过杀毒软件对病毒反应的滞后性使得他心有余而力不足，只有在病毒已经造成破坏后才能被发现并查杀。在这种情况下，HIPS（主动防御系统）软件越来越流行，依靠设定各种各样的规则来限制病毒木马的运行和传播，由于HIPS是基于行为分析的，这使得它对未知病毒依然有效，不过软件兼容性问题也比普通的杀毒软件要严峻的多。网络上有一种人，他们不装任何杀毒软件和防火墙，自由奔走在互联网上，称之为“裸奔”族。不过他们也分许多不同的种类，有的是电脑不设任何防护，也不放任何重要资料，一旦中毒就重装系统；而另一种则是依托Windows系统本身的安全机制来抵御病毒的入侵，显然这种方法要可靠的多。其实大多数人都忽略了Windows系统本身的功能，认为Windows弱不禁风。其实只要设置好，Windows就是非常强大的安全防护软件。这篇文章的主角就是WindowsXP Pro里自带的安全策略功能。打开安全策略很简单，直接双击控制面板管理工具里的本地安全策略即可，这里我们重点讲其中的软件限制策略。正如其名，这里可以限制软件的运行，至于如何限制，那就要看你的策略怎么定了。如果以前未设置过安全策略，那么在软件限制策略上右键新建策略后会出现下级菜单：其他地方我们都不用管，其它规则才是由我们发挥的地方，这里规则制定的好坏直接关系到你的电脑的安全程度。点击其他策略，我们可以看到微软已经帮我们预设了4条规则（如下图）这4条规则是用来保证Windows运行所必须的程序不会被禁用而设的，如果你确定你的规则没有问题，这四条规则删掉也没有问题。接下去在其他规则上右键， [1] [2] [3] [4] [5] [6] [7] [8] 下一页

操作系统的安全策略基本配置原则(正式)

编订：__________________ 单位：__________________ 时间：__________________ 操作系统的安全策略基本配置原则(正式) Standardize The Management Mechanism To Make The Personnel In The Organization Operate According To The Established Standards And Reach The Expected Level. Word格式 / 完整 / 可编辑

文件编号：KG-AO-8263-70 操作系统的安全策略基本配置原则 (正式) 使用备注：本文档可用在日常工作场景，通过对管理机制、管理原则、管理方法以及管理机构进行设置固定的规范，从而使得组织内人员按照既定标准、规范的要求进行操作，使日常工作或活动达到预期的水平。下载后就可自由编辑。安全配置方案中级篇主要介绍操作系统的安全策略配置,包括十条基本配置原则: (1)操作系统安全策略,(2)关闭不必要的服务 (3)关闭不必要的端口, (4)开启审核策略(5)开启密码策略, (6)开启帐户策略,(7)备份敏感文件,(8)不显示上次登陆名,(9)禁止建立空连接(10)下载最新的补丁 1 操作系统安全策略利用Windows 2000的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器的安全策略.在管理工具中可以找到"本地安全策略".可以配置四类安全策略:帐户策略,本地策略,公钥策略和IP安全策略.在默认

的情况下,这些策略都是没有开启的. 2 关闭不必要的服务 Windows 2000的Terminal Services(终端服务)和IIS(Internet 信息服务)等都可能给系统带来安全漏洞.为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果开了,要确认已经正确的配置了终端服务. 有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务.要留意服务器上开启的所有服务并每天检查.Windows2000可禁用的服务服务名说明Computer Browser维护网络上计算机的最新列表以及提供这个列表Task scheduler允许程序在指定时间运行Routing and Remote Access在局域网以及广域网环境中为企业提供路由服务Removable storage管理可移动媒体,驱动程序和库Remote Registry Service允许远程注册表操作Print Spooler将文件加载到内存中以便以后打印.要用打印机的用户不能禁用这项服务IPSEC Policy Agent管

防火墙安全策略配置

防火墙安全策略配置 -标准化文件发布号：（9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII

一、防火墙设置外网不能访问内网的方法： 1、登录到天融信防火墙集中管理器； 2、打开“高级管理”→“网络对象”→“内网”，在右边窗口空白处点击右键，在弹出的快捷菜单中选择“定义新对象”→“子网”，填入子网名称（自己命名），如“120段”，地址范围中，输入能够上网机器的所有IP范围（能够上网的电脑IP 范围）。点击确定。 3、在“网络对象”中选择“外网”，在右边窗口空白处点击右键，在弹出的快捷菜单中选择“定义新对象”“子网”，填入子网名称（自己命名），如“外网IP”，地址范围中，输入所有IP范围。点击确定。

