配置本地安全策略.doc

配置本地安全策略 IP安全策略设置方法     一、适用范畴：     它适用于2000以上Windows系统的专业版；对家庭版的用户能够看一下是不是能通过：操纵台（运行mmc）－文件－添加/删除治理单元－添加－添加独立单元，添加上“IP安全策略治理”，如行的话则可在左边的窗口中看到“IP安全策略，在本地运算机”了，接下来的操作就跟专业版一样了。     二、找到“IP安全策略，在本地运算机”：     “IP安全策略，在本地运算机”选项在“本地安全设置”下，因此要找到它就打开“本地安全设置”的方法，要紧采纳以下两种方法来打开：1是点“开始”－“运行”－输入secpol.msc，点确定；2是“操纵面板”－“治理工具”－“本地安全策略”。打开“本地安全策略”对话框就能在左边的窗口中看到“IP安全策略，在本地运算机”了。右击它，在它的下级菜单中能看到“创建IP安全策略”和“治理IP选择器表和选择器操作”等菜单（也能够在此级菜单中的“所有任务”项的下级菜单中看到上面的两个菜单）。     三、建立新的选择器：     1、在“IP安全策略，在本地运算机”的下级菜单中选择“治理IP选择器和选择器操作”菜单，打开“治理IP选择器和选择器操作”对话框，里面有两个标签：“治理IP 选择器列表”和“治理选择器操作”。选择“治理IP选择器列表”标签，在“IP选择器列表”下的文本框下面能看到三个按钮：“添加”、“编辑”和“删除”。     2、点“添加”按钮，打开叫做“IP选择器列表”的对话框，里面有三个文本框，从上到下分别是：“名称”、“描述”和“选择器”。在“名称”和“描述”文本框右边，能看到“添加”、“编辑”和“删除”三个按钮（对没有内容的选择器而言，它的“编辑”和“删除”按钮不可用），在这三个按钮下有一个复选框，复选框后面有“使用‘添加向导’”如此的文本说明。     3、取消默认的对“使用‘添加向导’”的勾选，在“名称”下面的文本框中把默认的“新IP选择器列表”修改成下面要建立的选择器列表的名称，我们那个地点先输入：“病毒常驻端口”，在“描述”下面的空白文本框中输到里面去“病毒常驻端口”后面的全部端口号（能够用复制、粘贴来操作），要紧作用是便于下一步对比着添加作为“选择器”具体内容的“端口”。     这时能够点“确定”按钮，储存本“选择器”。但由于它没有任何内容，因此会蹦出来“IP选择器列表警告”对话框，提示“那个IP选择器列表是空的。没有匹配的IP数据包。您想……吗？”，因为储存是目的，因此选择“是”。     4、那个地点我们不点“确定”，不储存空的选择器，直截了当向“选择器”下面的文本框中添加本选择器要操作的端口。那个文本框中是不能直截了当用输入法输入、编辑的，具体方法见下一步。     四、添加“选择器”要操作的端口：     1、点“IP选择器列表”对话框中的“添加”按钮，打开“选择器 属性”对话框。那个对话框里面有三个标签：“寻址”、“协议”和“描述”。     2、在“寻址”标签下有两个选项框和一个复选框。从上到下是“源地址”选项框、“目标地址”选项框和“镜像。同时与源地址和目标地址……匹配”复选框。因为我们现在要做的是“进入端口”的阻止设置，也确实是要阻止病毒、木马从这些端口联系或叫“进入”咱们的系统，因此我们在“源地址”下选择“任何IP地址”，在“目标地址”下选择“我的IP地址”，取消对“镜像……”复选框的勾选；假如是做“出端口”则在“源地址”下选择“我的IP 地址”，在“目标地址”下选择“任何IP地址”，同样不选择“镜像”。     3、在“协议”标签下，默认状态下只有“选择协议类型”选项框可操作。点一下选项框右边的小三角按钮，打开选项列表，依照端口的协议类型来选择（我们能够操作的要紧是“TCP”和“UDP”，在下面所列的“要做的选择器”下要做的选择器列表如：“病毒常驻端口”、“打印与共享”等，在它们下面所列的端口号前面都用括号把相应的类型做了标记）。选择了类型后，下面的“设置IP协议端口”成为可选状态，因为不承诺别人进，因此就在上半部保留默认选择的“从任意端口”，在下半部选择“到此端口”，选择之后它下面的文本框变成可操作状态，在里面输入一个端口。因为每次只能输入一个端口，因此要做多少个端口就得操作多少次。