本地安全策略包括哪些内容？

　　对登陆到计算机上的账号定义一些安全设置，在没有活动目录集中管理的情况下，本地管理员必须为计算机进行设置以确保其安全。例如，限制用户如何设置密码、通过账户策略设置账户安全性、通过锁定账户策略避免他人登陆计算机、指派用户权限等。这些安全设置分组管理，就组成了的本地安全策略！

　　各项说明：

　　用户权限分配

　　拒绝本地登录：计算机共享了一个文档用户从网络访问的情况需要输入用户名密码，而这一用户是没办法远程登录计算机,或者本地直接用该账号登录此计算机。

　　安全项：计算机登录界面提示信息。

　　软件限制策略：

　　a、使用组策略来限制本机的软件运行：开始--运行—gpeditmsc，如果用户更改了软件名，还是可以照常运行。

　　b、使用本地安全策略限制本机的软件运行：开始--运行—secpolmsc，如果用户更改了软件的路径，还是可以运行。

Windows

无法打开本地策略数据库的解决方法

打开帐户策略和本地策略时报如下错误：

Windows

无法打开本地策略数据库。打开数据库时出现了一个未知错误。IIS报内部服务器错。怎么解决？

操作系统：Win2000+SP4

不是域服务器。

有时本地策略数据库(文件名:%SystemRoot%\Security\database\Seceditsdb)会坏掉，使策略不发挥作用。下面提供一个恢复本地安全组策略数据库的办法，这也是一个恢复本地安全策略的办法。

注意:这个办法会使本地安全策略回到初始状态，也就是你原来在本地安全策略中进行的设置会全部丢失。

1打开

%SystemRoot%\Security文件夹，创建一个“OldSecurity”子目录，将%SystemRoot%\Security

下所有的log文件移到这个新建的子文件夹中；

2在%SystemRoot%\Security\database\下找到“eceditsdb”全数据库并将其改名，改为“eceditold”

；

3启动“安全配置和分析”MMC管理单元：“开始”->“运行”->“MMC”，启动管理控制台，“添加/删除管理单元”,将“安全配置和分析”管理单元添加上；

4右击“安全配置和分析”->“打开数据库”,浏览“C:\WINNT\security\Database”文件夹,输入文件名“seceditsdb”,单击“打开”；

5当系统提示输入一个模板时，选择“Setup

Securityinf”,单击“打开”；

6如果系统提示“拒绝访问数据库”,不管它；

7你会发现在“C:\WINNT\security\Database”子文件夹中重新生成了新的安全数据库。在“C:\WINNT\security”子文件夹下重新生成了log文件。

安全数据库重建成功。

　　安全是IT行业一个老生常谈的话题了，处理好信息安全问题已变得刻不容缓。做为运维人员，就必须了解一些安全运维准则，同时，要保护自己所负责的业务，首先要站在攻击者的角度思考问题，修补任何潜在的威胁和漏洞。主要分五部分展开：账户和登录安全账户安全是系统安全的第一道屏障，也是系统安全的核心，保障登录账户的安全，在一定程度上可以提高服务器的安全级别，下面重点介绍下Linux系统登录账户的安全设置方法。

　　1、删除特殊的账户和账户组 Linux提供了各种不同角色的系统账号，在系统安装完成后，默认会安装很多不必要的用户和用户组，如果不需要某些用户或者组，就要立即删除它，因为账户越多，系统就越不安全，很可能被黑客利用，进而威胁到服务器的安全。

　　Linux系统中可以删除的默认用户和组大致有如下这些：

　　可删除的用户，如adm,lp,sync,shutdown,halt,news,uucp,operator,games,gopher等。

　　可删除的组，如adm,lp,news,uucp,games,dip,pppusers,popusers,slipusers等。

　　2、关闭系统不需要的服务Linux在安装完成后，绑定了很多没用的服务，这些服务默认都是自动启动的。对于服务器来说，运行的服务越多，系统就越不安全，越少服务在运行，安全性就越好，因此关闭一些不需要的服务，对系统安全有很大的帮助。具体哪些服务可以关闭，要根据服务器的用途而定，一般情况下，只要系统本身用不到的服务都认为是不必要的服务。例如：某台Linux服务器用于www应用，那么除了httpd服务和系统运行是必须的服务外，其他服务都可以关闭。下面这些服务一般情况下是不需要的，可以选择关闭： anacron、auditd、autofs、avahi-daemon、avahi-dnsconfd、bluetooth、cpuspeed、firstboot、gpm、haldaemon、hidd、ip6tables、ipsec、isdn、lpd、mcstrans、messagebus、netfs、nfs、nfslock、nscd、pcscd portmap、readahead_early、restorecond、rpcgssd、rpcidmapd、rstatd、sendmail、setroubleshoot、yppasswdd ypserv

