Windows系统策略与安全配置指南

64、访问本地组策略对象

在Windows 10搜索框中输入MMC，打开本地用户和组MMC快捷方式。 选择“文件” ➢ “添加/删除管理单元”。 高亮显示“组策略对象编辑器”管理单元，然后单击“添加”按钮。 单击“浏览”，以便可以浏览其他组策略对象（GPO）。 单击“用户”选项卡。 选择要访问的用户，然后单击“确定”。 在“选择组策略对象”对话框中，单击“完成”。 在“添加或删除管理单元”对话框中，单击“确定”。查看完所选用户的本地组策略对象（LGPO）设置后，可关闭控制台。

65、如何在本地组策略对象中配置密码策略，包括设置强制密码历史和最大密码使用期限？

打开之前创建的本地组策略对象（LGPO）的Microsoft管理控制台（MMC）快捷方式。 展开本地计算机策略管理单元。 按以下路径展开文件夹：
计算机配置 ➢ Windows设置 ➢ 安全设置 ➢ 账户策略 ➢ 密码策略 。 打开“强制密码历史”策略。
在“本地安全设置”选项卡上，指定要记住五个密码。
点击“确定”。 打开“最大密码使用期限”策略。
在“本地安全设置”选项卡上，指定密码在60天后过期。
点击“确定”。

66、配置账户锁定策略

打开 LGPO MMC 快捷方式。 展开本地计算机策略管理单元。 按以下方式展开文件夹：计算机配置 ➢ Windows 设置 ➢ 安全设置 ➢ 账户策略 ➢ 账户锁定策略。 打开账户锁定阈值策略。在本地安全设置选项卡上，指定账户在三次无效登录尝试后将被锁定。点击确定。 点击确定接受账户锁定持续时间和重置账户锁定计数器后策略的建议值更改。 打开账户锁定持续时间策略。在本地安全设置选项卡上，指定账户将被锁定 5 分钟。点击确定。 点击确定接受重置账户锁定计数器后策略的建议值更改。 注销管理员账户。尝试以在这台 Windows 10 机器上创建的其中一个账户登录，并四次输入错误密码。 看到引用的账户已被锁定的错误消息后，以管理员身份登录。 要解锁账户，在 MMC 中打开本地用户和组管理单元，展开用户文件夹，然后双击用户。 在用户属性对话框的常规选项卡上，点击取消“账户已锁定”复选框中的勾选。然后点击确定。

67、配置审核策略

打开LGPO MMC快捷方式。 展开本地计算机策略管理单元。 按以下方式展开文件夹：
计算机配置 ➢ Windows设置 ➢ 安全设置 ➢ 本地策略 ➢ 审核策略。 打开“审核账户登录事件”策略，勾选“成功”和“失败”框，点击“确定”。 打开“审核账户管理”策略，勾选“成功”和“失败”框，点击“确定”。 注销管理员账户，尝试使用错误密码重新登录管理员账户，登录应失败（因为密码错误）。 以管理员身份登录。 选择“开始”，右键单击“计算机”，然后选择“管理”以打开事件查看器。 从事件查看器中，通过选择“Windows日志” ➢ “安全”打开安全日志，您应该会看到任务类别为“凭据验证”的审核事件列表。

68、如何在本地组策略中为用户添加“作为服务登录”的权限？

打开本地组策略对象（LGPO）的Microsoft管理控制台（MMC）快捷方式。 展开本地计算机策略管理单元。 按以下路径展开文件夹：
计算机配置 ➢ Windows设置 ➢ 安全设置 ➢ 本地策略 ➢ 用户权限分配。 打开“作为服务登录”用户权限。 点击“添加用户或组”按钮，此时将出现“选择用户或组”对话框。 点击“高级”按钮，然后选择“立即查找”。 选择一个用户，点击“确定”。 在“选择用户或组”对话框中点击“确定”。 在“作为服务登录属性”对话框中点击“确定”。

