windows server 2008本地安全策略_windowsserver2003本地安全策略

1.windows server 2003 策略里面 的本地策略 -- 审核策略 （审核这些操作：成功 失败）的复选框不能勾选？急

2.你好，我的windows server 2003 系统时间修改不了，能帮我解决吗？

3.win2003怎么设置每次开机不按热启动及输入密码！

4.windows 2003安全：清除默认共享隐患

5.本地安全组策略命令是什么

6.怎么设置服务器禁止被ping

打开组策略，提示MMC无法创建管理单元

经过我多方考证，原来只是一个小小的问题！！

那就是“环境变量”搞得鬼！！

1. 右键单击“我的电脑”，然后单击“属性”。

2. 在“高级”选项卡上，单击“环境变量”。

3. 在“系统变量”下，双击“PATH 环境变量”。

4. 变量值输入：

%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\system32\WBEM

注意：如果出现其他系统变量，请不要删除，请不要删除，用“;“（半角分号）与其它变量分隔。

5. 单击“确定”，然后单击“确定”。

其实path里的环境变量是根据软件的安装位置定的，不同的环境变量之间是用“;”隔开的，如果需要的话，可以把后面的环境变量放到前面！

如果你不小心弄少哪个环境变量则可能导致某些程序不能正常运行~~~

E:\Program Files\Borland\Delphi7\Bin;E:\Program Files\Borland\Delphi7\Projects\Bpl\;D:\Windows\system32;D:\Windows;D:\Windows\System32\Wbem;D:\Program Files\ATI Technologies\ATI.ACE\Core-Static;E:\Program Files\Ja\jdk1.6.0_06\bin;D:\Program Files\Microsoft SQL Server\80\Tools\Binn\;D:\Program Files\Microsoft SQL Server\90\DTS\Binn\;D:\Program Files\Microsoft SQL Server\90\Tools\binn\;D:\Program Files\Microsoft SQL Server\90\Tools\Binn\VSShell\Common7\IDE\;D:\Program Files\Microsoft Visual Studio 8\Common7\IDE\PrivateAssemblies\;D:\Program Files\QuickTime\QTSystem\;D:\Program Files\Common Files\Ulead Systems\MPEG;E:\Program Files\QuickTime\QTSystem\;E:\Program Files\VistaMaster

如果出现上面问题的话，只要把%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\system32\WBEM添加到其中就ok了！！不用设置盘符~~

找到的~~试试看~~

windows server 2003 策略里面 的本地策略 -- 审核策略 （审核这些操作：成功 失败）的复选框不能勾选？急

情况1：进入工作组提示输入密码

更改网络访问模式 administrator

打开组策略编辑器，依次选择“计算机配置→Windows设置→安全设置→本地策略→安全选项”，双击“网络访问：本地账号的共享和安全模式”策略，将默认设置“仅来宾—本地用户以来宾身份验证”，更改为“经典：本地用户以自己的身份验证”。

现在，当其他用户通过网络访问使用Windows XP的计算机时，就可以用自己的“身份”进行登录了(前提是Windows 2003中已有这个账号并且口令是正确的)。

当该策略改变后，文件的共享方式也有所变化，在启用“经典：本地用户以自己的身份验证”方式后，我们可以对同时访问共享文件的用户数量进行限制，并能针对不同用户设置不同的访问权限。

不过我们可能还会遇到另外一个问题，当用户的口令为空时，访问还是会被拒绝。原来在“安全选项”中有一个“账户：使用空白密码的本地账户只允许进行控制台登录”策略默认是启用的，根据Windows 2003安全策略中拒绝优先的原则，密码为空的用户通过网络访问使用Windows 2003的计算机时便会被禁止。我们只要将这个策略停用即可解决问题。

情况2：工作组进入不了、那就查看一下共享服务开了没。

控制面板-管理工具-服务--查找server服务，将它设为开启。

如果 还不行那就把防火墙给关了。

这样大概也就行了！！希望对你有用！

你好，我的windows server 2003 系统时间修改不了，能帮我解决吗？

Windows2000安全配置教程

Windows2000绝版安全配置教程：前段时间，中美网络大战，我看了一些被黑的服务器，发现绝大部分被黑的服务器都是Nt/win2000的机器，真是惨不忍睹。Windows2000 真的那么不安全么？其实，Windows2000 含有很多的安全功能和选项，如果你合理的配置它们，那么windows 2000将会是一个很安全的操作系统。我抽空翻了一些网站，翻译加凑数的整理了一篇checklist出来。希望对win2000管理员有些帮助。本文并没有什么高深的东西，所谓的清单，也并不完善，很多东西要等以后慢慢加了，希望能给管理员作一参考。