4、访问策略设置 A、在“高级管理”中选择“访问策略”“内网”，在右边的窗口中，点击右键，选择“增加”，点击“下一步”。 B、在“策略源”中选择“外网IP”（刚才设置的外网IP），点击“下一步”。

C、在“策略目的”中选择“内网”和“120段”（刚才设置的上网IP），点击“下一步”。

D、在“策略服务”中，我们不做任何选择，直接点击“下一步”。（因为我们要限制所有外网对我们内网的访问，在此我们要禁用所有服务，因此不做选择） E、在“访问控制”中，“访问权限”选择“禁止”（因为我们上一步没有选择服务，在此我们选择禁止，表示我们将禁止外网对我们的所有服务），“访问时间”选择“任何”，“日志选项”选择“日志会话”，其他的不做修改，点击“下一步”。

F、最后，点击“完成”。 5、至此，我们就完成了对外网访问内网的设置。

数据库安全策略

数据库系统的安全性很大程度上依赖于数据库管理系统。如果数据库管理系统安全机制非常强大，则数据库系统的安全性能就较好。目前市场上流行的是关系式数据库管理系统，其安全性功能很弱，这就导致数据库系统的安全性存在一定的威胁。因此，数据库管理员应从以下几个方面对数据库的安全进行考虑。一：用户角色的管理这是保护数据库系统安全的重要手段之一。它通过建立不同的用户组和用户口令验证，可以有效地防止非法的Oracle用户进入数据库系统，造成不必要的麻烦和损坏；另外在Oracle数据库中，可以通过授权来对Oracle用户的操作进行限制，即允许一些用户可以对Oracle服务器进行访问，也就是说对整个数据库具有读写的权利，而大多数用户只能在同组内进行读写或对整个数据库只具有读的权利。在此，特别强调对SYS和SYSTEM两个特殊账户的保密管理。为了保护ORACLE数据库服务器的安全，应保证$ORACLE_HOME/bin目录下的所有内容的所有权为Oracle用户所有。为了加强数据库在网络中的安全性，对于远程用户，应使用加密方式通过密码来访问数据库，加强网络上的DBA权限控制，如拒绝远程的DBA访问等。二：数据库的加密由于数据库系统在操作系统下都是以文件形式进行管理的，因此入侵者可以直接利用操作系统的漏洞窃取数据库文件，或者直接利用OS工具来非法伪造、篡改数据库文件内容。这种隐患一般数据库用户难以察觉，分析和堵塞这种漏洞被认为是B2级的安全技术措施。数据库管理系统分层次的安全加密方法主要用来解决这一问题，它可以保证当前面的层次已经被突破的情况下仍能保障数据库数据的安全，这就要求数据库管理系统必须有一套强有力的安全机制。解决这一问题的有效方法之一是数据库管理系统对数据库文件进行加密处理，使得即使数据不幸泄露或者丢失，也难以被人破译和阅读。我们可以考虑在三个不同层次实现对数据库数据的加密，这三个层次分别是OS层、DBMS内核层和DBMS外层。 ⑴在OS层加密。在OS层无法辨认数据库文件中的数据关系，从而无法产生合理的密钥，对密钥合理的管理和使用也很难。所以，对大型数据库来说，在OS层对数据库文件进行加密很难实现。 ⑵在DBMS内核层实现加密。这种加密是指数据在物理存取之前完成加/解密工作。这种加密方式的优点是加密功能强，并且加密功能几乎不会影响DBMS的功能，可以实现加密功能与数据库管理系统之间的无缝耦合。其缺点是加密运算在服务器端进行，加重了服务器的负载，而且DBMS和加密器之间的接口需要DBMS开发商的支持。 ⑶在DBMS外层实现加密。比较实际的做法是将数据库加密系统做成DBMS的一个外层工具，根据加密要求自动完成对数据库数据的加/解密处理。采用这种加密方式进行加密，加/解密运算可在客户端进行，它的优点是不会加重数据库服务器的负载并且可以实现网上

数据库系统安全性.

