win2003域服务器密码安全策略是灰色，不能修改

不能用gpeditmsc进入修改，是改不了的，看到的是灰色的,不能更改。

要这样进入才可更改：

依次单击“开始”→“管理工具”→“域安全策略”，打开“默认域安全设置”窗口。在左窗格中依次展开“安全设置/账户策略”目录，并单击选中“密码策略”选项。然后在右窗格列表中双击“密码必须符合复杂性要求”选项，在打开的“密码必须符合复杂性要求 属性”对话框中选中“已禁用”单选框，并单击“确定”按钮

为了使域策略设置马上生效，可使用gpupdate命令进行刷新

小鸟云可提供的超高防御峰值只能从基础上进行防护，一套完整的、能为用户提供长久保障的安全防护体系才是用户选择信赖的。基于此，小鸟云对于网络流量攻击除了以强大的硬件防火墙以及高度冗余的网络资源作为支撑，充分利用路由器、防火墙等硬件设备将网络有效保护起来外，同时还高频率定期扫描网络骨干节点，清查可能存在的安全漏洞，对新出现的漏洞及时进行清理。

在安全防护体系的人工服务环节，小鸟云安全工程师则会根据攻击信息，帮助用户溯源求证，准确找到攻击源头，并协助用户进行安全架构优化，减少安全隐患，全方位确保用户网站业务安全。同样的，在售后服务保障上，小鸟云独特的1V1专席客服服务发挥着重要作用。专席客服会实时对用户服务器情况进行监控，并在存在异常情况下主动联合724小时运维追踪异常源头，及时联系用户，真正做到主动服务，最大程度实现用户网站业务的平稳增长。

从安全防护综合水平上评估，在硬件防护峰值、安全防护体系、并设立独有的服务保障，三个环节下来，防护与服务相得益彰，防患于未然同时更有效抵御DDoS等恶意攻击，为用户提供更为稳定、安全的云服务。

　相信很多用户在安装配置的时候都遇到过各种各样的问题。如：安装Windows Server 2008 R2系统，并且建了域环境，在添加新用户的时候，发现用简单的密码时域安全策略提示密码复杂度不够，于是就想在域安全策略里面把密码复杂度降低一点，但发现，在Windows Server 2008域的默认“管理工具”中，根本没有域安全策略这个选项（注：“域安全策略”在Windows Server 2003以前的系统默认在“管理工具”里面），只有一个本地安全策略，

　　当用户打开本地安全策略时，会发现无论是账户策略还是本地策略，里面的项目都是灰色不可修改。

　　解决方法是，用户需将Windows Server 2008 R2系统升级为域控制器，那么域会自动把本地安全策略的某些功能锁定。现在，Windows Server 2008 R2的域安全策略应如何启动和打开呢？

一、方法步骤如下：

　　1、点击“开始”-“程序”-“管理工具”-点击“组策略管理”。

　　2、在打开的组策略管理，一次展开“林”-“域”-“saymscom（域名）”-“组策略对象”-右击“Default Domain Policy”，选择“编辑”。

　　3、在打开的“组策略管理编辑器”，依次展开“计算机配置”-“策略”，这个策略里面包含的就是Windows Server 2008的域安全策略啦。

　　注：如用户需修改账户密码的复杂度，应继续展开“Windows设置”-“安全设置”-“账户策略”-“密码策略”。

　　当一台服务器被提升为域控制器后，本地策略不再有效，取而代之的是默认域策略。

　　二、本地组策略

本地组策略是指应用于本机，且设定后只会在本机起作用的策略，运行的方法为点‘开始’-‘运行’-然后键入‘gpeditmsc’，在弹出本地组策略编辑器中即可进行设置。

三、域组策略

域组策略是指应用于站点，域或者组织单元(OUs)的策略，它的最终作用对象通常是多个用户或者计算机，可以在DC上点开始 运行 然后键入gpmcmsc来运行。

密码策略是属于域级别的策略，必须在默认域策略或链接到根域的新策略中定义。所以虽然您可以在Default domain controller policy 中定义密码策略，但是因为Default domain controller policy只应用到了domain controllers OU而不是整个域，所以在Default domain controller policy 中定义密码策略是无效的。 另外由于域组策略的优先级高于本地组策略的优先级，在域密码策略应用并生效后，所有已经加入域的电脑（包括DC）的本地策略中，密码相关设置都会变成灰色不可修改状态。

在本地策略中的，密码策略就应该是灰色的，无法编辑。当点击开始-运行， 然后键入gpeditmsc回车后，本地策略编辑器就会被打开。而由于域组策略的优先级高于本地组策略的优先级，所有在域组策略中已经设定过的策略都将变为灰色不可修改状态（比如密码策略）。

如果您要修改密码策略，可以使用以下方法：

1、点击‘开始’-‘运行’-然后键入‘gpmcmsc’，回车后打开“组策略管理”控制台。

2、展开到 “域-Domaincom-组策略对象（Domaincom是指您的域名）”。

3、右键点击Default Domain Policy然后选择“编辑”。

4、展开到“计算机配置-策略-Windows 设置- 安全设置-账户策略- 密码策略”。

5、您可以在右边的窗口中定义密码相关的策略，此策略会应用于整个域中的所有账户。

1点击 “开始菜单/设置/控制面板/管理工具”,双击打开”本地策月”,选中”ip安全策月,在本地计算机”右边的空白位置右击鼠标,谈出快捷菜单,选择”创建ip安全策月”,弹出向导在向导中点击下一步 下一步,当显示”安全通信请求”画面时,把”激活默认相应规则”左边的钩去掉,点”完成”就创建了一个新的ip安全策月