这一步假如是做“出端口”，则应在选择好“协议类型”后在“设置IP协议端口”的上半部选择“从此端口”，然后输入一个端口，下半部保留默认选择的“到任意端口”。     4、在“描述”标签下只有一个“描述”文本输入框。能够在里面输入自己心仪的描述。通常只对入端口做描述：阻止任意地址任意端口访问我的***端口。然后点“确定”，完成对那个端口的操作。因为在“描述”标签下只能点“确定”按钮而不能按“回车”键确定，因此想加快速度，能够先做描述，再做协议，端口输入“回车”就“确定”了。也能够不作描述，如此更快。     5、确定后，在“IP选择器列表”对话框下的“选择器”下的文本框中就能看到刚才添加的“选择器”了。那个地点说的“选择器”，事实上确实是我们刚才添加的“端口”，能够拖动下面的滚动条查看咱们刚才或叫往常输入的内容是否正确，假如有误，能够双击它打开进行修改。也能够选中它后点“编辑”按钮进行修改，因此也能够点“删除”按钮删除它。     6、“病毒常驻端口”后所列的端口添加完后，在“IP选择器列表”对话框下点“确定”按钮，完成对“病毒常驻端口”的操作。     五、如法炮制，完成对全部选择器的添加：     完成对“病毒常驻端口”的操作后，返回到“三”－“2”之步骤，连续添加“打印与共享端口”等，直到把木马入、出端口、以及自己想要添加的任何端口如数添加完成。     六、创建“IP 安全策略”并添加“选择器”和“选择器操作”：     1、创建“IP安全策略”。在“本地安全设置”对话框中左边的树状图中找到“IP安全策略，在本地运算机”，右击，选择“创建IP安全策略”，出来“IP安全策略向导”对话框；点“下一步”，显现副标题为“IP 安全策略名称  命名……”的对话框，下面有两个文本框，自上而下是“名称”和“描述”。那个地点不用描述，直截了当在“名称”下输入自己心仪的名字就行，为表述方便，假定取名为“我的IP安全策略”；点“下一步”，出来副标题为“安全通讯要求  指定……”的对话框，只有一个“激活默认响应规则”的复选框 ，取消对它的默认勾选，点“下一步”，到“完成”对话框，也只有一个“编辑属性”的复选框，取消对它的默认勾选，点“完成”。如此在“本地安全设置”对话框右边的名称标签栏下的列表中就能看到咱们新建的、自己定义的“我的IP安全策略”了。     2、选中它，点操作菜单，点“属性”；或右击它点“属性”；或双击打开它，出来“我的IP安全策略 属性”对话框。里面有两个标签：“规则”和“常规”。我们只对“规则”做操作。在“规则”下只有一个“IP安全规则”文本框，同样那个地点不能直截了当输入，点下面的“添加”按钮，出来“新规则 属性”对话框，里面有五个标签，我们需要操作的是“IP选择器列表”和“选择器操作”标签。选择“IP选择器列表”标签，在“IP选择器列表”文本框中能看到刚才创建“病毒常驻端口”等选择器了。     3、选择第一个或最后一个（因为每次只能添加一个，如此方便下面依次操作），为方便表述，咱们假设选择“病毒常驻端口”。那个地点的“选择”，指的是在选择器前面的复选圈中点上小黑点，如此就“选择”上了。     4、选择上后，不做任何操作，转而选择“选择器操作”标签，那个地点有个“选择器操作”列表框，我们要到那个地点去选择“阻止”。通常那个地点没有“阻止”，这就需要添加。点列表框下的“添加”按钮，出来“新选择器操作 属性”对话框，下面有两个标签，“安全措施”和“常规”。在“安全措施”下找到“阻止”，在它前面的复选框中点上黑点，再选择“常规”标签，把“名称”下文本框中默认的“新选择器操作”改为“阻止”。点“确定”，自动返回到“选择器操作”标签，这下在“选择器操作”列表框中看到“阻止”了，把它前面的复选圈中点上黑点（选中它），点“确定”。     5、点“确定”后，自然返回到“我的IP安全策略”对话框，这下在“IP安全规则”下的“IP选择器列表”下就能看到刚才添加上的“选择器操作”为阻止的选择器了。     七、如法炮制，完成对“IP选择器列表”中所有选择器的添加：     返回“六”－“2”的步骤，事实上只要不停电，或没有关闭窗口，目前应该就在这一步，点“IP安全规则”列表框下的“添加”按钮，把“IP选择器列表”中所有的，事实上也是我们刚才做的选择器逐一、全部添加到里面去。     