计算机网络安全与应用技术课程论文题目数据库系统安全性姓名熊斌学号 20127345 系部理工系专业班级2012级计算机2班指导教师黄成

2015年 05 月 30 日摘要数据库系统是信息仓库,管理着大量的数据信息。可能受到来自多方面频繁的安全攻击,从而导致一系列安全问题。随着网络和数据库技术的发展,数据库系统的安全管理日益成为人们关注的焦点。数据库系统的安全框架可以划分为三个层次，各个层次是相辅相成的，防范重点和技术手段也不尽相同。数据库安全包含两层含义：第一层是指系统运行安全，系统运行安全通常受到的威胁如下，一些网络不法分子通过网络，局域网等途径通过入侵电脑使系统无法正常启动，或超负荷让机子运行大量算法，并关闭cpu风扇，使cpu过热烧坏等破坏性活动；第二层是指系统信息安全，系统安全通常受到的威胁如下，黑客对数据库入侵，并盗取想要的资料。数据库系统的安全特性主要是针对数据而言的，包括数据独立性、数据安全性、数据完整性、并发控制、故障恢复等几个方面。网络的开放性给数据库系统安全带来了严重的安全隐患，本文从数据库系统安全的各个方面，对数据库系统的安全策略进行粗略的探讨。［关键词］数据库系统；安全；防范

1.数据库安全国内外研究现状数据库安全问题是信息系统安全问题的一个子问题,数据库技术是构建信息系统的核心技术。在当今开放式的互联网时代,许多关键的业务系统运行在数据库平台上,数据库系统中的数据为众多用户所共享,如果数据库安全无法保证,其上的应用系统也会被非法访问或破坏,所以数据库系统的安全保护措施是否有效已成为现代数据库系统的重要性能指标之一。因此,研究如何保卫信息战的核心资源—数据库,已是目前迫切需要解决的课题。数据库界对此十分重视,各数据库厂商纷纷在自己的产品中实现其安全功能,如安全控制策略,资源管理,数据库备份与恢复,锁定和审计等。这些功能显然是不够的。其主要原因是,数据库中数据是以明码方式存放的。国外对计算机安全及数据库安全的研究起步较早,包括政府部门在内的各种研究机构及公司对此投入了大量的研究,研究成果和应用都较为丰富。从年代开始,以美国军方为主的研究队伍对多级安全数据库系统伽进行了一系列的研究,研究内容主要包含安全需求,安全模型,系统结构,某些特定数据库应用系统的特殊安全问题,存储管理以及原型系统的实现问题。数据仓库的安全保密问题,安全数据库系统中的推理控制问题等等。取得了相当多的成果。在产品开发方面,分别推出了到达安全级的商用数据库产品。基于对安全数据库的需求,国内学术界对数据库的安全问题也进行了研究。国内对数据库安全的研究开始于年代末年代处,从目前掌握的资料看,国内对数据库安全的研究无论是在理论上还是在相关实用产品上都落后于国外。国外几大数据库厂商的低安全级别的数据库产品占据了国内的大部分市场。 2.数据库安全性综述数据库安全技术作为信息安全技术的分支开始于年代中期,自年代末和年代初开始迅速发展,目前己得到被许多国家的重视,将其作为国家信息安全的重要基础技术。国外一些成熟的商用大型数据库管理系统都具有诸如身份认证、访问控制、审