　　3、密码安全策略在Linux下，远程登录系统有两种认证方式：密码认证和密钥认证。密码认证方式是传统的安全策略，对于密码的设置，比较普遍的说法是：至少6个字符以上，密码要包含数字、字母、下划线、特殊符号等。设置一个相对复杂的密码，对系统安全能起到一定的防护作用，但是也面临一些其他问题，例如密码暴力破解、密码泄露、密码丢失等，同时过于复杂的密码对运维工作也会造成一定的负担。密钥认证是一种新型的认证方式，公用密钥存储在远程服务器上，专用密钥保存在本地，当需要登录系统时，通过本地专用密钥和远程服务器的公用密钥进行配对认证，如果认证成功，就成功登录系统。这种认证方式避免了被暴力破解的危险，同时只要保存在本地的专用密钥不被黑客盗用，攻击者一般无法通过密钥认证的方式进入系统。因此，在Linux下推荐用密钥认证方式登录系统，这样就可以抛弃密码认证登录系统的弊端。Linux服务器一般通过SecureCRT、putty、Xshell之类的工具进行远程维护和管理，密钥认证方式的实现就是借助于SecureCRT软件和Linux系统中的SSH服务实现的。

　　4、合理使用su、sudo命令su命令：是一个切换用户的工具，经常用于将普通用户切换到超级用户下，当然也可以从超级用户切换到普通用户。为了保证服务器的安全，几乎所有服务器都禁止了超级用户直接登录系统，而是通过普通用户登录系统，然后再通过su命令切换到超级用户下，执行一些需要超级权限的工作。通过su命令能够给系统管理带来一定的方便，但是也存在不安全的因素，例如：系统有10个普通用户，每个用户都需要执行一些有超级权限的操作，就必须把超级用户的密码交给这10个普通用户，如果这10个用户都有超级权限，通过超级权限可以做任何事，那么会在一定程度上对系统的安全造成了威协。因此su命令在很多人都需要参与的系统管理中，并不是最好的选择，超级用户密码应该掌握在少数人手中，此时sudo命令就派上用场了。sudo命令：允许系统管理员分配给普通用户一些合理的“权利”，并且不需要普通用户知道超级用户密码，就能让他们执行一些只有超级用户或其他特许用户才能完成的任务。比如：系统服务重启、编辑系统配置文件等，通过这种方式不但能减少超级用户登录次数和管理时间，也提高了系统安全性。因此，sudo命令相对于权限无限制性的su来说，还是比较安全的，所以sudo也被称为受限制的su，另外sudo也是需要事先进行授权认证的，所以也被称为授权认证的su。

　　sudo执行命令的流程是：将当前用户切换到超级用户下，或切换到指定的用户下，然后以超级用户或其指定切换到的用户身份执行命令，执行完成后，直接退回到当前用户，而这一切的完成要通过sudo的配置文件/etc/sudoers来进行授权。

　　sudo设计的宗旨是：赋予用户尽可能少的权限但仍允许它们完成自己的工作，这种设计兼顾了安全性和易用性，因此，强烈推荐通过sudo来管理系统账号的安全，只允许普通用户登录系统，如果这些用户需要特殊的权限，就通过配置/etc/sudoers来完成，这也是多用户系统下账号安全管理的基本方式。

