配置本地安全策略.docx
《配置本地安全策略.docx》由会员分享,可在线阅读,更多相关《配置本地安全策略.docx(10页珍藏版)》请在冰豆网上搜索。
配置本地安全策略
配置本地安全策略———端口的保护
IP安全策略设置方法
一、适用范围:
它适用于2000以上Windows系统的专业版;对家庭版的用户可以看一下是不是能通过:
控制台(运行mmc)-文件-添加/删除管理单元-添加-添加独立单元,添加上“IP安全策略管理”,如行的话则可在左边的窗口中看到“IP安全策略,在本地计算机”了,接下来的操作就跟专业版一样了。
二、找到“IP安全策略,在本地计算机”:
“IP安全策略,在本地计算机”选项在“本地安全设置”下,所以要找到它就打开“本地安全设置”的方法,主要采用以下两种方法来打开:
1是点“开始”-“运行”-输入,点确定;2是“控制面板”-“管理工具”-“本地安全策略”。
打开“本地安全策略”对话框就能在左边的窗口中看到“IP安全策略,在本地计算机”了。
右击它,在它的下级菜单中能看到“创建IP安全策略”和“管理IP筛选器表和筛选器操作”等菜单(也可以在此级菜单中的“所有任务”项的下级菜单中看到上面的两个菜单)。
三、建立新的筛选器:
1、在“IP安全策略,在本地计算机”的下级菜单中选择“管理IP筛选器和筛选器操作”菜单,打开“管理IP筛选器和筛选器操作”对话框,里面有两个标签:
“管理IP筛选器列表”和“管理筛选器操作”。
选择“管理IP筛选器列表”标签,在“IP筛选器列表”下的文本框下面能看到三个按钮:
“添加”、“编辑”和“删除”。
2、点“添加”按钮,打开叫做“IP筛选器列表”的对话框,里面有三个文本框,从上到下分别是:
“名称”、“描述”和“筛选器”。
在“名称”和“描述”文本框右边,能看到“添加”、“编辑”和“删除”三个按钮(对没有内容的筛选器而言,它的“编辑”和“删除”按钮不可用),在这三个按钮下有一个复选框,复选框后面有“使用‘添加向导’”这样的文本说明。
3、取消默认的对“使用‘添加向导’”的勾选,在“名称”下面的文本框中把默认的“新IP筛选器列表”修改成下面要建立的筛选器列表的名称,我们这里先输入:
“病毒常驻端口”,在“描述”下面的空白文本框中输进去“病毒常驻端口”后面的全部端口号(可以用复制、粘贴来操作),主要作用是便于下一步对照着添加作为“筛选器”具体内容的“端口”。
这时可以点“确定”按钮,保存本“筛选器”。
但由于它没有任何内容,所以会蹦出来“IP筛选器列表警告”对话框,提示“这个IP筛选器列表是空的。
没有匹配的IP数据包。
您想……吗”,因为保存是目的,所以选择“是”。
4、这里我们不点“确定”,不保存空的筛选器,直接向“筛选器”下面的文本框中添加本筛选器要操作的端口。
这个文本框中是不能直接用输入法输入、编辑的,具体方法见下一步。
四、添加“筛选器”要操作的端口:
1、点“IP筛选器列表”对话框中的“添加”按钮,打开“筛选器属性”对话框。
这个对话框里面有三个标签:
“寻址”、“协议”和“描述”。
2、在“寻址”标签下有两个选项框和一个复选框。
从上到下是“源地址”选项框、“目标地址”选项框和“镜像。
同时与源地址和目标地址……匹配”复选框。
因为我们现在要做的是“进入端口”的阻止设置,也就是要阻止病毒、木马从这些端口联系或叫“进入”咱们的系统,所以我们在“源地址”下选择“任何IP地址”,在“目标地址”下选择“我的IP地址”,取消对“镜像……”复选框的勾选;如果是做“出端口”则在“源地址”下选择“我的IP地址”,在“目标地址”下选择“任何IP地址”,同样不选择“镜像”。
3、在“协议”标签下,默认状态下只有“选择协议类型”选项框可操作。
点一下选项框右边的小三角按钮,打开选项列表,根据端口的协议类型来选择(我们可以操作的主要是“TCP”和“UDP”,在下面所列的“要做的筛选器”下要做的筛选器列表如:
“病毒常驻端口”、“打印与共享”等,在它们下面所列的端口号前面都用括号把相应的类型做了标记)。