八、指派“我的IP安全策略”：     上面的工作完成后，回到“本地安全设置”对话框，在右边的名称标签栏下找到“我的IP安全策略”，选中它，到“操作”菜单或右击它，选择“指派”。     要做的选择器     病毒常驻端口：     （UDP） 1026 69 （TCP） 135 443 4444     打印与共享端口：     （UDP） 137 138 （TCP） 139 445     木马入端口：     木马入1 （TCP） 1433 10067 10167 12345 12346 20034 26274 3129 3389 3700 30100-30102 31337 31785 31787-31789 31791 31792 40421-40425 47262 5321 5400-5402 5569 54320 54321 666 6400 6969 6970 7300 7626 9872-9875 9989     木马入2 （TCP） 143 1001 1011 1025 1033 1170 1234 1243 1429 1600 1807 1981 1999 11000 11223 12076 12223 12361 16969 19191 21 23 25 2000 2001 2003 2115 2140 2583 2801 20000 20001 21554 22222 23456 27374 31 3024 3128 3150 3210 3333 3996 30303 30999 31338     木马入3 （TCP） 31339 31666 33333 34324 456 4060 4092 4321 4590 40412 40426 43210 44445 555 5000 5550 5632 5742 50766 53001 6267 6670 6671 6711 6776 6883 61466 65000 79 7000 7301 7306 7307 7308 7789 80 99 9400 9401 9402     其它入  （UDP） 139 1433 445 53（TCP）113 121 1029 1068 1080 1092 2023 20218 23444 23445 30129 4899 4950 43958 45576 53 520 5001 5554 5800 5900 50505 660 6000 6129 6771 6939 707 7511 808 8011 8102 8888 9995 9996     木马出端口：     木马出1 （TCP） 1433 10067 10167 12345 12346 20034 26274 3129 3389 3700 30100-30102 31337 31785 31787-31789 31791 31792 40421-40425 47262 5321 5400-5402 5569 54320 54321 666 6400 6969 6970 7300 7626 9872-9875 9989     木马出2 （TCP） 19 143 1001 1011 1025 1033 1170 1234 1243 1429 1600 1807 1981 1999 11000 11223 12076 12223 12361 16969 19191 21 25 2000 2001 2003 2115 2140 2583 2801 20000 20001 21554 22222 23456 27374 31 3024 3128 3150 3210 3333 3996 30303 30999 31338     木马出3 （TCP） 31339 31666 33333 34324 456 4060 4092 4321 4590 40412 40426 43210 44445 555 5000 5550 5632 5742 50766 53001 6267 6670 6671 6711 6776 6883 61466 65000 79 7000 7301 7306 7307 7308 7789 80 99 9400 9401 9402 配置本地安全策略———加密的爱护 IP安全策略设置方法     一、适用范畴：     它适用于2000以上Windows系统的专业版；对家庭版的用户能够看一下是不是能通过：操纵台（运行mmc）－文件－添加/删除治理单元－添加－添加独立单元，添加上“IP安全策略治理”，如行的话则可在左边的窗口中看到“IP安全策略，在本地运算机”了，接下来的操作就跟专业版一样了。     