　　5、删减系统登录欢迎信息 系统的一些欢迎信息或版本信息，虽然能给系统管理者带来一定的方便，但是这些信息有时候可能被黑客利用，成为攻击服务器的帮凶，为了保证系统的安全，可以修改或删除某些系统文件，需要修改或删除的文件有4个，分别是：/etc/issue、/etc/issuenet、/etc/redhat-release和/etc/motd。/etc/issue和/etc/issuenet文件都记录了操作系统的名称和版本号，当用户通过本地终端或本地虚拟控制台等登录系统时，/etc/issue的文件内容就会显示，当用户通过ssh或telnet等远程登录系统时，/etc/issuenet文件内容就会在登录后显示。在默认情况下/etc/issuenet文件的内容是不会在ssh登录后显示的，要显示这个信息可以修改/etc/ssh/sshd_config文件，在此文件中添加如下内容即可：Banner /etc/issuenet其实这些登录提示很明显泄漏了系统信息，为了安全起见，建议将此文件中的内容删除或修改。/etc/redhat-release文件也记录了操作系统的名称和版本号，为了安全起见，可以将此文件中的内容删除/etc/motd文件是系统的公告信息。每次用户登录后，/etc/motd文件的内容就会显示在用户的终端。通过这个文件系统管理员可以发布一些软件或硬件的升级、系统维护等通告信息，但是此文件的最大作用就、是可以发布一些警告信息，当黑客登录系统后，会发现这些警告信息，进而产生一些震慑作用。看过国外的一个报道，黑客入侵了一个服务器，而这个服务器却给出了欢迎登录的信息，因此法院不做任何裁决。

　　远程访问和认证安全

　　1、远程登录取消telnet而采用SSH方式 telnet是一种古老的远程登录认证服务，它在网络上用明文传送口令和数据，因此别有用心的人就会非常容易截获这些口令和数据。而且，telnet服务程序的安全验证方式也极其脆弱，攻击者可以轻松将虚假信息传送给服务器。现在远程登录基本抛弃了telnet这种方式，而取而代之的是通过SSH服务远程登录服务器。

　　2、合理使用Shell历史命令记录功能 在Linux下可通过history命令查看用户所有的历史操作记录，同时shell命令操作记录默认保存在用户目录下的bash_history文件中，通过这个文件可以查询shell命令的执行历史，有助于运维人员进行系统审计和问题排查，同时，在服务器遭受黑客攻击后，也可以通过这个命令或文件查询黑客登录服务器所执行的历史命令操作，但是有时候黑客在入侵服务器后为了毁灭痕迹，可能会删除bash_history文件，这就需要合理的保护或备份bash_history文件。

　　3、启用tcp_wrappers防火墙Tcp_Wrappers是一个用来分析TCP/IP封包的软件，类似的IP封包软件还有iptables。Linux默认都安装了Tcp_Wrappers。作为一个安全的系统，Linux本身有两层安全防火墙，通过IP过滤机制的iptables实现第一层防护。iptables防火墙通过直观地监视系统的运行状况，阻挡网络中的一些恶意攻击，保护整个系统正常运行，免遭攻击和破坏。如果通过了第一层防护，那么下一层防护就是tcp_wrappers了。通过Tcp_Wrappers可以实现对系统中提供的某些服务的开放与关闭、允许和禁止，从而更有效地保证系统安全运行。

　　文件系统安全

　　1、锁定系统重要文件系统运维人员有时候可能会遇到通过root用户都不能修改或者删除某个文件的情况，产生这种情况的大部分原因可能是这个文件被锁定了。在Linux下锁定文件的命令是chattr，通过这个命令可以修改ext2、ext3、ext4文件系统下文件属性，但是这个命令必须有超级用户root来执行。和这个命令对应的命令是lsattr，这个命令用来查询文件属性。对重要的文件进行加锁，虽然能够提高服务器的安全性，但是也会带来一些不便。例如：在软件的安装、升级时可能需要去掉有关目录和文件的immutable属性和append-only属性，同时，对日志文件设置了append-only属性，可能会使日志轮换(logrotate)无法进行。因此，在使用chattr命令前，需要结合服务器的应用环境来权衡是否需要设置immutable属性和append-only属性。另外，虽然通过chattr命令修改文件属性能够提高文件系统的安全性，但是它并不适合所有的目录。chattr命令不能保护/、/dev、/tmp、/var等目录。根目录不能有不可修改属性，因为如果根目录具有不可修改属性，那么系统根本无法工作：/dev在启动时，syslog需要删除并重新建立/dev/log套接字设备，如果设置了不可修改属性，那么可能出问题；/tmp目录会有很多应用程序和系统程序需要在这个目录下建立临时文件，也不能设置不可修改属性；/var是系统和程序的日志目录，如果设置为不可修改属性，那么系统写日志将无法进行，所以也不能通过chattr命令保护。

　　2、文件权限检查和修改不正确的权限设置直接威胁着系统的安全，因此运维人员应该能及时发现这些不正确的权限设置，并立刻修正，防患于未然。下面列举几种查找系统不安全权限的方法。