解决局域网共享问题,提示：无法访问.你可能没有权限使用网络资源

默认情况下，Windows XP的本地安全设置要求进行网络访问的用户全部采用来宾方式。同时，在Windows XP安全策略的用户权利指派中又禁止Guest用户通过网络访问系统。这样两条相互矛盾的安全策略导致了网内其他用户无法通过网络访问使用Windows XP的计算机。你可采用以下方法解决. 方法一：解除对Guest账号的限制点击“开始→运行”，在“运行”对话框中输入“GPEDIT.MSC”（或者输入：secpol.msc，打开本地安全设置），打开组策略编辑器，依次选择“计算机配置→Windows设置→安全设置→本地策略→用户权利指派”，双击“拒绝从网络访问这台计算机”策略，删除里面的“GUEST”账号。这样其他用户就能够用Guest 账号通过网络访问使用Windows XP系统的计算机了。方法二：更改网络访问模式打开组策略编辑器，依次选择“计算机配置→Windows设置→安全设置→本地策略→安全选项”，双击“网络访问：本地账号的共享和安全模式”策略，将默认设置“仅来宾?本地用户以来宾身份验证”，更改为“经典：本地用户以自己的身份验证”。现在，当其他用户通过网络访问使用Windows XP的计算机时，就可以用自己的“身份”进行登录了（前提是Windows XP中已有这个账号并且口令是正确的）。 3、将安全选项中的使用空密码的本地账户只允许控制台登录改为已禁用。原来在“安全选项”中有一个“账户：使用空白密码的本地账户只允许进行控制台登录”策略默认是启用的，根据Windows XP 安全策略中拒绝优先的原则，密码为空的用户通过网络访问使用Windows XP的计算机时便会被禁止。我们只要将这个策略停用即可解决问题。一般情况下上述方法可实现局域网之间文件共享了。倘若仍不能访问，需检查一下设置： 1、关闭防火墙，防火墙会阻止计算机之间的访问； 2、启用guest账户； 3、本地连接-属性- Microsoft网络的文件和打印机共享； 4、我的电脑→工具→文件夹选项→查看→去掉“使用简单文件共享（推荐）”前的勾； 5、注册表：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa右边窗口 RestrictAnonymous的值是否为0； 6、检查电脑是否在工作组计算机中；右击“我的电脑”→“属性”→“计算机名”，看该选项卡中有没有出现你的局域网工作组名称，如“workgroup”等。然后单击“网络ID”按钮，开始“网络标识向导”：单击“下一步”，选择“本机是商业网络的一部分，用它连接到其他工作着的计算机”；单击“下一步”，选择“公司使用没有域的网络”；单击“下一步”按钮，然后输入你的局域网的工作组名，如“work”，再次单击“下一步”按钮，最后单击“完成”按钮完成设置。 7、Server服务是否启动；运行-services.msc- 找到"server"服务，启动该服务即可； 8、设置密码访问的方法改下以下设置即可: （1）.开始-运行secpol.msc -本地策略-安全选项-在右边找到“网络访问：本地用户的共享和安全模式-属性-改成”仅来宾-本地用户以来宾身份验证“确定。

Windows 安全配置规范

Windows 安全配置规范 2010年11月

第1章概述 1.1适用范围本规范明确了Windows操作系统在安全配置方面的基本要求，可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。适用于中国电信所有运行的Windows操作系统，包括Windows 2000、Windows XP、Windows2003, Windows7 , Windows 2008以及各版本中的Sever、Professional版本。第2章安全配置要求 2.1账号编号：1 要求内容应按照不同的用户分配不同的账号，避免不同用户间共享账号，避免用户账号和设备间通信使用的账号共享。操作指南1、参考配置操作进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”：根据系统的要求，设定不同的账户和账户组。检测方法1、判定条件结合要求和实际业务情况判断符合要求，根据系统的要求，设定不同的账户和账户组 2、检测操作进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”：

查看根据系统的要求，设定不同的账户和账户组编号：2 要求内容应删除与运行、维护等工作无关的账号。操作指南1．参考配置操作 A）可使用用户管理工具：开始-运行-compmgmt.msc-本地用户和组-用户B）也可以通过net命令：删除账号：net user account/de1 停用账号：net user account/active:no 检测方法1.判定条件结合要求和实际业务情况判断符合要求，删除或锁定与设备运行、维护等与工作无关的账号。注：主要指测试帐户、共享帐号、已经不用账号等 2.检测操作开始-运行-compmgmt.msc-本地用户和组-用户编号：3 要求内容重命名Administrator；禁用guest（来宾）帐号。操作指南1、参考配置操作进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”： Administrator－>属性－> 更改名称 Guest帐号->属性－> 已停用检测方法1、判定条件缺省账户Administrator名称已更改。 Guest帐号已停用。 2、检测操作进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”：缺省帐户－>属性－> 更改名称