具体清单如下：

初级安全篇

1.物理安全

服务器应该安放在安装了监视器的隔离房间内，并且监视器要保留15天以上的摄像记录。另外，机箱,键盘，电脑桌抽屉要上锁，以确保旁人即使进入房间也无法使用电脑，钥匙要放在另外的安全的地方。

2.停掉Guest 帐号

在计算机管理的用户里面把guest帐号停用掉，任何时候都不允许guest帐号登陆系统。为了保险起见，最好给guest 加一个复杂的密码，你可以打开记事本，在里面输入一串包含特殊字符,数字，字母的长字符串，然后把它作为guest帐号的密码拷进去。

3．限制不必要的用户数量

去掉所有的duplicate user 帐户, 测试用帐户, 共享帐号，普通部门帐号等等。用户组策略设置相应权限，并且经常检查系统的帐户，删除已经不在使用的帐户。这些帐户很多时候都是黑客们入侵系统的突破口，系统的帐户越多，黑客们得到合法用户的权限可能性一般也就越大。国内的nt/2000主机，如果系统帐户超过10个，一般都能找出一两个弱口令帐户。我曾经发现一台主机1个帐户中竟然有180个帐号都是弱口令帐户。

4．创建2个管理员用帐号

虽然这点看上去和上面这点有些矛盾，但事实上是服从上面的规则的。 创建一个一般权限帐号用来收信以及处理一些日常事物，另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 “ RunAS” 命令来执行一些需要特权才能作的一些工作，以方便管理。

5．把系统administrator帐号改名

大家都知道，windows 2000 的administrator帐号是不能被停用的，这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。当然，请不要使用Admin之类的名字，改了等于没改，尽量把它伪装成普通用户，比如改成：guestone 。

6．创建一个陷阱帐号

什么是陷阱帐号? Look!>创建一个名为” Administrator”的本地帐户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。这样可以让那些 Scripts s忙上一段时间了，并且可以借此发现它们的入侵企图。或者在它的login scripts上面做点手脚。嘿嘿，够损！

7.把共享文件的权限从”everyone”组改成“授权用户”

“everyone” 在win2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成”everyone”组。包括打印共享，默认的属性就是”everyone”组的，一定不要忘了改。

8.使用安全密码

一个好的密码对于一个网络是非常重要的，但是它是最容易被忽略的。前面的所说的也许已经可以说明这一点了。一些公司的管理员创建帐号的时候往往用公司名，计算机名，或者一些别的一猜就到的东西做用户名，然后又把这些帐户的密码设置得N简单，比如 “welcome” “iloveyou” “letmein”或者和用户名相同等等。这样的帐户应该要求用户首此登陆的时候更改成复杂的密码，还要注意经常更改密码。前些天在IRC和人讨论这一问题的时候，我们给好密码下了个定义：安全期内无法破解出来的密码就是好密码，也就是说，如果人家得到了你的密码文档，必须花43天或者更长的时间才能破解出来，而你的密码策略是42天必须改密码。

9.设置屏幕保护密码

很简单也很有必要，设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。注意不要使用OpenGL和一些复杂的屏幕保护程序，浪费系统，让他黑屏就可以了。还有一点，所有系统用户所使用的机器也最好加上屏幕保护密码。

10． 使用NTFS格式分区

把服务器的所有分区都改成NTFS格式。NTFS文件系统要比FAT,FAT32的文件系统安全得多。这点不必多说，想必大家得服务器都已经是NTFS的了。

11．运行防毒软件

我见过的Win2000/Nt服务器从来没有见到有安装了防毒软件的，其实这一点非常重要。一些好的杀毒软件不仅能杀掉一些著名的，还能查杀大量木马和后门程序。这样的话，“黑客”们使用的那些有名的木马就毫无用武之地了。不要忘了经常升级库