选择了类型后,下面的“设置IP协议端口”成为可选状态,因为不允许别人进,所以就在上半部保留默认选择的“从任意端口”,在下半部选择“到此端口”,选择之后它下面的文本框变成可操作状态,在里面输入一个端口。
因为每次只能输入一个端口,所以要做多少个端口就得操作多少次。
这一步如果是做“出端口”,则应在选择好“协议类型”后在“设置IP协议端口”的上半部选择“从此端口”,然后输入一个端口,下半部保留默认选择的“到任意端口”。
4、在“描述”标签下只有一个“描述”文本输入框。
可以在里面输入自己心仪的描述。
通常只对入端口做描述:
阻止任意地址任意端口访问我的***端口。
然后点“确定”,完成对这个端口的操作。
因为在“描述”标签下只能点“确定”按钮而不能按“回车”键确定,所以想加快速度,可以先做描述,再做协议,端口输入“回车”就“确定”了。
也可以不作描述,这样更快。
5、确定后,在“IP筛选器列表”对话框下的“筛选器”下的文本框中就能看到刚才添加的“筛选器”了。
这里说的“筛选器”,事实上就是我们刚才添加的“端口”,可以拖动下面的滚动条查看咱们刚才或叫以前输入的内容是否正确,如果有误,可以双击它打开进行修改。
也可以选中它后点“编辑”按钮进行修改,当然也可以点“删除”按钮删除它。
6、“病毒常驻端口”后所列的端口添加完后,在“IP筛选器列表”对话框下点“确定”按钮,完成对“病毒常驻端口”的操作。
五、如法炮制,完成对全部筛选器的添加:
完成对“病毒常驻端口”的操作后,返回到“三”-“2”之步骤,继续添加“打印与共享端口”等,直到把木马入、出端口、以及自己想要添加的任何端口如数添加完成。
六、创建“IP安全策略”并添加“筛选器”和“筛选器操作”:
1、创建“IP安全策略”。
在“本地安全设置”对话框中左边的树状图中找到“IP安全策略,在本地计算机”,右击,选择“创建IP安全策略”,出来“IP安全策略向导”对话框;点“下一步”,出现副标题为“IP安全策略名称命名……”的对话框,下面有两个文本框,自上而下是“名称”和“描述”。
这里不用描述,直接在“名称”下输入自己心仪的名字就行,为表述方便,假定取名为“我的IP安全策略”;点“下一步”,出来副标题为“安全通讯请求指定……”的对话框,只有一个“激活默认响应规则”的复选框,取消对它的默认勾选,点“下一步”,到“完成”对话框,也只有一个“编辑属性”的复选框,取消对它的默认勾选,点“完成”。
这样在“本地安全设置”对话框右边的名称标签栏下的列表中就能看到咱们新建的、自己定义的“我的IP安全策略”了。
2、选中它,点操作菜单,点“属性”;或右击它点“属性”;或双击打开它,出来“我的IP安全策略属性”对话框。
里面有两个标签:
“规则”和“常规”。
我们只对“规则”做操作。
在“规则”下只有一个“IP安全规则”文本框,同样这里不能直接输入,点下面的“添加”按钮,出来“新规则属性”对话框,里面有五个标签,我们需要操作的是“IP筛选器列表”和“筛选器操作”标签。
选择“IP筛选器列表”标签,在“IP筛选器列表”文本框中能看到刚才创建“病毒常驻端口”等筛选器了。
3、选择第一个或最后一个(因为每次只能添加一个,这样方便下面依次操作),为方便表述,咱们假设选择“病毒常驻端口”。
这里的“选择”,指的是在筛选器前面的复选圈中点上小黑点,这样就“选择”上了。
4、选择上后,不做任何操作,转而选择“筛选器操作”标签,这里有个“筛选器操作”列表框,我们要到这里去选择“阻止”。
通常这里没有“阻止”,这就需要添加。
点列表框下的“添加”按钮,出来“新筛选器操作属性”对话框,下面有两个标签,“安全措施”和“常规”。
在“安全措施”下找到“阻止”,在它前面的复选框中点上黑点,再选择“常规”标签,把“名称”下文本框中默认的“新筛选器操作”改为“阻止”。
点“确定”,自动返回到“筛选器操作”标签,这下在“筛选器操作”列表框中看到“阻止”了,把它前面的复选圈中点上黑点(选中它),点“确定”。