　　（1）查找系统中任何用户都有写权限的文件或目录

　　查找文件：find / -type f -perm -2 -o -perm -20 |xargs ls -al查找目录：find / -type d -perm -2 -o -perm -20 |xargs ls –ld

　　（2）查找系统中所有含“s”位的程序

　　find / -type f -perm -4000 -o -perm -2000 -print | xargs ls –al

　　含有“s”位权限的程序对系统安全威胁很大，通过查找系统中所有具有“s”位权限的程序，可以把某些不必要的“s”位程序去掉，这样可以防止用户滥用权限或提升权限的可能性。

　　（3）检查系统中所有suid及sgid文件

　　find / -user root -perm -2000 -print -exec md5sum {} \;find / -user root -perm -4000 -print -exec md5sum {} \;

　　将检查的结果保存到文件中，可在以后的系统检查中作为参考。

　　（4）检查系统中没有属主的文件

　　find / -nouser -o –nogroup

　　没有属主的孤儿文件比较危险，往往成为黑客利用的工具，因此找到这些文件后，要么删除掉，要么修改文件的属主，使其处于安全状态。

　　3、/tmp、/var/tmp、/dev/shm安全设定在Linux系统中，主要有两个目录或分区用来存放临时文件，分别是/tmp和/var/tmp。存储临时文件的目录或分区有个共同点就是所有用户可读写、可执行，这就为系统留下了安全隐患。攻击者可以将病毒或者木马脚本放到临时文件的目录下进行信息收集或伪装，严重影响服务器的安全，此时，如果修改临时目录的读写执行权限，还有可能影响系统上应用程序的正常运行，因此，如果要兼顾两者，就需要对这两个目录或分区就行特殊的设置。/dev/shm是Linux下的一个共享内存设备，在Linux启动的时候系统默认会加载/dev/shm，被加载的/dev/shm使用的是tmpfs文件系统，而tmpfs是一个内存文件系统，存储到tmpfs文件系统的数据会完全驻留在RAM中，这样通过/dev/shm就可以直接操控系统内存，这将非常危险，因此如何保证/dev/shm安全也至关重要。对于/tmp的安全设置，需要看/tmp是一个独立磁盘分区，还是一个根分区下的文件夹，如果/tmp是一个独立的磁盘分区，那么设置非常简单，修改/etc/fstab文件中/tmp分区对应的挂载属性，加上nosuid、noexec、nodev三个选项即可，修改后的/tmp分区挂载属性类似如下：LABEL=/tmp /tmp ext3 rw,nosuid,noexec,nodev 0 0 其中，nosuid、noexec、nodev选项，表示不允许任何suid程序，并且在这个分区不能执行任何脚本等程序，并且不存在设备文件。在挂载属性设置完成后，重新挂载/tmp分区，保证设置生效。对于/var/tmp，如果是独立分区，安装/tmp的设置方法是修改/etc/fstab文件即可；如果是/var分区下的一个目录，那么可以将/var/tmp目录下所有数据移动到/tmp分区下，然后在/var下做一个指向/tmp的软连接即可。也就是执行如下操作：

　　[root@server ~]# mv /var/tmp/ /tmp[root@server ~]# ln -s /tmp /var/tmp

　　如果/tmp是根目录下的一个目录，那么设置稍微复杂，可以通过创建一个loopback文件系统来利用Linux内核的loopback特性将文件系统挂载到/tmp下，然后在挂载时指定限制加载选项即可。一个简单的操作示例如下：

　　[root@server ~]# dd if=/dev/zero of=/dev/tmpfs bs=1M count=10000[root@server ~]# mke2fs -j /dev/tmpfs[root@server ~]# cp -av /tmp /tmpold[root@server ~]# mount -o loop,noexec,nosuid,rw /dev/tmpfs /tmp[root@server ~]# chmod 1777 /tmp[root@server ~]# mv -f /tmpold/ /tmp/[root@server ~]# rm -rf /tmpold

