实验3 编辑Windows 2000组策略

实验环境：Windows 2000 Server 升级为域控制器

实验工具：GPResult.exe

相关知识：第4章 强化Windows安全

时间：30分钟

实验步骤：

1、安装Active Directory，提升本机为域控制器。

2、打开Active Directory用户和计算机（MMC管理界面）

3、所在域的『属性』——『组策略』——编辑默认的组策略

4、『计算机配置』——『Windows设置』——『安全设置』——『帐户策略』——『密码策略』
设定：密码长度不少于8个字符、短存留期1～7天、长存留期少于42天，密码历史6个记住的密码。

5、『安全设置』——『本地策略』——『审核策略』、『用户权限指派』、『安全选项』
审核系统登录事件 成功、失败
审核账户管理 成功、失败
审核登录事件 成功、失败
审核对象访问 成功
审核策略更改 成功、失败
审核特权使用 成功、失败
审核系统事件 成功、失败

屏幕不允许显示上次登录的用户名；
对匿名连接的额外限制：不允许枚举SAM账户和共享；
对全局系统对象访问的审计：启用
重命名来宾和管理员账户。

6、禁止发送明文密码
发送未加密的密码到第三方SMB服务器：停用

7、运行secedit /refreshpolicy machine_policy 立即更新组策略

8、允许在故障恢复控制台对软盘的复制
故障恢复控制台：允许对所有驱动器和文件进行软盘复制和访问：已启用
secedit /refreshpolicy /machine_policy
set allow RemoveableMedia=TRUE

9、安装Windows Server 2000 Resource Kit，检查组策略
Gpresult [/V] [/S] [/C] [/U]
/V Verbose mode
/S Super Verbose mode
/C Computer setting only
/U User setting only