本地安全策略的应用和详解
目录
一.本地安全策略
1.概念
2.打开方式
二.账户策略
1.密码策略
2.账户锁定策略
3.进行验证
三.本地策略
1.审核策略
2.用户权限的分配
1.添加用户
2.验证结果
3.安全选项
编辑
四.本地策略组
1.基本定义
2.本地策略组的简单应用
五.总结
一.本地安全策略
1.概念
- 对登陆到计算机上的账户进行一些安全设置。
- 本地管理员必须为计算机进行设置以确保其安全。
- 如,设置用户如何设置密码、通过账户策略设置账户安全性、通过锁定账户策略避免他人登陆计算机等就组成了本地安全策略!
- 主要是影响本地计算机安全设置
2.打开方式
- 开始菜单--->服务器管理器/管理工具--->管理工具--->本地安全策略
- 命令打开
win+r secpol.msc
二.账户策略
1.密码策略
-
密码必须符合复杂性要求
密码必须符合复杂性要求。
此安全设置确定密码是否必须符合复杂性要求。
如果启用此策略,密码必须符合下列最低要求:
不能包含用户的帐户名,不能包含用户姓名中超过两个连续字符的部分
至少有六个字符长
包含以下四类字符中的三类字符:
英文大写字母(A 到 Z)
英文小写字母(a 到 z)
10 个基本数字(0 到 9)
非字母字符(例如 !、$、#、%)
在更改或创建密码时执行复杂性要求。默认值:
在域控制器上启用。
在独立服务器上禁用。注意: 在默认情况下,成员计算机沿用各自域控制器的配置。
- 最短密码长度
此安全设置确定用户帐户密码包含的最少字符数。可以将值设置为介于 1 和 14 个字符之间,或者将字符数设置为 0 以确定不需要密码。
默认值:
在域控制器上为 7。
在独立服务器上为 0。注意: 在默认情况下,成员计算机沿用各自域控制器的配置。
-
密码最短使用期限
代表多少天需要改密码,Windows server默认是42天
此安全设置确定在用户更改某个密码之前必须使用该密码一段时间(以天为单位)。可以设置一个介于 1 和 998 天之间的值,或者将天数设置为 0,允许立即更改密码。
密码最短使用期限必须小于密码最长使用期限,除非将密码最长使用期限设置为 0,指明密码永不过期。如果将密码最长使用期限设置为 0,则可以将密码最短使用期限设置为介于 0 和 998 之间的任何值。
如果希望“强制密码历史”有效,则需要将密码最短使用期限设置为大于 0 的值。如果没有设置密码最短使用期限,用户则可以循环选择密码,直到获得期望的旧密码。默认设置没有遵从此建议,以便管理员能够为用户指定密码,然后要求用户在登录时更改管理员定义的密码。如果将密码历史设置为 0,用户将不必选择新密码。因此,默认情况下将“强制密码历史”设置为 1。
默认值:
在域控制器上为 1。
在独立服务器上设置为 0。注意: 在默认情况下,成员计算机沿用各自域控制器的配置。
-
密码最长使用期限
此安全设置确定在系统要求用户更改某个密码之前可以使用该密码的期间(以天为单位)。可以将密码设置为在某些天数(介于 1 到 999 之间)后到期,或者将天数设置为 0,指定密码永不过期。如果密码最长使用期限介于 1 和 999 天之间,密码最短使用期限必须小于密码最长使用期限。如果将密码最长使用期限设置为 0,则可以将密码最短使用期限设置为介于 0 和 998 天之间的任何值。
注意: 安全最佳操作是将密码设置为 30 到 90 天后过期,具体取决于你的环境。这样,攻击者用来破解用户密码以及访问网络资源的时间将受到限制。
默认值: 42。
- 强制密码历史
大概意思就是最近使用的几个密码都不能被使用,介于 0 个和 24 个之间,0可代表随意使用过去用过的密码
此安全设置确定再次使用某个旧密码之前必须与某个用户帐户关联的唯一新密码数。该值必须介于 0 个和 24 个密码之间。
此策略使管理员能够通过确保旧密码不被连续重新使用来增强安全性。
默认值:
在域控制器上为 24。
在独立服务器上为 0。注意: 在默认情况下,成员计算机沿用各自域控制器的配置。
若要维护密码历史的有效性,还要同时启用密码最短使用期限安全策略设置,不允许在密码更改之后立即再次更改密码。有关密码最短使用期限安全策略设置的信息,请参阅“密码最短使用期限”。
- 用可还原的加密来储存密码
正常设定为禁用,更加安全
此安全设置确定操作系统是否使用可还原的加密来储存密码。
此策略为某些应用程序提供支持,这些应用程序使用的协议需要用户密码来进行身份验证。使用可还原的加密储存密码与储存纯文本密码在本质上是相同的。因此,除非应用程序需求比保护密码信息更重要,否则绝不要启用此策略。