69、查看用户账户控制（UAC）如何影响账户

以非管理员账户登录Windows 10。 右键单击“开始”菜单，选择“控制面板”，在“控制面板”中选择“大图标视图”，然后找到“Windows防火墙”。 点击左侧的“打开或关闭Windows防火墙”链接。此时UAC框会提示您继续操作的权限，点击“是”，会被拒绝访问“Windows防火墙设置”对话框。 在“用户和组”管理单元（MMC）中，启用管理员账户并重置管理员密码。 注销并以管理员账户登录。 右键单击“开始”菜单，选择“控制面板”，在“控制面板”中选择“大图标视图”，然后找到“Windows防火墙”。 点击“打开或关闭Windows防火墙”链接。 会自动进入“Windows防火墙”屏幕，关闭该屏幕。

70、设置VPN连接

通过右键点击“开始” ➢ “控制面板” ➢ “网络和共享中心” 启动“网络和共享中心”。 选择“设置新的连接或网络”链接。 选择“连接到工作区”，点击“下一步”。 选择“使用我的Internet连接（VPN）”选项。 出现“连接到工作区”屏幕，需要输入VPN服务器的TCP/IP地址并为该VPN连接命名。在该窗口中，还可以使用智能卡、允许其他人使用此连接以及设置VPN但此时不连接（选择的选项）。输入TCP/IP地址并命名VPN连接后，点击“下一步”。 下一个屏幕要求输入登录凭据，输入用户名、密码和域名，点击“创建”。

现在连接已创建，以下是使用它的步骤：

在右下角点击网络连接。 出现一个显示连接的框，要连接到VPN连接，选择相应的链接。 当“连接”对话框出现时，确保用户名、密码和域名已填写，然后点击“连接”按钮。 连接建立后，关闭它并关闭“网络和共享中心”。

71、将计算机引导至安全模式

不同操作系统引导至安全模式的方法

不同操作系统引导至安全模式的方法有所不同，以 Windows 10 系统 为例：

打开 Windows 10 系统。 在启动过程中，按
F8 键访问启动选项菜单。 在恢复屏幕上，选择 “查看高级修复选项” 。 在 “选择一个选项” 屏幕上，选择 “疑难解答” 选项。 在 “疑难解答” 屏幕上，选择 “高级选项” 。 在 “高级选项” 屏幕上，选择 “启动设置” 。 在 “启动设置” 屏幕上，点击 “重新启动” 按钮。
系统将重新启动进入 “启动设置” 屏幕。 在 “启动设置” 屏幕上，选择 “5) 启用带网络连接的安全模式” 。 当 Windows 10 启动时，登录系统。

72、简述如何使用启动日志记录以及该日志记录的作用和相关操作

启动日志记录会创建一个日志文件，用于跟踪驱动程序和服务的加载。从高级启动选项菜单中选择“启用启动日志记录”选项时，Windows 10 会正常加载，而非进入安全模式，这样可以记录正常启动序列中发生的所有进程。

该日志文件可用于对启动过程进行故障排除。启用日志记录时，日志文件会写入 `WINDOWSNtbtlog.txt`。该文件是累积的，每次进入安全模式都会向此文件写入内容。若要重新开始记录，应手动删除该文件并重新启动到支持日志记录的高级启动选项菜单选择（启用启动日志记录）。

在相关操作中，需点击 Windows 资源管理器浏览到 `C:WINDOWSNtbtlog.txt` 并双击该文件，检查启动日志文件的内容，然后关闭计算机并在不使用高级启动选项的情况下重新启动。

73、请简述在 Windows 系统中备份文件的步骤

以下是备份文件的步骤：

右键点击“开始” ➢ “控制面板” ➢ “备份和还原（Windows 7）”。 点击“立即备份”按钮。 选择要保存备份的位置，然后点击“下一步”。在示例中，使用
D: 盘。 出现“你要备份哪些内容？”屏幕，点击“让我选择”单选按钮，然后点击“下一步”。 选择要备份的文件，点击“下一步”。 在“查看备份设置”屏幕上，可以选择自动执行备份的频率。要开始备份，点击“保存设置并运行备份”按钮。Windows 开始备份文件，进度指示器会显示备份的进度。 备份完成后，点击“关闭”。

