本地安全策略

一、账户策略的配置

（一）、本地安全策略的定义：影响当前计算机的安全设置，用户登录后会受安全策略的控制

（二）、打开本地安全策略管理控制台：

1、图形化： 开始\控制面板\系统和安全\管理工具\本地安全策略

2、命令：secpol.msc

（三）、账户策略

1、作用：通过设置密码策略和账户锁定策略来提高用户的密码安全级别

2、包含：密码策略和账户锁定策略

（四）、密码策略

1、密码复杂性要求   （包含4类字符中的三种）

2、密码长度最小值    （如果设为0代表可不设置密码；最大为14）

3、密码最短使用期限   （0~998之间；设置为0 代表可随时更改密码）（对Administrator不生效）

4、密码最长使用期限    （0~999天之间，默认42天，代表一个密码用42天后必须更改密码；设置为0代表密码永不过期）

5、强制密码历史    （代表最近使用的几次密码不可以被使用；范围0~24；0代表可随意使用过去使用的密码）

6、用可还原的加密存储密码   （一种密码的加密方式，默认设置为禁用，更安全）

 

（五）、账户锁定策略

1、账户锁定阈值    （代表用户连续输错 密码次数等于阈值后该账户被锁定；范围0~999；设置为0代表该账户永不锁定）

2、账户锁定时间    （代表该账户被锁定后，多长时间自动解锁；范围0~99999分钟；设置为代表永远被锁定，只能由管理员手动解锁）

3、重置账户锁定计数器  （用户在该计数器时间内只要输错次数不到锁定阈值，该账户不被锁定，过此时间后又有相同的输错次数；设置范围小于或等于账户锁定时间）

注意：账户锁定策略对管理员账户完全不生效

 

二、本地策略

（一）、三部分内容

1、审核策略    2、用户权限分配    3、安全选项

（二）、审核策略

作用：确定是否将计算机与安全有关的事件记录到安全日志中，也可将用户成功或者失败的登录记录在日志中等

事件查看器：用于浏览和管理事件日志

 

（三）、用户权限分配

作用：可以对某些特定的用户和组授予或拒绝一些特殊的权限

常用设置：

关闭系统

更改系统时间

拒绝本地登录

拒绝从网络访问这台计算机

允许通过远程桌面服务登陆

 

（三）、安全选项

作用：控制一些和操作系统安全相关的设置

常用设置：

交互式登陆-登陆时不显示用户名

交互式登陆-试图登陆的用户的消息标题

交互式登陆-试图登陆的用户的消息文本

网络访问-本地账户的共享和安全模型

账户-使用空白密码的账户只允许控制台登陆

注意：更新策略的命令  ：  gpupdate

（四）、本地组策略   （一组策略的集合，在工作组环境没有在域环境应用广泛）

打开管理控制台的命令：  gpedit.msc