2右击该ip安全策月,在”属性”对话框中，把”使用添加向导”左边的钩去掉,然后再点击右边的”添加”按纽添加新的规则,随后弹出”新规则属性”对话框,在画面上点击”添加”按纽,弹出ip筛选器列表窗口在列表中,首先把”使用添加向导”左边的钩去掉,然后再点击右边的”添加”按纽添加新的筛选器

3进入”筛选器属性’对话框,首先看到的是寻地址,源地址选”一个特定的IP地址”,目标地址选”我的ip地址”,在特定的IP地址那填上你要阻止的IP地址，点击确定

4在”新规则属性”对话框中,选择”新ip筛选器列表’然后点击其左边的复选框,表示已经激活最后点击”筛选器操作”选项卡中,把”使用添加向导”左边的钩去掉,点击”添加”按钮,进行”阻止”操作,在”新筛选器操作属性”的”安全措施”选项卡中,选择”阻止”,然后点击”确定”

5进入”新规则属性”对话框,点击”新筛选器操作”,选取左边的复选框,表示已经激活,点击”关闭”按钮,关闭对话框最后”新ip安全策略属性”对话框,在”新的ip筛选器列表”左边打钩,按确定关闭对话框在”本地安全策略”窗口,用鼠标右击新添加的ip安全策略,然后选择”指派”

在频频恶意攻击用户、系统漏洞层出不穷的今天，作为网络治理员、系统治理员虽然在服务器的安全上都下了不少功夫，诸如及时打上系统安全补丁、进行一些常规的安全配置，但有时仍不安全。因此必须恶意用户入侵之前，通过一些系列安全设置，来将入侵者们挡在“安全门”之外，下面就将最简单、最有效的防(Overflow)溢出、本地提供权限攻击类的解决办法给大家分享。

一、如何防止溢出类攻击

1、尽最大的可能性将系统的漏洞补丁都打完，最好是比如Microsoft Windows Server系列的系统可以将自动更新服务打开，然后让服务器在您指定的某个时间段内自动连接到Microsoft Update网站进行补丁的更新。假如您的服务器为了安全起见 禁止了对公网外部的连接的话，可以用Microsoft WSUS服务在内网进行升级。

2、停掉一切不需要的系统服务以及应用程序，最大限能的降底服务器的被攻击系数。比如前阵子的MSDTC溢出，就导致很多服务器挂掉了。其实假如WEB类服务器根本没有用到MSDTC服务时，您大可以把MSDTC服务停掉，这样MSDTC溢出就对您的服务器不构成任何威胁了。

3、启动TCP/IP端口的过滤，仅打开常用的TCP如21、80、25、110、3389等端口;假如安全要求级别高一点可以将UDP端口关闭，当然假如这样之后缺陷就是如在服务器上连外部就不方便连接了，这里建议大家用IPSec来封UDP。在协议筛选中"只答应"TCP协议(协议号为：6)、UDP协议(协议号为：17)以及RDP协议(协议号为：27)等必需用协议即可;其它无用均不开放。

4、启用IPSec策略:为服务器的连接进行安全认证，给服务器加上双保险。如③所说，可以在这里封掉一些危险的端品诸如:135 145 139 445 以及UDP对外连接之类、以及对通读进行加密与只与有信任关系的IP或者网络进行通讯等等。(注:其实防反弹类木马用IPSec简单的禁止UDP或者不常用TCP端口的对外访问就成了,关于IPSec的如何应用这里就不再敖续，可以到服安讨论Search "IPSec"，就 会有N多关于IPSec的应用资料)

5、删除、移动、更名或者用访问控制表列Access Control Lists (ACLs)控制要害系统文件、命令及文件夹

品牌型号：华为P50

系统：HarmonyOS 3

软件版本:inode7328

inode智能客户端是H3C自行设计开发的基于Windows的多业务接入客户端软件，提供8021x、Portal、***等多种认证方式，可以与H3C以太网交换机、路由器、***网关等网络设备共同组网，实现对宽带接入、***接入和无线接入的用户认证，是对用户终端进行身份验证、安全状态评估以及安全策略实施的主体，可以按照企业接入安全策略的要求，实现基于角色/身份的权限和安全控制。

inode智能客户端采用开放的平台化设计，可在多业务安全认证的基础上提供与H3C接入设备以及第三方终端安全软件的智能联动，实现对用户终端的防病毒软件、病毒库版本、补丁安装状态、软件使用情况、网络配置状态的协同控制；通过对接入终端的集中管理和监控，确保只有符合企业安全策略的用户终端才能接入网络，从而大幅度提高网络的整体安全。

inode客户端可以使用户终端通过多种方式与H3C公司的网络设备（包括交换机、路由器和***网关等产品）进行用户接入身份认证。支持8021x、Portal和***等多种认证方式。做为一款融合客户端产品，iNode客户端可同时配合H3C公司EAD解决方案与***网关产品实现EAD认证和***移动用户认证。

inode客户端具备丰富的安全认证功能，是EAD解决方案中用户安全状态的感知点，可以采集用户终端的安全状态信息并上报安全策略服务器进行安全状态评估，同时接收安全策略服务器的控制指令，提醒或强制用户进行系统补丁升级、卸载非法软件等。iNode客户端可以与第三方防病毒客户端进行联动，根据安全策略的定义，提醒或自动对用户终端实施查杀病毒、版本升级和病毒库更新等安全操作。