74、如何创建系统映像？

创建系统映像指南

系统映像可让你对整个硬盘进行快照，并将该映像保存到特定位置，以便日后恢复。

创建步骤

右键单击“开始” ➢ “控制面板” ➢ “备份和还原（Windows 7）” 点击左侧的“创建系统映像”链接 选择要保存映像的位置，例如选择本地
D: 驱动器，然后点击“下一步” 在确认屏幕上，点击“开始备份” 可能会出现一个对话框，询问你是否要创建系统修复光盘，点击“否”按钮。如果你想创建系统修复光盘，你需要一个 DVD 刻录机和 DVD 当映像创建完成后，点击“关闭”按钮

映像保存位置

创建系统映像时，你可以将其保存到以下位置：

硬盘 DVD 网络位置

75、创建还原点的时机有哪些，以及如何手动创建还原点？

还原点创建说明

还原点包含特定时间点的注册表和系统信息，会在以下时间创建：

每周 安装应用程序或驱动程序之前 重大系统事件之前 使用系统还原恢复文件之前（以便必要时撤销更改） 应要求手动创建

手动创建还原点步骤如下：

右键单击“开始” ➢ “控制面板” ➢ “系统” ➢ “高级系统设置”。 当“系统属性”对话框出现时，单击“系统保护”选项卡。 单击屏幕底部的“创建”按钮。 在“系统保护”对话框中，为还原点输入描述，然后单击“创建”。 出现一个对话框，提示还原点已创建，单击“关闭”。

76、如何恢复还原点？

可以使用系统还原功能来恢复之前创建的还原点。恢复操作将恢复系统文件和设置，但不会影响个人文件。系统还原还将删除自还原点创建以来安装的任何程序。

以下是将系统配置恢复到先前捕获的还原点的步骤：

1. 右键单击“开始” ➢ “控制面板” ➢ “系统” ➢ “高级系统设置”。
2. 当“系统属性”对话框出现时，单击“系统保护”选项卡。
3. 单击“系统还原”按钮。在欢迎屏幕上单击“下一步”继续。
4. 选择之前创建的还原点，然后单击“下一步”继续。
5. 查看还原点选择，然后单击“完成”继续。
6. 单击“是”确认要继续系统还原。
7. 系统还原将恢复系统并重新启动计算机以应用更改。应该会看到一条消息，表明系统还原已恢复计算机。单击“确定”关闭对话框。

77、下载并安装MDT 2013

MDT 2013 下载与安装步骤

要下载并安装 MDT 2013，请按以下步骤操作：

从微软网站 ( https://www.microsoft.com/en-us/download/details.aspx?id=48595 ) 下载 MDT 2013 Update 1 实用程序。 点击“下载”按钮。 会出现一个屏幕，要求您“选择要下载的内容”。选择 x64 或 x86 版本，然后点击“下一步”。 可能会出现一个消息框，询问您是要运行还是保存 MDT。点击“保存”旁边的向下箭头，将文件保存到下载目录。 双击
MicrosoftDeploymentToolkit_xxx.exe 开始安装。 在欢迎屏幕上，点击“下一步”。 在许可屏幕上，点击“我接受许可协议中的条款”按钮，然后点击“下一步”。 在自定义安装屏幕上，点击“Microsoft Deployment Toolkit”旁边的向下箭头，选择“整个功能将安装在本地硬盘上”，然后点击“下一步”。 在客户体验改进计划屏幕上，选择是否要参与，然后点击“下一步”。 在准备安装屏幕上，点击“安装”按钮。 如果出现用户账户控制对话框，点击“是”按钮。 安装完成后，点击“完成”按钮。