12．保障备份盘的安全

一旦系统资料被破坏，备份盘将是你恢复资料的唯一途径。备份完资料后，把备份盘防在安全的地方。千万别把资料备份在同一台服务器上，那样的话，还不如不要备份。

中级安全篇：

1．利用win2000的安全配置工具来配置策略

微软提供了一套的基于MMC(管理控制台)安全配置和分析工具，利用他们你可以很方便的配置你的服务器以满足你的要求。具体内容请参考微软主页：

2．关闭不必要的服务

windows 2000 的 Terminal Services（终端服务），IIS ,和RAS都可能给你的系统带来安全漏洞。为了能够在远程方便的管理服务器，很多机器的终端服务都是开着的，如果你的也开了，要确认你已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行。要留意服务器上面开启的所有服务，中期性(每天)的检查他们。下面是C2级别安装的默认服务：

Computer Browser service TCP/IP NetBIOS Helper

Microsoft DNS server Spooler

NTLM SSP Server

RPC Locator WINS

RPC service Workstation

Netlogon Event log

3．关闭不必要的端口

关闭端口意味着减少功能，在安全和功能上面需要你作一点决策。如果服务器安装在防火墙的后面，冒的险就会少些，但是，永远不要认为你可以高枕无忧了。用端口扫描器扫描系统所开放的端口，确定开放了哪些服务是黑客入侵你的系统的第一步。\system32\drivers\etc\services 文件中有知名端口和服务的对照表可供参考。具体方法为：

网上邻居>属性>本地连接>属性>internet 协议(tcp/ip)>属性>高级>选项>tcp/ip筛选>属性 打开tcp/ip筛选，添加需要的tcp,udp,协议即可。

4．打开审核策略

开启安全审核是win2000最基本的入侵检测方法。当有人尝试对你的系统进行某些方式（如尝试用户密码,改变帐户策略，未经许可的文件访问等等）入侵的时候，都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道，直到系统遭到破坏。下面的这些审核是必须开启的，其他的可以根据需要增加：

策略 设置

审核系统登陆 成功，失败

审核帐户管理 成功，失败

审核登陆 成功，失败

审核对象访问 成功

审核策略更改 成功，失败

审核特权使用 成功，失败

审核系统 成功，失败

5.开启密码密码策略

策略 设置

密码复杂性要求 启用

密码长度最小值 6位

强制密码历史 5 次

强制密码历史 42 天

6．开启帐户策略

策略 设置

复位帐户锁定计数器 20分钟

帐户锁定时间 20分钟

帐户锁定阈值 3次

7．设定安全记录的访问权限

安全记录在默认情况下是没有保护的，把他设置成只有Administrator和系统帐户才有权访问。

8．把敏感文件存放在另外的文件服务器中

虽然现在服务器的硬盘容量都很大，但是你还是应该考虑是否有必要把一些重要的用户数据(文件，数据表，项目文件等)存放在另外一个安全的服务器中，并且经常备份它们。

9.不让系统显示上次登陆的用户名

默认情况下，终端服务接入服务器时，登陆对话框中会显示上次登陆的帐户明，本地的登陆对话框也是一样。这使得别人可以很容易的得到系统的一些用户名，进而作密码猜测。修改注册表可以不让对话框里显示上次登陆的用户名，具体是：

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\DontDisplayLastUserName

把 REG_SZ 的键值改成 1 .

10．禁止建立空连接

默认情况下，任何用户通过通过空连接连上服务器，进而枚举出帐号，猜测密码。我们可以通过修改注册表来禁止建立空连接：

Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。

10.到微软网站下载最新的补丁程序

很多网络管理员没有访问安全站点的习惯，以至于一些漏洞都出了很久了，还放着服务器的漏洞不补给人家当靶子用。谁也不敢保证数百万行以上代码的2000不出一点安全漏洞，经常访问微软和一些安全站点，下载最新的service pack和漏洞补丁，是保障服务器长久安全的唯一方法。

