第六章 安全策略
一、概述
1.
安全策略是影响计算机上安全性的安全设置的组合。通过“本地安全策略”可以控制:
访问计算机的用户
授权用户使用计算机上的什么资源
是否在事件日志中记录用户或组的操作
2.
分类
本地安全策略,影响本地计算机
域安全策略,影响域中所有计算机
域控制器安全策略,影响域控制器本身
(
当一个域中有多个
DC
时,他们同用一个域控制器
)
3.
每次设置好安全策略后
都要在
cmd
在用
gpupdate /force
刷新
二、本地安全策略
1.
进入方法①开始→程序→管理工具→本地安全策略
②
secpol.msc
2.
帐号策略
1
)密码策略
①复杂性:必须包含大写字母、小写字母、数字、符号
4
种中的三种
②长度:设置范围
0-14 0
时表示可以不需要密码
③密码最长使用期限:
0-999
天
默认
42
天
0
时表示永不过期
④密码最短使用期限:密码应用后多少天可以改
0-998
默认
0
表示随时可改
设置必须小于最长使用期限
⑤强制密码历史:指多少个最近使用的密码不允许使用,
0-24
天
默认
0
⑥用可还原的加盟来存储密码:决定其他程序能否访问
SAM
文件,一般禁止
2
)帐户锁定策略
①账户锁定阈值:指用户输入几次错误密码后锁定该账户
0-999
默认
0
不锁定
②账户锁定时间:当用户账户锁定后多少分钟自动解锁
0-99999 0
表示管理员手动解锁
③复位账户锁定计数器
账户锁定策略对管理员账户
Administrator
无效
3.
本地策略
1
)审核策略:是否将计算机中关于安全的事件记录到安全日志中(登陆、对象访问)
2
)用户权限分配:为一些用户和族授予或拒绝一些特殊的权限(本地登录、通过网络访问)
3
)安全选项(不显示登录名)
三、域控制器安全策略
1.
域安全策略,影响域中所有计算机
2.
新增
Kerberos
策略(域用户)
四、域安全策略
1.
域控制器安全策略,影响域控制器本身
(
当一个域中有多个
DC
时,他们同用一个域控制器
)
2.
可以修改“帐户策略”、“本地策略”
五、
3
种安全策略的关系
1.
本地安全策略,影响本地计算机
域安全策略,影响域中所有计算机
域控制器安全策略,影响域控制器本身
(
当一个域中有多个
DC
时,他们同用一个域控制器
)
2.
当
3
种策略冲突时的生效的策略
1
)成员计算机和域的设置冲突时,域安全策略生效
2
)域控制器和域的设置冲突时,域控制器安全策略生效
六、配置对象访问审核
1.
启用审核策略(成功、失败)
2.
设置需要审核的文件或文件夹的审核项目(读取、写入)
3.
在事件查看器
--
安全事件中查看
(
有三种日志
)
1)
应用程序日志:包含应用程序或系统程序记录的事件
2
)安全性日志:如有效和无效登录,以及记录与资源使用相关的时间,如创建、打开、删除文件夹或其他对象
3
)系统日志:含
windows
系统组件记录事件。
4
)如果按了其他服务,可能会增加其他日志
5
)几种事件类型:①错误
:
红色
②警告:黄色
③信息:白色
④成功审核:钥匙
⑤失败审核:锁
4.
审核服务器中的文件夹的完整步骤:
1
)启动域或本机的审核策略中的审核对象访问策略,并刷新
2
)在文件夹的
安全→高级→审核添加要审核的账户及其审核的项目,
并把“允许父项的继承审核项目。。。。”和“用在此显示的那些。。。”两项都勾选上
3
)用账户访问
4
)用事件查看器查看