78、配置MDT 2013

配置 MDT 2013 步骤

要配置 MDT 2013，请按以下步骤操作：

在网络上创建一个名为 Distribution 的共享文件夹，并在本练习中给予 Everyone 组对该文件夹的完全控制权。 通过选择 “开始” ➢ 向下箭头 ➢ “Microsoft 开发工具包” ➢ “部署工作台” 来打开 MDT 工作台。 如果出现 “用户账户控制” 框，点击 “是” 。 在左窗格中，点击 “部署共享” ，然后右键点击部署共享并选择 “新建部署共享” 。 “新建部署共享向导” 开始。在第一个屏幕上，你将选择存储部署的目录。点击 “浏览” 按钮并选择你在步骤 1 中创建的 Distribution 共享。然后点击 “下一步” 。 在 “共享名称” 屏幕上，接受默认的 “Distribution” ，点击 “下一步” 。 在 “描述性名称” 屏幕上，接受默认的描述名称并点击 “下一步” 。 在 “摘要” 屏幕上，查看选项并点击 “下一步” 按钮。 “安装进度” 屏幕将显示安装的执行情况。安装完成后，点击 “完成” 按钮。新的部署共享已设置好并准备好开始部署。 现在需要在 MDT 2013 中设置一个操作系统以进行部署。 关闭 MDT 工作台。

79、使用系统准备工具为磁盘映像准备系统

以管理员身份登录源计算机，若需要，安装并配置应安装在目标计算机上的任何应用程序。 选择“开始” ➢ “计算机”，导航到
C:\%WINDIR%System32sysprep 。双击 Sysprep 应用程序图标。 在“系统准备工具”对话框中，在系统清理操作中选择“进入系统全新体验（OOBE）”。 在关机选项下选择“重新启动”选项，点击“确定”，系统准备工具将退出，计算机将重新启动进入设置模式，在该模式下需要配置设置选项。 系统关机后，使用映像捕获工具获取映像。

80、如何在 Hyper – V 中创建差异硬盘

打开 Hyper-V 管理器。 在 Hyper-V 管理器的“操作”窗格中，选择“新建” ➢ “硬盘”。 在“新建虚拟硬盘向导”的“开始之前”页面，点击“下一步”。 在“选择磁盘格式”屏幕上，选择 VHDX 并点击“下一步”。

VHD 的大小决定应选择的格式。若 VHD 大于 2 TB，使用 VHDX；若小于 2 TB，则使用 VHD。

在“选择磁盘类型”页面，选择“固定大小”并点击“下一步”。 在“指定名称和位置”页面，输入子磁盘的新名称（例如，
newvirtualharddisk.vhd ）。也可根据需要修改新 VHD 文件的默认位置。点击“下一步”继续。 接下来，在“配置磁盘”页面，需要指定 VHD 文件的大小。根据硬盘情况选择大小，然后点击“下一步”继续。

测试时使用了 60 GB 作为大小。

在“完成新建虚拟硬盘向导”页面，验证所有设置是否正确，点击“完成”创建硬盘。

81、如何使用加密文件系统（EFS）加密文件夹，并验证加密效果？

使用加密文件系统（EFS）加密文件夹的步骤

要使用加密文件系统（EFS），用户需指定NTFS分区上的文件夹或文件应被加密。以下是使用EFS加密文件夹的步骤：

1. 创建新用户

右键单击“开始” ➢ “计算机管理”。 在“系统工具”下，展开“本地用户和组”。 右键单击“用户”文件夹，选择“新用户”。 创建一个名为
Paige 的新用户，其密码为
P@ssw0rd 。 取消选择“用户下次登录时必须更改密码”选项，然后点击“创建”。 关闭“计算机管理”。

2. 选择文件夹

选择任务栏上的“文件资源管理器”图标。 在Windows资源管理器中，找到并选择C盘上的一个包含文件的文件夹。 右键单击该文件夹并选择“属性”。

3. 加密文件夹

在文件夹的“属性”对话框的“常规”选项卡上，点击“高级”按钮。 在“高级属性”对话框中，勾选“加密内容以保护数据”选项，然后点击“确定”。 在“确认属性更改”对话框（如果此对话框未出现，可点击“属性”对话框中的“应用”按钮来显示它）中，选择“将更改应用于此文件夹、子文件夹和文件”，然后点击“确定”。

4. 验证加密

注销管理员账户，以
Paige 账户登录。 打开Windows资源管理器并尝试访问已加密文件夹中的一个文件，此时应收到一条错误消息，提示该文件不可访问。 注销
Paige 账户，重新以管理员账户登录。