高级篇

1. 关闭 DirectDraw

这是C2级安全标准对卡和内存的要求。关闭DirectDraw可能对一些需要用到DirectX的程序有影响（比如游戏，在服务器上玩星际争霸？我晕..$%$^%^&?），但是对于绝大多数的商业站点都应该是没有影响的。 修改注册表 HKLM\SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI 的Timeout(REG_DWORD)为 0 即可。

2.关闭默认共享

win2000安装好以后，系统会创建一些隐藏的共享，你可以在cmd下打 net share 查看他们。网上有很多关于IPC入侵的文章，相信大家一定对它不陌生。要禁止这些共享 ，打开 管理工具>计算机管理>共享文件夹>共享 在相应的共享文件夹上按右键，点停止共享即可，不过机器重新启动后，这些共享又会重新开启的。

默认共享目录 路径和功能

C$ D$ E$ 每个分区的根目录。Win2000 Pro版中，只有Administrator

和Backup Operators组成员才可连接，Win2000 Server版本

Server Operatros组也可以连接到这些共享目录

ADMIN$ %SYSTEMROOT% 远程管理用的共享目录。它的路径永远都

指向Win2000的安装路径，比如 c:\winnt

FAX$ 在Win2000 Server中，FAX$在fax客户端发传真的时候会到。

IPC$ 空连接。IPC$共享提供了登录到系统的能力。

NetLogon 这个共享在Windows 2000 服务器的Net Login 服务在处

理登陆域请求时用到

PRINT$ %SYSTEMROOT%\SYSTEM32\SPOOL\DRIVERS 用户远程管理打印机

3.禁止dump file的产生

dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料(不然我就照字面意思翻译成垃圾文件了)。然而，它也能够给黑客提供一些敏感信息比如一些应用程序的密码等。要禁止它，打开 控制面板>系统属性>高级>启动和故障恢复 把 写入调试信息 改成无。要用的时候，可以再重新打开它。

4.使用文件加密系统EFS

Windows2000 强大的加密系统能够给磁盘，文件夹，文件加上一层安全保护。这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。记住要给文件夹也使用EFS,而不仅仅是单个的文件。 有关EFS的具体信息可以查看

5.加密temp文件夹

一些应用程序在安装和升级的时候，会把一些东西拷贝到temp文件夹，但是当程序升级完毕或关闭的时候，它们并不会自己清除temp文件夹的内容。所以，给temp文件夹加密可以给你的文件多一层保护。

6.锁住注册表

在windows2000中，只有administrators和Backup Operators才有从网络上访问注册表的权限。如果你觉得还不够的话，可以进一步设定注册表访问权限，详细信息请参考：

7.关机时清除掉页面文件

页面文件也就是调度文件，是win2000用来存储没有装入内存的程序和数据文件部分的隐藏文件。一些第三方的程序可以把一些没有的加密的密码存在内存中，页面文件中也可能含有另外一些敏感的资料。 要在关机的时候清楚页面文件，可以编辑注册表

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management

把ClearPageFileAtShutdown的值设置成1。

8.禁止从软盘和CD Rom启动系统

一些第三方的工具能通过引导系统来绕过原有的安全机制。如果你的服务器对安全要求非常高，可以考虑使用可移动软盘和光驱。把机箱锁起来扔不失为一个好方法。

9.考虑使用智能卡来代替密码

对于密码，总是使安全管理员进退两难，容易受到 10phtcrack 等工具的攻击，如果密码太复杂，用户把为了记住密码，会把密码到处乱写。如果条件允许，用智能卡来代替复杂的密码是一个很好的解决方法。

10.考虑使用IPSec

正如其名字的含义，IPSec 提供 IP 数据包的安全性。IPSec 提供身份验证、完整性和可选择的机密性。发送方计算机在传输之前加密数据，而接收方计算机在收到数据之后解密数据。利用IPSec可以使得系统的安全性能大大增强。

win2003怎么设置每次开机不按热启动及输入密码！

你好，我的windows server 2003 系统时间修改不了，能帮我解决吗？

组策略中禁止你的使用者修改时间了，解决方法见

单击“开始”选单→“执行”输入“gpedit.msc”开启“组策略编辑器”，在左侧窗格依次单击“计算机配置”→“Windows设定”→“安全设

置”→“本地策略”→“使用者许可权分配”，接着在右侧窗格双击“更改系统时间”开启属性对话方块，把不希望更改系统时间的使用者删除即可(可以全部删除，这样会

更安全)，单击“确定”退出，重新启动系统后这个策略即生效。

也就是说你需要把你的使用者加入这个列表就可以了。

主机板电池没电了。。换个 再改下BIOS里的时间

1、用系统管理员的账户登入系统，开启“开始”选单，选择“执行”选项，在对话方块里输入“gpedit.nisc”字元命令;