5、点“确定”后,自然返回到“我的IP安全策略”对话框,这下在“IP安全规则”下的“IP筛选器列表”下就能看到刚才添加上的“筛选器操作”为阻止的筛选器了。
七、如法炮制,完成对“IP筛选器列表”中所有筛选器的添加:
返回“六”-“2”的步骤,事实上只要不停电,或没有关闭窗口,目前应该就在这一步,点“IP安全规则”列表框下的“添加”按钮,把“IP筛选器列表”中所有的,事实上也是我们刚才做的筛选器逐一、全部添加进去。
八、指派“我的IP安全策略”:
上面的工作完成后,回到“本地安全设置”对话框,在右边的名称标签栏下找到“我的IP安全策略”,选中它,到“操作”菜单或右击它,选择“指派”。
要做的筛选器
病毒常驻端口:
(UDP)102669(TCP)1354434444
打印与共享端口:
(UDP)137138(TCP)139445
木马入端口:
木马入1(TCP)143310067101671234512346200342627431293389370030100-30102313373178531787-31789317913179240421-404254726253215400-540255695432054321666640069696970730076269872-98759989
木马入2(TCP)14310011011102510331170123412431429160018071981199911000112231207612223123611696919191212325200020012003211521402583280120000200012155422222234562737431302431283150321033333996303033099931338
木马入3(TCP)31339316663333334324456406040924321459040412404264321044445555500055505632574250766530016267667066716711677668836146665000797000730173067307730877898099940094019402
其它入(UDP)139143344553(TCP)1131211029106810801092202320168234442344530129489949504395845576535205001555458005900505056606000612967716939707751180880118102888899959996
木马出端口:
木马出1(TCP)143310067101671234512346200342627431293389370030100-30102313373178531787-31789317913179240421-404254726253215400-540255695432054321666640069696970730076269872-98759989
木马出2(TCP)19143100110111025103311701234124314291600180719811999110001122312076122231236116969191912125200020012003211521402583280120000200012155422222234562737431302431283150321033333996303033099931338
木马出3(TCP)31339316663333334324456406040924321459040412404264321044445555500055505632574250766530016267667066716711677668836146665000797000730173067307730877898099940094019402
配置本地安全策略———加密的保护
IP安全策略设置方法
一、适用范围:
它适用于2000以上Windows系统的专业版;对家庭版的用户可以看一下是不是能通过:
控制台(运行mmc)-文件-添加/删除管理单元-添加-添加独立单元,添加上“IP安全策略管理”,如行的话则可在左边的窗口中看到“IP安全策略,在本地计算机”了,接下来的操作就跟专业版一样了。
二、找到“IP安全策略,在本地计算机”:
“IP安全策略,在本地计算机”选项在“本地安全设置”下,所以要找到它就打开“本地安全设置”的方法,主要采用以下两种方法来打开:
1是点“开始”-“运行”-输入,点确定;2是“控制面板”-“管理工具”-“本地安全策略”。
打开“本地安全策略”对话框就能在左边的窗口中看到“IP安全策略,在本地计算机”了。
右击它,在它的下级菜单中能看到“创建IP安全策略”和“管理IP筛选器表和筛选器操作”等菜单(也可以在此级菜单中的“所有任务”项的下级菜单中看到上面的两个菜单)。
三、建立新的筛选器:
1、在“IP安全策略,在本地计算机”的下级菜单中选择“管理IP筛选器和筛选器操作”菜单,打开“管理IP筛选器和筛选器操作”对话框,里面有两个标签:
“管理IP筛选器列表”和“管理筛选器操作”。
选择“管理IP筛选器列表”标签,在“IP筛选器列表”下的文本框下面能看到三个按钮:
“添加”、“编辑”和“删除”。
2、点“添加”按钮,打开叫做“IP筛选器列表”的对话框,里面有三个文本框,从上到下分别是:
“名称”、“描述”和“筛选器”。
在“名称”和“描述”文本框右边,能看到“添加”、“编辑”和“删除”三个按钮(对没有内容的筛选器而言,它的“编辑”和“删除”按钮不可用),在这三个按钮下有一个复选框,复选框后面有“使用‘添加向导’”这样的文本说明。
3、取消默认的对“使用‘添加向导’”的勾选,在“名称”下面的文本框中把默认的“新IP筛选器列表”修改成下面要建立的筛选器列表的名称,我们这里先输入:
“病毒常驻端口”,在“描述”下面的空白文本框中输进去“病毒常驻端口”后面的全部端口号(可以用复制、粘贴来操作),主要作用是便于下一步对照着添加作为“筛选器”具体内容的“端口”。
这时可以点“确定”按钮,保存本“筛选器”。
但由于它没有任何内容,所以会蹦出来“IP筛选器列表警告”对话框,提示“这个IP筛选器列表是空的。
没有匹配的IP数据包。
您想……吗”,因为保存是目的,所以选择“是”。
4、这里我们不点“确定”,不保存空的筛选器,直接向“筛选器”下面的文本框中添加本筛选器要操作的端口。
这个文本框中是不能直接用输入法输入、编辑的,具体方法见下一步。
四、添加“筛选器”要操作的端口:
1、点“IP筛选器列表”对话框中的“添加”按钮,打开“筛选器属性”对话框。
这个对话框里面有三个标签:
“寻址”、“协议”和“描述”。
2、在“寻址”标签下有两个选项框和一个复选框。
从上到下是“源地址”选项框、“目标地址”选项框和“镜像。
同时与源地址和目标地址……匹配”复选框。
因为我们现在要做的是“进入端口”的阻止设置,也就是要阻止病毒、木马从这些端口联系或叫“进入”咱们的系统,所以我们在“源地址”下选择“任何IP地址”,在“目标地址”下选择“我的IP地址”,取消对“镜像……”复选框的勾选;如果是做“出端口”则在“源地址”下选择“我的IP地址”,在“目标地址”下选择“任何IP地址”,同样不选择“镜像”。
3、在“协议”标签下,默认状态下只有“选择协议类型”选项框可操作。
点一下选项框右边的小三角按钮,打开选项列表,根据端口的协议类型来选择(我们可以操作的主要是“TCP”和“UDP”,在下面所列的“要做的筛选器”下要做的筛选器列表如:
“病毒常驻端口”、“打印与共享”等,在它们下面所列的端口号前面都用括号把相应的类型做了标记)。
选择了类型后,下面的“设置IP协议端口”成为可选状态,因为不允许别人进,所以就在上半部保留默认选择的“从任意端口”,在下半部选择“到此端口”,选择之后它下面的文本框变成可操作状态,在里面输入一个端口。
因为每次只能输入一个端口,所以要做多少个端口就得操作多少次。