82、实施EFS文件共享

若文件尚未加密，则对其进行加密。 通过 Windows 资源管理器，访问加密文件的属性。在对话框底部，单击“高级”按钮。 此时会出现“高级属性”对话框。在“高级属性”对话框的“压缩或加密属性”部分，单击“详细信息”按钮，这将打开“加密详细信息”对话框。 在“加密详细信息”对话框中，单击“添加”按钮，以添加任何应具有访问加密文件权限的其他用户（前提是他们在 Active Directory 中有有效的 EFS 证书，或者您已将有效的证书导入到本地计算机）。 关闭文件夹的“属性”框。

83、如何使用本地安全策略，本地策略有哪些作用，如何访问本地策略文件夹以及审核策略的作用是什么？

可以通过运行
secpol.msc 或打开控制面板并选择“管理工具” ➔ “本地安全策略”来访问本地安全策略。

本地策略用于配置审核、用户权限和安全选项。

使用本地策略时，首先将“本地计算机策略”管理单元添加到 MMC，然后从 MMC 中，通过以下路径访问本地策略文件夹：

本地计算机策略 ➔ 计算机配置 ➔ Windows 设置 ➔ 安全设置 ➔ 本地策略

该文件夹包含以下三个子文件夹：

审核策略 用户权限分配 安全选项

审核策略 可用于跟踪指定用户操作的成功或失败，识别安全违规等。

84、请介绍如何使用Cipher实用工具以及其作用

Cipher 是一个命令行实用工具，可用于对 NTFS 卷上的文件进行加密。

Cipher 命令的语法如下：

Cipher /[命令参数] [文件名]

练习将展示如何使用 Cipher 实用工具来加密文件。

在完成这些步骤之前，请确保你已经在 C: 驱动器上加密了一个文件夹。

85、在Windows 10中如何使用BitLocker对驱动器进行加密并设置密码解锁方式？

右键单击“开始”按钮并选择“控制面板”。 使用下拉菜单将“查看方式：类别”更改为“大图标”。 选择“BitLocker驱动器加密”图标。 点击显示“启用BitLocker”的链接。 在“选择如何解锁驱动器”屏幕上，点击“输入密码”链接。 输入密码，再次输入密码，然后点击“下一步”按钮。

86、设置 Microsoft Intune 账户

访问 Microsoft Intune 网站。 点击“立即试用”按钮。 在“欢迎使用 Microsoft Intune”页面，填写所需信息（国家、名字、姓氏等），然后点击“下一步”。 在“创建用户名”屏幕，创建用户名和密码，点击“下一步”。 需要通过验证账户来证明你不是网络机器人。输入手机号码，以便接收短信验证码。输入验证码并点击“验证”，然后点击“创建我的账户”链接。 你会看到一个包含你的门户链接和用户名的屏幕，打印此页面以备后用。 在网页浏览器中输入门户链接，然后输入用户名和密码。 在菜单窗口的左下角，点击“Intune”链接以打开 Intune 仪表板。

87、向 Microsoft Intune 中添加用户

向 Microsoft Intune 中添加用户

向 Microsoft Intune 中添加用户有两种方式：

一次添加一个用户 从 CSV 文件批量导入

添加用户注意事项

添加用户时， 必须为每个用户分配许可证 。 虽然创建用户时不必添加许可证，但 用户访问 Intune 前必须关联许可证 。 如果从本地 Active Directory 将用户导入云端， 用户无许可证 ，需在 Active Directory 与 Intune 合并后为用户分配许可证。