配置本地安全策略

配置本地安全策略端口的保护 IP 安全策略设置方法一、适用范围：它适用于2000以上Windows系统的专业版；对家庭版的用户可以看一下是不是能通过：控制台（运行mm）-文件-添加/删除管理单元-添加-添加独立单元，添加上“ IP 安全策略管理”，如行的话则可在左边的窗口中看到“ IP 安全策略，在本地计算机”了，接下来的操作就跟专业版一样了。二、找到“ IP 安全策略，在本地计算机”： “IP 安全策略，在本地计算机”选项在“本地安全设置”下，所以要找到它就打开“本地安全设置”的方法，主要采用以下两种方法来打开：1是点“开始”-“运行” -输入 secpol.msc ，点确定；2 是“控制面板”-“管理工具”-“本地安全策略”。打开“本地安全策略”对话框就能在左边的窗口中看到“ IP 安全策略，在本地计算机”了。右击它，在它的下级菜单中能看到“创建IP 安全策略”和“管理IP 筛选器表和筛选器操作”等菜单（也可以在此级菜单中的“所有任务”项的下级菜单中看到上面的两个菜单）。三、建立新的筛选器： 1、在“ IP 安全策略，在本地计算机”的下级菜单中选择“管理IP 筛选器和筛选器操作”菜单，打开“管理IP 筛选器和筛选器操作”对话框，里面有两个标签：“管理IP 筛选器列表”和“管理筛选器操作”。选择“管理IP 筛选器列表”标签，在“ IP 筛选器列表”下的文本框下面能看到三个按钮：“添加”、“编辑”和“删除”。 2、点“添加”按钮，打开叫做“ IP筛选器列表”的对话框，里面有三个文本框，从上到下分别是：“名称”、“描述”和“筛选器”。在“名称”和“描述”文本框右边，能看到“添加”、“编辑”和“删除”三个按钮（对没有内容的筛选器而言，它的 “编辑”和“删除”按钮不可用），在这三个按钮下有一个复选框，复选框后面有“使用‘添加向导'”这样的文本说明。 3、取消默认的对“使用‘添加向导'”的勾选，在“名称”下面的文本框中把默认的“新IP 筛选器列表”修改成下面要建立的筛选器列表的名称，我们这里先输入： “病毒常驻端口”，在“描述”下面的空白文本框中输进去“病毒常驻端口”后面的全部

数据库系统安全性分析与实现

数据库系统安全性分析与实现（刘中胜信息系统项目管理师，高级项目经理）摘要：随着信息技术的不断发展，各行企业都不同程度地实现了信息化，因而信息系统的应用非常普及，作为信息系统的重要组成部分---数据库系统也就成为重中之重。数据库系统在运行过程中，会受到软件、硬件、人为和自然灾害等各种因素的影响，这些因素不但会破坏数据的机密性、完整性、可用性，造成数据损坏或丢失，而且会影响数据库系统的正常运行，甚至导致数据库系统的崩溃，因此，数据库系统的安全性问题变得尤为突出，不断面临巨大的、新的挑战。本文将从数据库系统的安全属性及安全技术进行分析，探讨实现数据库系统的高安全性策略。关键字：数据库系统；数据库技术；安全性；安全策略随着信息技术的不断发展，各行企业都不同程度地实现了信息化，因而信息系统的应用非常普及，作为信息系统的重要组成部分---数据库系统也就成为重中之重。数据库系统在运行过程中，会受到软件缺陷和故障、硬件损坏和故障，人为非法访问和误操作，以及自然灾害等各种因素的影响，这些因素不但影响数据的安全，而且会影响数据库系统的正常运行，甚至导致数据库系统的崩溃，因此，数据库系统的安全性问题变得尤为突出，不断面临巨大的、新的挑战。如何保证数据的安全，如何保证数据库系统正常安全地运行，是我们在实现企业信息化建设过程中必须认真考虑的问题。下面将从数据库系统的安全属性出发，分析构建数据库系统的安全技术，并阐述实现数据库系统高安全性的策略。一、数据库系统的安全属性分析对数据库系统安全属性的分析，是实现数据库安全策略的一个重要环节，是一个数据库系统采用恰当安全策略的前提。数据库系统的安全属性涉及多个方面，从总体上来讲，包括机密性、完整性、可用性、可控性和可审查性等属性。（1）机密性：防止数据被非法窃取、调用或存取而泄密。数据只能被其相应的合法用户访问或调用。（2）完整性：防止非法用户对数据进行添加、修改和删除，同时也防止合法用户越权访问对未被授权的数据进行添加、修改和删除，并且能够判断数据是否被修改。