这一步如果是做“出端口”,则应在选择好“协议类型”后在“设置IP协议端口”的上半部选择“从此端口”,然后输入一个端口,下半部保留默认选择的“到任意端口”。
4、在“描述”标签下只有一个“描述”文本输入框。
可以在里面输入自己心仪的描述。
通常只对入端口做描述:
阻止任意地址任意端口访问我的***端口。
然后点“确定”,完成对这个端口的操作。
因为在“描述”标签下只能点“确定”按钮而不能按“回车”键确定,所以想加快速度,可以先做描述,再做协议,端口输入“回车”就“确定”了。
也可以不作描述,这样更快。
5、确定后,在“IP筛选器列表”对话框下的“筛选器”下的文本框中就能看到刚才添加的“筛选器”了。
这里说的“筛选器”,事实上就是我们刚才添加的“端口”,可以拖动下面的滚动条查看咱们刚才或叫以前输入的内容是否正确,如果有误,可以双击它打开进行修改。
也可以选中它后点“编辑”按钮进行修改,当然也可以点“删除”按钮删除它。
6、“病毒常驻端口”后所列的端口添加完后,在“IP筛选器列表”对话框下点“确定”按钮,完成对“病毒常驻端口”的操作。
五、如法炮制,完成对全部筛选器的添加:
完成对“病毒常驻端口”的操作后,返回到“三”-“2”之步骤,继续添加“打印与共享端口”等,直到把木马入、出端口、以及自己想要添加的任何端口如数添加完成。
六、创建“IP安全策略”并添加“筛选器”和“筛选器操作”:
1、创建“IP安全策略”。
在“本地安全设置”对话框中左边的树状图中找到“IP安全策略,在本地计算机”,右击,选择“创建IP安全策略”,出来“IP安全策略向导”对话框;点“下一步”,出现副标题为“IP安全策略名称命名……”的对话框,下面有两个文本框,自上而下是“名称”和“描述”。
这里不用描述,直接在“名称”下输入自己心仪的名字就行,为表述方便,假定取名为“我的IP安全策略”;点“下一步”,出来副标题为“安全通讯请求指定……”的对话框,只有一个“激活默认响应规则”的复选框,取消对它的默认勾选,点“下一步”,到“完成”对话框,也只有一个“编辑属性”的复选框,取消对它的默认勾选,点“完成”。
这样在“本地安全设置”对话框右边的名称标签栏下的列表中就能看到咱们新建的、自己定义的“我的IP安全策略”了。
2、选中它,点操作菜单,点“属性”;或右击它点“属性”;或双击打开它,出来“我的IP安全策略属性”对话框。
里面有两个标签:
“规则”和“常规”。
我们只对“规则”做操作。
在“规则”下只有一个“IP安全规则”文本框,同样这里不能直接输入,点下面的“添加”按钮,出来“新规则属性”对话框,里面有五个标签,我们需要操作的是“IP筛选器列表”和“筛选器操作”标签。
选择“IP筛选器列表”标签,在“IP筛选器列表”文本框中能看到刚才创建“病毒常驻端口”等筛选器了。
3、选择第一个或最后一个(因为每次只能添加一个,这样方便下面依次操作),为方便表述,咱们假设选择“病毒常驻端口”。
这里的“选择”,指的是在筛选器前面的复选圈中点上小黑点,这样就“选择”上了。
4、选择上后,不做任何操作,转而选择“筛选器操作”标签,这里有个“筛选器操作”列表框,我们要到这里去选择“协商安全”。
点列表框下的“添加”按钮,出来“新增安全属性”对话框,下面有三个标签,“加密并保持完整性”、“仅保持完整性”、“自定义”。
选择“仅保持完整性”点“确定”,自动返回到“新筛选器操作属性”标签,单击“关闭”回到“新规则属性”。
确保不选择“允许和不支持IPSec的计算机进行不安全的通信”项,单击“确定”回到“筛选器操作”对话框。
单击新添加的筛选器操作旁边的单行按钮激活设置的筛选器操作。
5、在“新规则属性”中选择身份验证方法。
单击“添加”打开“新身份验证方法属性”,选择“此字符串用来保护密钥交换”,并输入共享密钥字符串。
单击“确定”回到“身份验证方法”。
选择“上移”使“预先共享的密钥”在为首选。
6、指派“我的IP安全策略”:
上面的工作完成后,回到“本地安全设置”对话框,在右边的名称标签栏下找到“我的IP安全策略”,选中它,到“操作”菜单或右击它,选择“指派”。
升级会员 