gpedit.nisc命令执行

2、在开启的“组策略”视窗中，左侧依次展开“计算机配置”、“Windows设定”、“安全设定”、“本地策略”、“使用者权利指派”选项，右侧找到“更改系统时间”选项;

更改系统时间设定

3、双击该选项，在开启的“选择使用者或组”视窗中单击“新增使用者或组”选项，之后在开启的视窗中将你的账户新增进来;

4、按“确定”键储存，重启系统后用自己的账户登入即可。

一般来说修改了又反回去了是说明你那COMS电池没电了换个

或者是中毒了

有的是可以修改系统时间的

今天有网友咨询我系统时间无法修改怎么解决的问题，我也是第一次遇到这种问题，于是请教了我们的技术部的电脑工程师，其实导致系统时间无法修改的原因有很多，我们要耐心的逐一去排查原因，知道导致系统时间无法修改的根本原因后，解决起来才会得心应手。以下一起来看看哪些原因会导致系统时间无法修改，还给出了相对应的解决方法。 系统时间无法修改的原因： 1、主机板电池（cmos)没电， 2、有（此类修改时间的目的是让防毒软体用不了，或者导致某些软体执行不正常，比如证券炒股软体）， 3、你没有修改时间的许可权。 （由于vista使用者，需要关掉uac才能使用本站的校对控制元件。所以这里开始提到的时间修改，一律用手工设定时间的方法） 有的电脑在windows下时间可以修改，但是修改之后又很快跳到一个错误的时间，这种情况是。 如果时间可以修改，但重新启动之后时间就不对。那么可以在时间修改之后，启动电脑，进入bios看，如果这时候时间就错了，说明是主机板电池没电了，如果这时候时间是对的，进入windows之后时间就错了，说明是。 如果时间无法更改，比如本站的对时控制元件无法发挥作用，则可能是也可能是没有许可权。所以需要判断你当前登入的使用者有没有修改时间的许可权。 3、检查时间修改许可权： 先搞清楚你的windows使用者名称，如果不知道则按下ctrl+alt+del三个键检视。 1.点选开始-->执行 输入secpol.msc,点确定。(或者控制面板→管理工具→本地安全策略) 2.接着会出现本地安全策略的管理对话方块，在左边的树形框内点-->本地策略-->使用者权利指派 3.在右边的列表中找到并双击更改系统时间，弹出一个视窗。 （如果操作无法完成，说明你没有管理许可权，用administrator重新登入） 里面列出了有许可权的使用者列表，如果发现没有你的使用者名称，则说明你原先没有许可权。 如果已经有你的使用者名称，说明你有许可权，但是如果时间还是无法修改，说明是。 好了，如果是属于没有许可权的情况，则增加许可权后再修改时间。如果判断是，而当前又无有效防毒方法，则建议取消所有使用者的时间修改许可权，然后按照以下的操作！ windows xp: 取消许可权：从列表中选择使用者，点删除，再点确定 增加许可权：点选新增使用者或组，再点高阶，从列表中选择使用者，确定选择，再点确定关闭。 windows 2000 取消使用者：点选取消本地策略设定对应的复选框，然后确定。 增加许可权：点选新增(A)...按钮，弹出一个视窗，从列表中选中要新增许可权的使用者，双击或者点新增按钮，然后确定关闭，然后再确定。 重启电脑。不管是取消许可权还是增加许可权，都需要重启电脑。 系统时间无法修改