二、找到“IP安全策略，在本地运算机”：     “IP安全策略，在本地运算机”选项在“本地安全设置”下，因此要找到它就打开“本地安全设置”的方法，要紧采纳以下两种方法来打开：1是点“开始”－“运行”－输入secpol.msc，点确定；2是“操纵面板”－“治理工具”－“本地安全策略”。打开“本地安全策略”对话框就能在左边的窗口中看到“IP安全策略，在本地运算机”了。右击它，在它的下级菜单中能看到“创建IP安全策略”和“治理IP选择器表和选择器操作”等菜单（也能够在此级菜单中的“所有任务”项的下级菜单中看到上面的两个菜单）。     三、建立新的选择器：     1、在“IP安全策略，在本地运算机”的下级菜单中选择“治理IP选择器和选择器操作”菜单，打开“治理IP选择器和选择器操作”对话框，里面有两个标签：“治理IP 选择器列表”和“治理选择器操作”。选择“治理IP选择器列表”标签，在“IP选择器列表”下的文本框下面能看到三个按钮：“添加”、“编辑”和“删除”。     2、点“添加”按钮，打开叫做“IP选择器列表”的对话框，里面有三个文本框，从上到下分别是：“名称”、“描述”和“选择器”。在“名称”和“描述”文本框右边，能看到“添加”、“编辑”和“删除”三个按钮（对没有内容的选择器而言，它的“编辑”和“删除”按钮不可用），在这三个按钮下有一个复选框，复选框后面有“使用‘添加向导’”如此的文本说明。     3、取消默认的对“使用‘添加向导’”的勾选，在“名称”下面的文本框中把默认的“新IP选择器列表”修改成下面要建立的选择器列表的名称，我们那个地点先输入：“病毒常驻端口”，在“描述”下面的空白文本框中输到里面去“病毒常驻端口”后面的全部端口号（能够用复制、粘贴来操作），要紧作用是便于下一步对比着添加作为“选择器”具体内容的“端口”。     这时能够点“确定”按钮，储存本“选择器”。但由于它没有任何内容，因此会蹦出来“IP选择器列表警告”对话框，提示“那个IP选择器列表是空的。没有匹配的IP数据包。您想……吗？”，因为储存是目的，因此选择“是”。     4、那个地点我们不点“确定”，不储存空的选择器，直截了当向“选择器”下面的文本框中添加本选择器要操作的端口。那个文本框中是不能直截了当用输入法输入、编辑的，具体方法见下一步。     四、添加“选择器”要操作的端口：     1、点“IP选择器列表”对话框中的“添加”按钮，打开“选择器 属性”对话框。那个对话框里面有三个标签：“寻址”、“协议”和“描述”。     2、在“寻址”标签下有两个选项框和一个复选框。从上到下是“源地址”选项框、“目标地址”选项框和“镜像。同时与源地址和目标地址……匹配”复选框。因为我们现在要做的是“进入端口”的阻止设置，也确实是要阻止病毒、木马从这些端口联系或叫“进入”咱们的系统，因此我们在“源地址”下选择“任何IP地址”，在“目标地址”下选择“我的IP地址”，取消对“镜像……”复选框的勾选；假如是做“出端口”则在“源地址”下选择“我的IP 地址”，在“目标地址”下选择“任何IP地址”，同样不选择“镜像”。     3、在“协议”标签下，默认状态下只有“选择协议类型”选项框可操作。点一下选项框右边的小三角按钮，打开选项列表，依照端口的协议类型来选择（我们能够操作的要紧是“TCP”和“UDP”，在下面所列的“要做的选择器”下要做的选择器列表如：“病毒常驻端口”、“打印与共享”等，在它们下面所列的端口号前面都用括号把相应的类型做了标记）。选择了类型后，下面的“设置IP协议端口”成为可选状态，因为不承诺别人进，因此就在上半部保留默认选择的“从任意端口”，在下半部选择“到此端口”，选择之后它下面的文本框变成可操作状态，在里面输入一个端口。