　　最后，编辑/etc/fstab，添加如下内容，以便系统在启动时自动加载loopback文件系统：

　　/dev/tmpfs /tmp ext3 loop,nosuid,noexec,rw 0 0

　　Linux后门入侵检测工具rootkit是Linux平台下最常见的一种木马后门工具，它主要通过替换系统文件来达到入侵和和隐蔽的目的，这种木马比普通木马后门更加危险和隐蔽，普通的检测工具和检查手段很难发现这种木马。rootkit攻击能力极强，对系统的危害很大，它通过一套工具来建立后门和隐藏行迹，从而让攻击者保住权限，以使它在任何时候都可以使用root权限登录到系统。rootkit主要有两种类型：文件级别和内核级别，下面分别进行简单介绍。文件级别的rootkit一般是通过程序漏洞或者系统漏洞进入系统后，通过修改系统的重要文件来达到隐藏自己的目的。在系统遭受rootkit攻击后，合法的文件被木马程序替代，变成了外壳程序，而其内部是隐藏着的后门程序。通常容易被rootkit替换的系统程序有login、ls、ps、ifconfig、du、find、netstat等，其中login程序是最经常被替换的，因为当访问Linux时，无论是通过本地登录还是远程登录，/bin/login程序都会运行，系统将通过/bin/login来收集并核对用户的账号和密码，而rootkit就是利用这个程序的特点，使用一个带有根权限后门密码的/bin/login来替换系统的/bin/login，这样攻击者通过输入设定好的密码就能轻松进入系统。此时，即使系统管理员修改root密码或者清除root密码，攻击者还是一样能通过root用户登录系统。攻击者通常在进入Linux系统后，会进行一系列的攻击动作，最常见的是安装嗅探器收集本机或者网络中其他服务器的重要数据。在默认情况下，Linux中也有一些系统文件会监控这些工具动作，例如ifconfig命令，所以，攻击者为了避免被发现，会想方设法替换其他系统文件，常见的就是ls、ps、ifconfig、du、find、netstat等。如果这些文件都被替换，那么在系统层面就很难发现rootkit已经在系统中运行了。这就是文件级别的rootkit，对系统维护很大，目前最有效的防御方法是定期对系统重要文件的完整性进行检查，如果发现文件被修改或者被替换，那么很可能系统已经遭受了rootkit入侵。检查件完整性的工具很多，常见的有Tripwire、 aide等，可以通过这些工具定期检查文件系统的完整性，以检测系统是否被rootkit入侵。内核级rootkit是比文件级rootkit更高级的一种入侵方式，它可以使攻击者获得对系统底层的完全控制权，此时攻击者可以修改系统内核，进而截获运行程序向内核提交的命令，并将其重定向到入侵者所选择的程序并运行此程序，也就是说，当用户要运行程序A时，被入侵者修改过的内核会假装执行A程序，而实际上却执行了程序B。内核级rootkit主要依附在内核上，它并不对系统文件做任何修改，因此一般的检测工具很难检测到它的存在，这样一旦系统内核被植入rootkit，攻击者就可以对系统为所欲为而不被发现。目前对于内核级的rootkit还没有很好的防御工具，因此，做好系统安全防范就非常重要，将系统维持在最小权限内工作，只要攻击者不能获取root权限，就无法在内核中植入rootkit。

　　1、rootkit后门检测工具chkrootkit chkrootkit是一个Linux系统下查找并检测rootkit后门的工具，它的官方址:http://wwwchkrootkitorg/。 chkrootkit没有包含在官方的CentOS源中，因此要采取手动编译的方法来安装，不过这种安装方法也更加安全。chkrootkit的使用比较简单，直接执行chkrootkit命令即可自动开始检测系统。下面是某个系统的检测结果：

　　[root@server chkrootkit]# /usr/local/chkrootkit/chkrootkitChecking `ifconfig’… INFECTEDChecking `ls’… INFECTEDChecking `login’… INFECTEDChecking `netstat’… INFECTEDChecking `ps’… INFECTEDChecking `top’… INFECTEDChecking `sshd’… not infectedChecking `syslogd’… not tested

　　从输出可以看出，此系统的ifconfig、ls、login、netstat、ps和top命令已经被感染。针对被感染rootkit的系统，最安全而有效的方法就是备份数据重新安装系统。chkrootkit在检查rootkit的过程中使用了部分系统命令，因此，如果服务器被黑客入侵，那么依赖的系统命令可能也已经被入侵者替换，此时chkrootkit的检测结果将变得完全不可信。为了避免chkrootkit的这个问题，可以在服务器对外开放前，事先将chkrootkit使用的系统命令进行备份，在需要的时候使用备份的原始系统命令让chkrootkit对rootkit进行检测。