涉密计算机安全策略配置完整版

涉密计算机安全策略配置 HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】

涉密计算机安全策略配置一、物理安全防护 1、安装防盗铁门 2、安装红外报警器 3、放置密码文件柜 4、涉密电脑实行物理隔离二、硬件相关设置 1、禁止使用无线设备（无线键盘、鼠标、网卡、红外、蓝牙、modem等）； 2、未经许可不得使用视频、音频输入设备、读卡器设备、刻录设备; 3、接入红黑电源隔离插座； 4、与非密设备间隔一米以上。三、主板BIOS相关设置 1、设置BIOS系统密码，该密码由安全保密管理员掌握； 2、设置BIOS开机密码，该密码由用户掌握； 3、BIOS最优先启动设置为硬盘启动，其余优先启动全部关闭；四、操作系统 1、禁止安装番茄花园、雨林木风等经处理的操作系统，禁止安装Ghost版操作系统； 2、更改A d m i n i s t r a t o r用户名并设置密码，禁用Guest帐户，删除多余帐户； 3、关闭操作系统的默认共享，同时禁止设置其它共享； 4、设置屏保时间10分钟，屏保恢复需用密码； 5、不得安装《软件白名单》外的软件； 6、对操作系统与数据库进行补丁升级（每季度一次〉； 7、定期输出安全审计记录报告（每月一次） 8、清理一切私人信息：私人照片、mp3、电影等等。 9、根据规定设置系统策略，关闭非必要服务；〔见后）五、安全保密防护软件的部署 1、安装正版杀毒软件，涉密计算机（瑞星杀毒软件），涉密中间机、非涉密中间机（瑞星杀毒软件)；杀毒软件每半个月更新一次病毒库并全盘扫描； 2、安装主机监控审计软件与介质绑定系统；六、关闭计算机不必要的应用服务原则：在没有特殊情况下应当关闭不必要的服务。如果有特殊需求，应当主动申请提出。详细配置说明

系统无法打开组策略进行配置怎么解决

系统无法打开组策略进行配置怎么解决组策略可以对计算机进行各种配置。最近有XP用户反馈，电脑的组策略遇到不能启动的情况，这是怎么回事呢?可能是某些功能被禁用了，下面请看具体的解决方法。步骤如下： 1、在启动计算机时按F8键，在“Windows高级选项菜单”操作界面中选择“带命令行提示的安全模式”，进入系统，然后单击“开始→运行”，输入“cmd”，在“命令提示符”对话框中输入“mmc.exe”并回车打开“控制台”，依次单击“文件→添加/删除管理单元→添加”按钮，选中“组策略对象编辑器→添加”按钮，然后单击“完成”按钮。 2、接下来在“控制台”对话框里选择“‘本地计算机’策略”并单击“添加”按钮，然后进去把“只运行许可的Windows运用程序”策略禁用。

3、另外一种情况就是连安全模式也进不去了，这时我们可以进入“故障恢复控制台”，用CD命令依次进入“C:\WINDOWS\system32\GroupPolicy”目录，运行“del/f/q gpt.ini”命令，将组策略的配置文件gpt.ini删除，然后重新启动计算机即可恢复。相关阅读：电脑无法开机、黑屏的故障排解很多时候我们会遇到按动计算机POWER键后，计算机无法启动，没有任何开机自检或进入操作系统的现象，常常使用户无法处理和影响正常使用。在此我们对常见的故障现象、分析和解决方法做简单分析，希望对遇到此类问题的用户有所帮助。按动POWER键后无任何反映故障现象：开机后屏幕没有任何显示，没有听到主板喇叭的“滴”声。故障分析：主板COMS芯片内部BIOS数据被CIH病毒或静电等问题损坏损坏，无法读取，系统启动无法完成自检，所以无法