因为每次只能输入一个端口，因此要做多少个端口就得操作多少次。这一步假如是做“出端口”，则应在选择好“协议类型”后在“设置IP协议端口”的上半部选择“从此端口”，然后输入一个端口，下半部保留默认选择的“到任意端口”。     4、在“描述”标签下只有一个“描述”文本输入框。能够在里面输入自己心仪的描述。通常只对入端口做描述：阻止任意地址任意端口访问我的***端口。然后点“确定”，完成对那个端口的操作。因为在“描述”标签下只能点“确定”按钮而不能按“回车”键确定，因此想加快速度，能够先做描述，再做协议，端口输入“回车”就“确定”了。也能够不作描述，如此更快。     5、确定后，在“IP选择器列表”对话框下的“选择器”下的文本框中就能看到刚才添加的“选择器”了。那个地点说的“选择器”，事实上确实是我们刚才添加的“端口”，能够拖动下面的滚动条查看咱们刚才或叫往常输入的内容是否正确，假如有误，能够双击它打开进行修改。也能够选中它后点“编辑”按钮进行修改，因此也能够点“删除”按钮删除它。     6、“病毒常驻端口”后所列的端口添加完后，在“IP选择器列表”对话框下点“确定”按钮，完成对“病毒常驻端口”的操作。     五、如法炮制，完成对全部选择器的添加：     完成对“病毒常驻端口”的操作后，返回到“三”－“2”之步骤，连续添加“打印与共享端口”等，直到把木马入、出端口、以及自己想要添加的任何端口如数添加完成。     六、创建“IP 安全策略”并添加“选择器”和“选择器操作”：     1、创建“IP安全策略”。在“本地安全设置”对话框中左边的树状图中找到“IP安全策略，在本地运算机”，右击，选择“创建IP安全策略”，出来“IP安全策略向导”对话框；点“下一步”，显现副标题为“IP 安全策略名称  命名……”的对话框，下面有两个文本框，自上而下是“名称”和“描述”。那个地点不用描述，直截了当在“名称”下输入自己心仪的名字就行，为表述方便，假定取名为“我的IP安全策略”；点“下一步”，出来副标题为“安全通讯要求  指定……”的对话框，只有一个“激活默认响应规则”的复选框 ，取消对它的默认勾选，点“下一步”，到“完成”对话框，也只有一个“编辑属性”的复选框，取消对它的默认勾选，点“完成”。如此在“本地安全设置”对话框右边的名称标签栏下的列表中就能看到咱们新建的、自己定义的“我的IP安全策略”了。     2、选中它，点操作菜单，点“属性”；或右击它点“属性”；或双击打开它，出来“我的IP安全策略 属性”对话框。里面有两个标签：“规则”和“常规”。我们只对“规则”做操作。在“规则”下只有一个“IP安全规则”文本框，同样那个地点不能直截了当输入，点下面的“添加”按钮，出来“新规则 属性”对话框，里面有五个标签，我们需要操作的是“IP选择器列表”和“选择器操作”标签。选择“IP选择器列表”标签，在“IP选择器列表”文本框中能看到刚才创建“病毒常驻端口”等选择器了。     3、选择第一个或最后一个（因为每次只能添加一个，如此方便下面依次操作），为方便表述，咱们假设选择“病毒常驻端口”。那个地点的“选择”，指的是在选择器前面的复选圈中点上小黑点，如此就“选择”上了。     4、选择上后，不做任何操作，转而选择“选择器操作”标签，那个地点有个“选择器操作”列表框，我们要到那个地点去选择“协商安全”。点列表框下的“添加”按钮，出来“新增安全 属性”对话框，下面有三个标签，“加密并保持完整性”、“仅保持完整性”、“自定义”。选择“仅保持完整性”点“确定”，自动返回到“新选择器操作属性”标签，单击“关闭”回到“新规则属性”。确保不选择“承诺和不支持IPSec的运算机进行不安全的通信”项，单击“确定”回到“选择器操作”对话框。单击新添加的选择器操作旁边的单行按钮激活设置的选择器操作。 5、在“新规则属性”中选择身份验证方法。单击“添加”打开“新身份验证方法属性”，选择“此字符串用来爱护密钥交换”，并输入共享密钥字符串。单击“确定”回到“身份验证方法”。选择“上移”使“预先共享的密钥”在为首选。    6、指派“我的IP安全策略”：     上面的工作完成后，回到“本地安全设置”对话框，在右边的名称标签栏下找到“我的IP安全策略”，选中它，到“操作”菜单或右击它，选择“指派”。