创建新用户的步骤

通过点击创建订阅时收到的电子邮件中的链接，打开 Microsoft Intune 门户。 进入 Intune 仪表板后，点击“管理”下的“用户”链接。 在控制台中央“用户”下方，会看到一个带向下箭头的“新建”按钮，点击“新建”并选择“用户”。 若要求重新登录，输入 Intune 用户名和密码。 在“新建用户详细信息”屏幕上，输入用户的名字、姓氏、显示名称和用户名，点击“下一步”。 在“分配角色”屏幕上，需决定此新用户是否应具有管理权限以及权限类型，可选择“是”或“否”，点击“下一步”。 在“组”屏幕上，直接点击“下一步”，将在另一练习中添加用户到组。 在“通过电子邮件发送结果”屏幕上，确保有该用户的电子邮件地址，然后点击“创建”。 在“结果”屏幕上，打印用户的临时密码，点击“完成”。 关闭 Intune 门户。

88、如何在Intune中创建设备组？

在Intune中创建设备组的说明

在Intune中创建组有助于管理员在进行Intune管理时拥有更多灵活性。管理员可以根据设备、用户、地理位置、部门甚至硬件类型来设置组。

创建设备组的相关说明

创建新的设备组时，可选择要管理的设备类型，如移动设备或所有设备。 必须将组添加到父组，设备的父组是“所有设备”。 创建子组后，若要将其移动到另一个父组，必须先删除该子组再重新创建。 管理员创建设备组有助于将应用程序和更新部署到特定设备。

创建设备组的步骤如下：

打开Microsoft Intune门户并登录。 在Intune管理控制台中，点击左侧的“组”链接。 在右侧窗口的“任务”下，点击“创建组”链接。 在“创建组”屏幕中：
– 在“组名称”下输入“My Devices”。
– 可在“描述”部分添加描述。
– 在“选择”部分选择父组，点击“所有设备”选项。
– 然后点击“下一步”。 在“定义成员资格条件”屏幕中：
– 选择要包含的设备类型。
– 将设备类型从“移动设备”更改为“所有设备”。
– 点击“下一步”。 在“定义直接成员资格”屏幕中：
– 可将设备包含或排除在此组中。
– 由于此组是使用所有设备创建的，不排除任何设备。
– 直接点击“下一步”。 在“摘要”屏幕中：
– 验证所有信息是否正确。
– 点击“完成”按钮。

创建组后，可从Intune管理控制台查看和管理该组，随时更改组属性以及添加或排除设备。

89、创建安全用户组

打开 Microsoft Intune 门户并登录。 在 Intune 管理控制台中，点击左侧的“组”链接。 在右侧窗口的“任务”下，点击“创建组”链接。 在“创建组”屏幕中，在“组名称”处输入“Intune Users”。可以在“描述”部分添加描述。在“选择父组”下，点击“所有用户”选项，然后点击“下一步”。 在“定义成员资格条件”屏幕中，选择想要包含的用户类型。本练习使用父组中的“所有用户”，点击“下一步”。 在“定义直接成员资格”屏幕中，可以包含或排除此组中的用户。由于此组是使用所有用户创建的，不排除任何人，只需点击“下一步”。 在“摘要”屏幕中，验证一切是否正确，然后点击“完成”按钮。创建安全组后，可以从 Intune 管理控制台管理该组。管理员可以随时更改组的成员资格。

90、创建一个 Intune 策略

管理员可以对 Intune 移动设备和应用程序的安全设置、防火墙设置和端点保护设置设置规则。创建策略时，可按以下步骤操作：

打开 Intune 管理门户； 在左窗格中，点击“策略”图标； 在“策略状态”页面的“任务”部分，点击“添加策略”链接； 在策略列表中，展开要为其创建策略的平台，选择“Windows ➢ 常规配置 ➢ Windows 10 桌面版和移动版及更高版本”，在“常规配置”部分，点击“创建并部署自定义策略”单选按钮，然后点击“创建策略”按钮； 在“创建策略”窗口中，输入策略名称和描述，然后选择要在“密码”“加密”“系统”“云”“应用程序”“应用”“设备功能”“硬件”“功能”和“更新”部分强制执行的策略，点击“保存策略”按钮； 如果提示现在部署此策略，点击“否”按钮； 要将策略应用于用户或设备组，点击策略，然后右键点击该策略并选择“管理部署”； 当提示选择要将此策略部署到的组时，选择上一练习中的“Intune 用户”，然后点击“添加”，再点击“确定”。

管理员可以随时更改策略。