操作系统的安全策略基本配置原则

操作系统的安全策略基本配置原则集团企业公司编码：（LL3698-KKI1269-TM2483-LUI12689-ITT289-

操作系统的安全策略基本配置原则安全配置方案中级篇主要介绍操作系统的安全策略配置,包括十条基本配置原则: (1)操作系统安全策略,(2)关闭不必要的服务(3)关闭不必要的端口,(4)开启审核策略(5)开启密码策略,(6)开启帐户策略,(7)备份敏感文件,(8)不显示上次登陆名,(9)禁止建立空连接(10)下载最新的补丁 1操作系统安全策略利用Windows2000的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器的安全策略.在管理工具中可以找到"本地安全策略".可以配置四类安全策略:帐户策略,本地策略,公钥策略和IP安全策略.在默认的情况下,这些策略都是没有开启的. 2关闭不必要的服务 Windows2000的TerminalServices(终端服务)和IIS(Internet信息服务)等都可能给系统带来安全漏洞.为了能够在远程方便的管理服务器,

很多机器的终端服务都是开着的,如果开了,要确认已经正确的配置了终端服务. 有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务.要留意服务器上开启的所有服务并每天检查.Windows2000可禁用的服务服务名说明 ComputerBrowser维护网络上计算机的最新列表以及提供这个列表Taskscheduler允许程序在指定时间运行RoutingandRemoteAccess在局域网以及广域网环境中为企业提供路由服务Removablestorage管理可移动媒体,驱动程序和库RemoteRegistryService允许远程注册表操作PrintSpooler将文件加载到内存中以便以后打印.要用打印机的用户不能禁用这项服务IPSECPolicyAgent管理IP安全策略以及启动 ISAKMP/Oakley(IKE)和IP安全驱动程序DistributedLinkTrackingClient当文件在网络域的NTFS卷中移动时发送通知Com+EventSystem提供事件的自动发布到订阅COM组件。 3关闭不必要的端口关闭端口意味着减少功能,如果服务器安装在防火墙的后面,被入侵的机会就会少一些,但是不可以认为高枕无忧了.用端口扫描器扫描系统

Windows7本地安全策略

广东XXXX职业学院计算机工程技术学院(软件学院) 实验报告专业计算机网络技术班级XXX 成绩评定______ 学号XX 姓名XXX (合作者____号____) 教师签名XX 实验八题目本地安全策略第九周星期二第节一、实验目的与要求（此栏实验前由老师填写） ◆创建和验证多重本地组策略的设置； ◆配置本地安全策略设置。二、实验环境及方案（此栏实验前由老师填写）实验环境：主机硬件配置至少1G内存，15G以上的空余硬盘空间，然后要求在主机上安装Oracle VM VirtualBox 4.1.8，利用它配置至少一台虚拟机，安装windows 7企业版客户机，并准备好相应的windows 7安装盘或对应ISO文件。实验说明： 1.计算机启动时所启动的操作系统称为主机，在虚拟机上安装的操作系统称为客户机； 2.启动客户机后，如果想操作客户机，只需用鼠标点击客户机桌面就可以；如果要回到主机操作，可以按下键盘右边ctrl键。 3.也可以通过安装增强功能来实现在主机与客户机之间自由地切换 4.客户机的管理员kgy帐号的登录密码：P@ssw0rd 5.实验所需的各种资料在共享文件夹中找

6.请把实验过程的关键操作屏幕的图片剪切下来，贴在相应实验内容后面，以备检查。（截屏方法：如果要截全屏，直接按屏幕打印键；如果只截当前屏幕，请按Alt+屏幕打印键） 7.完成后，请将实验结果文件命名为：“班内序号_姓名_第几次实验”，如张三班内序号为18号、实验一的结果文件可命名为：“18_张三_1.doc” ；再如李四班内序号为8号、实验六的结果文件可命名为：“08_李四_6.doc” 三、实验内容（将每项实验内容的具体操作步骤及相关截图存放于实验结果栏中）（一）创建和验证多重本地组策略的设置 1、以administrator登录计算机，创建自定义管理控制台，分别选择本地计算机、Administrators和非管理员为组策略对象，保存到桌面并命名为Multiple Local Group Policy Editor； 2、配置本地计算机策略 ●在本地计算机策略中配置windows登录脚本，添加一个登录脚本文件，脚本文件名称为computerscript.vbs，脚本内容为msgbox “Default Computer Policy”； 3、配置本地计算机管理员策略 ●在本地计算机\Administrators策略中配置windows登录脚本，添加一个登录脚本文件，脚本文件名称为administratorscript.vbs，脚本内容为msgbox “Default Administrator’s Policy”； 4、配置本地计算机非管理员策略 ●在本地计算机\非管理员策略中配置windows登录脚本，添加一个登录