分析原因：朋友，你好！一般出现时间老是自动跳回，无法储存，也就是说电脑的系统时间修改不了，主要是两原因： 第一就是，你的主机板（扭扣）电池没有电了，COMS，无法储存，哪么时间就不会储存，所以每次改过后，关机再开，又回到老样子了， 处理方法，就是买一个新电池（一般电池也就5---8元钱，型号以CR-2032为主）换上重新，进到BIOS中设好光碟或者硬碟为第一启动项，并把软碟机关了，就OK了。 第二就是，你的COMS电路出现问题了，在这个电路中有一个管理时间的叫时实晶振，这个晶振出现问题了，哪么时间就自然会错啊，当COMS电路中的两个谐振电容，和哪个电阻出现问题，都会造成COMS随机贮存器无法储存COMS，自然时间也就无法储存，哪么也会出现你说得时间和日期出现错，改了也是白改，这样的话，就要修理主机板的COMS电路了，只有把晶振修好，COMS电路修好，才会储存时间，储存BLOS. 你的很可能是第一种情况，希望对你有所帮助，祝你成功，快乐~

在桌面上点选滑鼠右键个性化,点选右下角的萤幕保护,选择屏保后会出现时间,选择你要的时间即可.

进去之后你看的到那有时间的啊,你可以移动到那里去改系统时间.还有就是你可以开机用软体自动同步啊

多啦

没办法，只能防毒

windows 2003安全：清除默认共享隐患

1，点击开始”->“运行”->输入“gpedit.msc”，然后点击“确定”。

2，然后：在“组策略”窗口，展开“计算机配置”->“Windows设置”->“安全设置”->“本地策略”->“安全选项”，双击右边的“交互式登录：不需要按CTRL+ALT+DEL”，选中“已启用”，再点击“确定”。

3，点击“开始”->“运行“，键入“control userpasswords2”，然后点击“确定。

4，去掉勾选“要使用本机，用户必须输入用户名和密码”，点击下面的“确定”。

5，在自动登录窗口，输入该帐号的密码，如果没有密码，就直接点击“确定”。

6，完成后，重新启动即可实现自动登陆。

本地安全组策略命令是什么

使用Windows Server 2003的用户都会碰到一个问题，就是系统在默认安装时，都会产生默认的共享文件夹。虽然用户并没有设置共享，但每个盘符都被Windows自动设置了共享，其共享名为盘符

　后面加一个符号＄（共享名称分别为c$、d$、ipc$以及admin$）。也就是说，只要攻击者知道了该系统的管理员密码，就有可能通过“\工作站名共享名称”的方法，来打开系统的指定文件夹，如此一来，用户精心设置的安全防范岂不成了摆设？还有安全嘛！为此，我们很有必要将Windows Server 2003系统默认的共享隐患，立即从系统中清除掉。

　1、删除Windows Server 2003默认共享

　首先编写如下内容的批处理文件：

　@echo off

　net share C$ /del

　net share D$ /del

　net share E$ /del

　net share F$ /del

　net share admin$ /del

　以上文件的内容用户可以根据自己需要进行修改。保存为delshare.bat，存放到系统所在文件夹下的system32GroupPolicyUserScriptsLogon目录下。然后在开始菜单→运行中输入gpedit.msc，

　回车即可打开组策略编辑器。点击用户配置→Windows设置→脚本(登录/注销)→登录（如图1），

在出现的“登录 属性”窗口中单击“添加”，会出现“添加脚本”对话框，在该窗口的“脚本名”栏中输入delshare.bat，然后单击“确定”按钮即可（如图2）。

重新启动计算机系统，就可以自动将系统所有的隐藏共享文件夹全部取消了，这样就能将系统安全隐患降低到最低限度。

　2、禁用IPC连接

　IPC$(Internet Process Connection)是共享“命名管道”的，它是为了让进程间通信而开放的命名管道，通过提供可信任的用户名和口令，连接双方计算机即可以建立安全的通道并以此通道进行加密数据的交换，从而实现对远程计算机的访问。它是Windows NT/2000/XP/2003特有的功能，但它有一个特点，即在同一时间内，两个IP之间只允许建立一个连接。NT/2000/XP/2003在提供了ipc$功能的同时，在初次安装系统时还打开了默认共享，即所有的逻辑共享(c$,d$,e$……)和系统目录winnt或windows(admin$)共享。所有的这些，微软的初衷都是为了方便管理员的管理，但也为简称为IPC入侵者有意或无意的提供了方便条件，导致了系统安全性能的降低。在建立IPC的连接中不需要任何黑客工具，在命令行里键入相应的命令就可以了，不过有个前提条件，那就是你需要知道远程主机的用户名和密码。打开CMD后输入如下命令即可进行连接：net use\ipipc$ "password" /user:"usernqme"。我们可以通过修改注册表来禁用IPC连接。打开注册表编辑器。找到如下组建HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa中的restrictanonymous子键，将其值改为1即可禁用IPC连接（如图3）。