　　2、rootkit后门检测工具RKHunter RKHunter是一款专业的检测系统是否感染rootkit的工具，它通过执行一系列的脚本来确认服务器是否已经感染rootkit。在官方的资料中，RKHunter可以作的事情有：MD5校验测试，检测文件是否有改动

　　检测rootkit使用的二进制和系统工具文件 检测特洛伊木马程序的特征码 检测常用程序的文件属性是否异常 检测系统相关的测试 检测隐藏文件 检测可疑的核心模块LKM 检测系统已启动的监听端口

　　在Linux终端使用rkhunter来检测，最大的好处在于每项的检测结果都有不同的颜色显示，如果是绿色的表示没有问题，如果是红色的，那就要引起关注了。另外，在执行检测的过程中，在每个部分检测完成后，需要以Enter键来继续。如果要让程序自动运行，可以执行如下命令：

　　[root@server ~]# /usr/local/bin/rkhunter –check –skip-keypress

　　同时，如果想让检测程序每天定时运行，那么可以在/etc/crontab中加入如下内容：

　　30 09 root /usr/local/bin/rkhunter –check –cronjob

　　这样，rkhunter检测程序就会在每天的9:30分运行一次。服务器遭受攻击后的处理过程安全总是相对的，再安全的服务器也有可能遭受到攻击。作为一个安全运维人员，要把握的原则是：尽量做好系统安全防护，修复所有已知的危险行为，同时，在系统遭受攻击后能够迅速有效地处理攻击行为，最大限度地降低攻击对系统产生的影响。

1，控制面板－管理工具－服务

确保protected storage这项服务是自动运行的（大多数情况下，都是自动的）

2，控制面板－管理工具－本地安全策略－本地策略－安全选项

找到“网络访问：不允许为网络身份验证储存凭证或NET Passports”的选项，然后把这个选项启用即

还有就是如果你在服务器中共享的文件夹有区分用户权限，只用把服务器共享的用户删除再用新用户登陆就行了，或者在服务器中把期用户密码更改掉也可以

03系统例举

01首先打开控制面板，进入“管理工具”，然后双击打开“本地安全策略”

02使用鼠标右键单击左方的“ip

安全策略，在

本地计算机”选项，并选择“创建

ip

安全策略”选项

03点击“下一步”按钮

04设置一个ip策略名称，例如设置为“端口限制策略”，使用其它名称也可以

05点击“下一步”按钮

06去掉“激活默认响应规则”选项的勾

07点击“下一步”按钮

08点击“完成”按钮

09去掉右导”选项的勾

10现在先开始添止所有机器访问服务器，点击“添加”按钮

11点击“添加”按钮

12设置ip筛选器的名称，例如设置为“禁止所有机器访问服务器”，使用其它名称也可以

13点击“添加”按钮

14如果该服务器不打算上网，则可以将“源地址”设置为“任何

ip

地址”。如果需要上网，建议设置为“一个特定的

ip

子网”，并设置ip地址为与该服务器ip地址相同的网段，例如服务器ip地址是192168110，则可以设置为19216810，也就是前面3个数字是相同的，后面最后一位填1即可，并设置子网掩码，这个设置和服务器子网掩码一致即可（具体请自行查看服务器的子网掩码），如果局域网都是在1921681的范围，则直接设置为2552552550即可

15将“目标地址”设置为“我的

ip

地址”

16点击“确定”按钮

17点击“确定”按钮

18选择刚创建的ip筛选器（即12步中设置的名称）

19切换到“筛选器操作”选项页

20去掉“使用添加向导”选项的勾

21点击“添加”按钮

22选择“阻止”选项

23切换到“常规”选项页

24设置筛选器操作名称，建议设置为“禁止”或“阻止”，使用其它名称也可以

25点击“确定”按钮

26选择刚创建的筛选器操作（即24步设置的名称）

27点击“应用”按钮

28点击“确定”按钮

29现在开始添加允许访问该服务器的机器，点击“添加”按钮

30点击“添加”按钮

31设置ip筛选器名称，建议设置为“允许访问的机器”，使用其它名称也可以

32点击“添加”按钮

33将“源地址”设置为“一个特定的

ip

地址”，并设置下方的ip地址为允许访问该服务器的ip中的一个（每次只能添加一个，所以需要慢慢添加）

34设置“目标地址”为“我的

ip

地址”

