利用WINXP组策略实现HIPS的功能（1）

※随风飘荡※

利用WINXP组策略实现HIPS的功能——图文教程【转自雨林木风】

Tags: HIPS WINXP组 林木 教程 网络
很早就像写关于WINXP的组策略相关教程的一直没有时间
绅博论坛今天周末，顺手写了一下
其实WINXP组策略中的软件限制策略完全可以实现HIPS的功能
设置得当的话，完全可以防御大部分的网络威胁
要设置组策略，先来了解一下系统环境变量和通配符
环境变量
%USERPROFILE%   表示 C:\Documents and Settings\当前用户名
%ALLUSERSPROFILE%   表示 C:\Documents and Settings\All Users
%APPDATA%   表示 C:\Documents and Settings\当前用户名\Application Data
%ALLAPPDATA%   表示 C:\Documents and Settings\All Users\Application Data
%SYSTEMDRIVE% 表示 C:
%HOMEDRIVE%   表示C:\
%SYSTEMROOT%   表示 C:\WINDOWS
%WINDIR%   表示 C:\WINDOWS
%TEMP% 和 %TMP%   表示 C:\Documents and Settings\当前用户名\Local Settings\Temp
%ProgramFiles%   表示 C:\Program Files
%CommonProgramFiles%   表示 C:\Program Files\Common Files
通配符
?   表示任意单个字符
*   表示任意多个字符
**或*?   表示零个或多个含有反斜杠的字符,即包含子文件夹
接下来开始设置“软件限制策略”

























[设置完成后，将C:\Windows\\system32\GroupPolicy\Machine\Registry.pol文件拷贝出来
这个文件就是你所设置的规则。重做系统后，将备份的这个文件覆盖到源路径中，就可以恢复规则
也可以将这个文件做成一个自解压EXE格式的文件 .
自解压脚本为
Path=%windir%\system32\GroupPolicy\Machine\
SavePath
Setup=gpupdate /force
Silent=1
Overwrite=1
至此，软件限制策略的全套方案写完了！！！


Win2003 Server帐户和本地策略配置（上）　　在Windows Server 2003系统的“帐户和本地策略”中包括“帐户策略”和“本地策略”两个方面，而其中的“帐户策略”又包括：密码策略、帐户锁定策略和Kerberos策略三个方面；另外的“本地策略”也包括：审核策略、用户权限分配和安全选项三部分。下面分别予以介绍。
　　
　　一、密码策略的设置
　　密码策略作用于域帐户或本地帐户，其中就包含以下几个方面：
　　强制密码历史
　　密码最长使用期限
　　密码最短使用期限
　　密码长度最小值
　　密码必须符合复杂性要求
　　用可还原的加密来存储密码
　　
　　以上各项的配置方法均需根据当前用户帐户类型来选择。默认情况下，成员计算机的配置与其域控制器的配置相同。下面分别根据几种不同用户类型介绍相应的密码策略配置方法。
　　
　　1. 对于本地计算机
　　
　　对于本地计算机的用户帐户，其密码策略设置是在“本地安全设置”管理工个中进行的。下面是具体的配置方法。
　　
　　第1步，执行〖开始〗→〖管理工具〗→〖本地安全策略〗菜单操作，打开如图所示的“本地安全设置”界面。对于本地计算机中用户“帐户和本地策略”都查在此管理工具中进行配置的。
　　

　

　　第2步，因密码策略是属于用户策略范畴，所以先需在如上图所示界面中单击选择“用户策略”选项，然后再选择“密码策略”选项，在右边详细信息窗口中将显示可配置的密码策略选项的当前配置。
　　
　　因为各策略选项的配置方法基本一样，所以在此仅以一个选项的配置进行介绍，其它只对各选项的具体作用进行简单介绍。
　　
　　如配置“密码必须符合复杂性要求”选项，可设置确定密码是否符合复杂性要求。启用该策略，则密码必须符合以下最低要求：
　　（1）不包含全部或部分的用户帐户名
　　（2）长度至少为六个字符
　　（3）包含来自以下四个类别中的三个的字符：
　　英文大写字母（从A到Z）
　　英文小写字母（从a到z）
　　10个基本数字（从0到9）
　　非字母字符（例如，!、$、#、%）
　　
　　如果启用了此安全策略，而您所配置的用户密码不符合此配置要求时系统会提示错误。有时您可能百思不得其解，认为自己所设的密码已经够长，而且也是属于随机的，不全都是数字或字母，可系统为什么还是老说错误呢？一般来说是由于您所设的密码所包括的字符类型不足以上四个中的三个。通常只各个领域其中的两种，即数字和字母，而没有考虑到字母的大小写或者非字母字符，所以达不到复杂性要求。更改或创建密码时，会强制执行复杂性要求。
　　
　　默认情况下，在域控制器上默认是已启用了这一策略的；而在独立服务器上则默认是禁用的。
　　
　　这个安全选项的配置方法是在如上图所示界面的右边信息窗口中双击“密码必须符合复杂性要求”选项，打开如图所示对话框。在这个对话框中就可随意启用或者禁用这个安全策略选项，配置好后单击“确定”按钮使配置更改生效。
　　

　

　　其它选项的配置方法都一样，都是通过双击或者单击右键，然后选择“属性”选项，打开类似如图2所示对话框，在这些对话框中进行配置即可。不过为了便于工作于大家理解和配置，下面简单介绍其它密码策略选项的含义。
　　
　　强制密码历史
　　重新使用旧密码之前，该安全设置确定某个用户帐户所使用的新密码必须不能与该帐户所使用的最近多少旧密码一样。该值必须为0到24之间的一个数值。该策略通过确保旧密码不能在某段时间内重复使用，使用户帐户更安全。
　　
　　在域控制器上的默认值为24；而在独立服务器上为0。
　　
　　【注意】要维持密码历史记录的有效性，则在通过启用密码最短使用期限安全策略设置更改密码之后，不允许立即更改密码。
　　
　　密码最长使用期限
　　该安全设置确定系统要求用户更改密码之前可以使用该密码的时间（单位为天）。可将密码的过期天数设置在1至999天之间；如果将天数设置为0，则指定密码永不过期。如果密码最长使用期限在1至999天之间，那么“密码最短使用期限”（下面将介绍）必须小于密码最长使用期限。如果密码最长使用期限设置为 0，则密码最短使用期限可以是1至998天之间的任何值。
　　默认值：42。
　　
　　【技巧】使密码每隔30至90天过期一次是一种安全最佳操作，取决于您的环境。通过这种方式，攻击者只能够在有限的时间内破解用户密码并访问您的网络资源。
　　
　　第三步，密码最短使用期限。该安全策略设置确定用户可以更改密码之前必须使用该密码的时间（单位为天）。可以设置1到998天之间的某个值，或者通过将天数设置为0，允许立即更改密码。密码最短使用期限必须小于上面设置的“密码最长使用期限”，除非密码最长使用期限设置为0（表明密码永不过期）。如果密码最长使用期限设置为0，那么密码最短使用期限可设置为0到998天之间的任意值。
　　
　　如果希望上面设置的“强制密码历史”安全策略选项设置有效，请将密码最短有效期限配置为大于0。如果没有密码最短有效期限，则用户可以重复循环通过密码，直到获得喜欢的旧密码。默认设置不遵从这种推荐方法，因此管理员可以为用户指定密码，然后要求当用户登录时更改管理员定义的密码。如果将该密码的历史记录设置为0，则用户不必选择新密码。因此，默认情况下将密码历史记录设置为1。在域控制器上的默认值为1；而在独立服务器上为0。