怎么设置服务器禁止被ping

本地安全组策略命令是gpedit.msc。

打开本地安全组策略的方法如下：

1、以win10为例，按win+R打开运行，在运行中输入“gpedit.msc”并回车。

2、或者打开windows开始菜单，找到windows系统中的控制面板。

3、在控制面板中点击右上角的类别，选择大图标。

4、然后在改变后的控制面板中找到管理工具。

5、点击管理工具中的本地安全策略即可。

如何禁止服务器被ping--怎么设置:频繁地使用Ping命令会导致网络堵塞、降低传输效率，为了避免恶意的网络攻击，一般都会拒绝用户Ping服务器。为实现这一目的，不仅可以在防火墙中进行设置，也可以在路由器上进行设置，并且还可以利用Windows2000/2003系统自身的功能实现。无论用哪种方式，都是通过禁止使用ICMP协议来实现拒绝Ping动作。

以在Windows Server 2003中设置IP策略拒绝用户Ping服务器为例，具体操作步骤如下：

1．添加IP筛选器

第1步，依次单击“开始/管理工具/本地安全策略”，打开“本地安全设置”窗口。右键单击左窗格的“IP安全策略，在本地计算机”选项，执行“管理IP筛选器表和筛选器操作”快捷命令。在“管理IP筛选器列表”选项中单击“添加”按钮，命名这个筛选器名称为“禁止PING”，描述语言可以为“禁止任何其它计算机PING我的主机”，然后单击“添加”按钮，

第2步，依次单击“下一步”→“下一步”按钮，选择“IP通信源地址”为“我的IP地址”，单击“下一步”按钮；选择“IP通信目标地址”为“任何IP地址”，单击“下一步”按钮；选择“IP协议类型”为ICMP，单击“下一步”按钮。依次单击“完成”→“确定”按钮结束添加，

第3步，切换到“管理筛选器操作”选项卡中，依次单击“添加”→“下一步”按钮，命名筛选器操作名称为“阻止所有连接”，描述语言可以为“阻止所有网络连接”，单击“下一步”按钮；点选“阻止”选项作为此筛选器的操作行为，最后依次单击“下一步”→“完成”→“关闭”按钮完成所有添加操作，

2．创建IP安全策略。

右键单击控制台树的“IP安全策略，在本地计算机”选项，执行“创建IP安全策略”快捷命令，然后单击“下一步”按钮。命名这个IP安全策略为“禁止PING主机”，描述语言为“拒绝任何其它计算机的PING要求”并单击“下一步”按钮。然后在勾选“激活默认响应规则”的前提下单击“下一步”按钮。在“默认响应规则身份验证方法”对话框中点选“使用此字符串保护密钥交换”选项，并在下面的文字框中键入一段字符串如“NO PING”，单击“下一步”按钮。最后在勾选“编辑属性”的前提下单击“完成”按钮结束创建，如图所示（19寸显示器最佳分辨率多少合适）

3．配置IP安全策略。

在打开的“禁止PING主机 属性”对话框中的“规则”选项卡中依次单击“添加/下一步”按钮，默认点选“此规则不指定隧道”并单击“下一步”按钮；点选“所有网络连接”以保证所有的计算机都PING不通该主机，单击“下一步”按钮。在“IP筛选器列表”框中点选“禁止PING”，单击“下一步”按钮；在“筛选器操作”列表框中点选“阻止所有连接”，依次单击“下一步”按钮；取消“编辑属性”选项并单击“完成”按钮结束配置，

如何设置禁止服务器被ping网络

来源：.it892 原创,转载,摘录,分享

时间：2013-04-23

阅读： 2442 次

本文标签：禁止服务器ping网络

如何禁止服务器被ping--怎么设置:频繁地使用Ping命令会导致网络堵塞、降低传输效率，为了避免恶意的网络攻击，一般都会拒绝用户Ping服务器。为实现这一目的，不仅可以在防火墙中进行设置，也可以在路由器上进行设置，并且还可以利用Windows2000/2003系统自身的功能实现。无论用哪种方式，都是通过禁止使用ICMP协议来实现拒绝Ping动作。