35点击“确定”按钮

36重复32至35步将要允许访问该服务器的ip全部添加

37点击“确定”按钮

38选择刚创建的“ip

筛选器”（即31步设置的名称）

39切换到“筛选器操作”选项页

40选择“许可”选项

41点击“应用”按钮

42点击“确定”按钮

43点击“确定”按钮

44使用鼠标右键单击刚创建的ip策略（即第4步设置的名称），并选择“指派”即可

45以后需要添加、修改、删除允许访问的ip时，可以编辑该ip策略的ip筛选器进行设置

注意：需要注意的是并非设置了ip策略后就能100%保证其它机器无法访问服务器，因为如果他人知道您允许哪个ip访问该服务器，对方可以修改自己的ip地址，以获得访问权限ip，这样您的策略就失效了。因此您可能还需要在服务器上绑定允许访问该服务器的ip地址的mac地址（可以使用arp

-s命令来绑定），并在路由器中对这些ip绑定mac地址。不过对方也可以修改mac地址来获取访问权限，因此使用ip安全策略并非绝对安全。

默认情况下，Windows无法正常访问Samba服务器上的共享文件夹。原因在于从Vista开始，微软默认只采用NTLMv2协议的认证回应消息了，而目前的Samba还只支持LM或者NTLM。

解决办法：修改本地安全策略。

1、通过Samba服务可以实现UNIX/Linux主机与Windows主机之间的资源互访，由于实验需要，轻车熟路的在linux下配置了samba服务，操作系统是red

hat linux 90，但是在windows7下访问的时候问题就出现了，能够连接到服务器，但是输入密码的时候却给出如图一的提示：

2、在linux下的smbconf配置文件里面的配置完全没有错误，之前安装Windows XP的时候访问也完全正常，仔细查看配置还是正常，如果变动配置文件里面的工作组或者允许IP地址Windows7会出现连接不上的情况，不会出现提示输入用户名和密码。

3、这种情况看来是windows

7的问题，解决的办法是：单击”开始“-“运行”，输入secpolmsc，打开“本地安全策略”，在本地安全策略窗口中依次打开“本地策略”-->“安全选项”，然后再右侧的列表中找到“网络安全：LAN

管理器身份验证级别”，把这个选项的值改为“发送 LM 和 NTLM – 如果已协商，则使用 NTLMv2

会话安全”，最后确定。如图二。

到这里再连接samba服务器，输入密码就可以正常访问samba服务器了。

单击“控制面板→管理工具→本地安全策略”后，会进入“本地安全策略”的主界面。在此可通过菜单栏上的命令设置各种安全策略，并可选择查看方式，导出列表及导入策略等操作。

一、加固系统账户

1禁止枚举账号

我们知道，某些具有黑客行为的蠕虫病毒，可以通过扫描Windows 2000/XP系统的指定端口，然后通过共享会话猜测管理员系统口令。因此，我们需要通过在“本地安全策略”中设置禁止枚举账号，从而抵御此类入侵行为，操作步骤如下：

在“本地安全策略”左侧列表的“安全设置”目录树中，逐层展开“本地策略→安全选项”。查看右侧的相关策略列表，在此找到“网络访问：不允许SAM账户和共享的匿名枚举”，用鼠标右键单击，在弹出菜单中选择“属性”，而后会弹出一个对话框，在此激活“已启用”选项，最后点击“应用”按钮使设置生效。

2账户管理

为了防止入侵者利用漏洞登录机器，我们要在此设置重命名系统管理员账户名称及禁用来宾账户。设置方法为：在“本地策略→安全选项”分支中，找到“账户：来宾账户状态”策略，点右键弹出菜单中选择“属性”，而后在弹出的属性对话框中设置其状态为“已停用”，最后“确定”退出。

二、加强密码安全

在“安全设置”中，先定位于“账户策略→密码策略”，在其右侧设置视图中，可酌情进行相应的设置，以使我们的系统密码相对安全，不易破解。如防破解的一个重要手段就是定期更新密码，大家可据此进行如下设置：鼠标右键单击“密码最长存留期”，在弹出菜单中选择“属性”，在弹出的对话框中，大家可自定义一个密码设置后能够使用的时间长短(限定于1至999之间)。

此外，通过“本地安全设置”，还可以进行通过设置“审核对象访问”，跟踪用于访问文件或其他对象的用户账户、登录尝试、系统关闭或重新启动以及类似的事件。诸如此类的安全设置，不一而足。大家在实际应用中会逐渐发觉“本地安全设置”的确是一个不可或缺的系统安全工具。

参考资料：