通过远程访问或 Internet 身份验证服务(IAS)使用质询握手身份验证协议(CHAP)验证时需要设置此策略。在 Internet 信息服务(IIS)中使用摘要式身份验证时也需要设置此策略。
默认值: 禁用。
2.账户锁定策略
- 帐户锁定时间
表示输错几次密码之后锁定该账户,就不能再登录
此安全设置确定锁定帐户在自动解锁之前保持锁定的分钟数。可用范围从 0 到 99,999 分钟。如果将帐户锁定时间设置为 0,帐户将一直被锁定直到管理员明确解除对它的锁定。
如果定义了帐户锁定阈值,则帐户锁定时间必须大于或等于重置时间。
默认值: 无,因为只有在指定了帐户锁定阈值时,此策略设置才有意义。
- 帐户锁定阈值
表示账户锁定多久
此安全设置确定导致用户帐户被锁定的登录尝试失败的次数。在管理员重置锁定帐户或帐户锁定时间期满之前,无法使用该锁定帐户。可以将登录尝试失败次数设置为介于 0 和 999 之间的值。如果将值设置为 0,则永远不会锁定帐户。
在使用 Ctrl+Alt+Del 或密码保护的屏幕保护程序锁定的工作站或成员服务器上的密码尝试失败将计作登录尝试失败。
默认值: 0。
- 在此后复位帐户锁定计数器
此设置可以理解为,假如把账户锁定阈值设定为3次,重置账户锁定计数器设置为30分钟之后重置一次,我输错2次密码之后,再输入一次账户就会被锁定,这个时候可以等30分钟之后就会重置,这个时候就又可以输3次密码
此安全设置确定在某次登录尝试失败之后将登录尝试失败计数器重置为 0 次错误登录尝试之前需要的时间。可用范围是 1 到 99,999 分钟。
如果定义了帐户锁定阈值,此重置时间必须小于或等于帐户锁定时间。
默认值: 无,因为只有在指定了帐户锁定阈值时,此策略设置才有意义。
3.进行验证
-
重启计算机,或者win+r 打开cmd 输入gpupdate /force 刷新本地安全策略,这样我们设置的内容就会生效了
示例:
需求描述①.计算机中账户密码长度最少要有八个字符
②.用户连续三次输错密码,该用户会被锁定
- 按住win+r,输入secpol.msc,打开本地安全策略
- 选择账户策略中的密码策略,点击密码长度最小值,右击属性,选择最少八个字符,意味密码长度最少大于等于8
- 点击账户锁定策略,选择账户锁定时间,这里实验所以设置为0分钟
- 选择账户锁定阈值,设置为3次无效登录,点击确定
- 设置重置账户锁定计数器,实验设置为1分钟
- 账户锁定已经设置好了
- win+r 打开cmd 输入gpupdate /force 刷新本地安全策略
- 打开计算机管理,选择用户,点击实验账号zhangkai,右击设置新密码,点击继续
- 设置新密码为3位数密码,如123
- 发现密码设置显示错误
- 设置新密码为八位数,比如12345678
- 显示密码设置成功
- 切换实验账号zhangkai,并使用错误密码登录
- 显示密码错误,登陆失败
- 重复三次后,显示账号被锁定
小技巧:我们在管理员用户中打开该用户的属性,会发现该帐户已经锁定了,在这里把它取消勾选,也可以解锁该帐户
三.本地策略
1.审核策略
-
审策略将计算机有关安全的操作内容进行审核记录到日志当中,以便于查看错误,进行更改
- 审核的内容可以通过事件查看器进行访问
可以通过win+r 输入eventvwr进行查看,或者右击计算机,点击管理进行查看
2.用户权限的分配
1.添加用户
以更改系统时间为例
打开本地安全策略>更改系统时间>添加用户或组>输入你要添加的用户名,点击确定
2.验证结果
除了这几个用户外,其他用户则不能更改系统时间
3.安全选项
对一些系统安全的相关内容进行设置,这里最好不要随意更改
四.本地策略组
1.基本定义
本地策略组是把一些权限放在同一个组,方便管理员用户进行设置
2.本地策略组的简单应用
在Windows Server2016中插入光盘或U盘时,默认情况下系统会自动读取并运行指定的应用
程序,这是系统的自动播放功能。自动播放给用户带来了很多便利,但同时也会带来不少
麻烦,例如,有时候插入光盘仅仅是想查看光盘中的内容,另外,自动播放还存在安全隐患等,那
么如何禁止自动播放功能呢?
- 打开本地策略组
输入gpedit.msc 或者直接在任务栏搜索即可
- 设置一些简单的的应用,关闭自动播放windows组件>自动播放策略>双击自动播放>勾选已启用
- 重启验证
五.总结
- 通过本地策略中的安全选项,可以控制一些和操作系统安全相关的设置,安全选项中的策略。
- 策略设置完成后需要更新策略才能生效。一般可以重启计算机,或者输入以下命令更新策略。