以在Windows Server 2003中设置IP策略拒绝用户Ping服务器为例，具体操作步骤如下：

1．添加IP筛选器

第1步，依次单击“开始/管理工具/本地安全策略”，打开“本地安全设置”窗口。右键单击左窗格的“IP安全策略，在本地计算机”选项，执行“管理IP筛选器表和筛选器操作”快捷命令。在“管理IP筛选器列表”选项中单击“添加”按钮，命名这个筛选器名称为“禁止PING”，描述语言可以为“禁止任何其它计算机PING我的主机”，然后单击“添加”按钮，如图所示。

添加IP筛选器

第2步，依次单击“下一步”→“下一步”按钮，选择“IP通信源地址”为“我的IP地址”，单击“下一步”按钮；选择“IP通信目标地址”为“任何IP地址”，单击“下一步”按钮；选择“IP协议类型”为ICMP，单击“下一步”按钮。依次单击“完成”→“确定”按钮结束添加，如图所示。

选择IP协议类型

第3步，切换到“管理筛选器操作”选项卡中，依次单击“添加”→“下一步”按钮，命名筛选器操作名称为“阻止所有连接”，描述语言可以为“阻止所有网络连接”，单击“下一步”按钮；点选“阻止”选项作为此筛选器的操作行为，最后依次单击“下一步”→“完成”→“关闭”按钮完成所有添加操作，如图所示。

设置筛选器操作的行为

2．创建IP安全策略。

右键单击控制台树的“IP安全策略，在本地计算机”选项，执行“创建IP安全策略”快捷命令，然后单击“下一步”按钮。命名这个IP安全策略为“禁止PING主机”，描述语言为“拒绝任何其它计算机的PING要求”并单击“下一步”按钮。然后在勾选“激活默认响应规则”的前提下单击“下一步”按钮。在“默认响应规则身份验证方法”对话框中点选“使用此字符串保护密钥交换”选项，并在下面的文字框中键入一段字符串如“NO PING”，单击“下一步”按钮。最后在勾选“编辑属性”的前提下单击“完成”按钮结束创建，如图所示（19寸显示器最佳分辨率多少合适）

设置身份验证方法

3．配置IP安全策略。

在打开的“禁止PING主机 属性”对话框中的“规则”选项卡中依次单击“添加/下一步”按钮，默认点选“此规则不指定隧道”并单击“下一步”按钮；点选“所有网络连接”以保证所有的计算机都PING不通该主机，单击“下一步”按钮。在“IP筛选器列表”框中点选“禁止PING”，单击“下一步”按钮；在“筛选器操作”列表框中点选“阻止所有连接”，依次单击“下一步”按钮；取消“编辑属性”选项并单击“完成”按钮结束配置。

4．指派IP安全策略。

安全策略创建完毕后并不能马上生效，还需通过“指派”使其发挥作用。右键单击“本地安全设置”窗口右窗格的“禁止PING主机”策略，执行“指派”命令即可启用该策略，

经过这样的一番设置，这台服务器已经具备了拒绝其它任何计算机Ping自己IP地址的能力了，不过在本地Ping自身仍然是通的。

LINUX下禁止ping命令的使用

以root进入Linux系统，然后编辑文件icmp_echo_ignore_all

vi /proc/sys/net/ipv4/icmp_echo_ignore_all

将其值改为1后为禁止PING

将其值改为0后为解除禁止PING

直接修改会提示错误:

WARNING: The file has been changed since reading it!!!

Do you really want to write to it (y/n)?y

"icmp_echo_ignore_all" E667: Fsync failed

Hit ENTER or type command to continue

这是因为 proc/sys/net/ipv4/icmp_echo_ignore_all

这个不是真实的文件

如果想修改他的数值可以echo 0 或 1到这个文件

（即echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all ）。要是想永久更改可以加一行

net.ipv4.icmp_echo_ignore_all=1

到配置文件/etc/sysctl.conf里面