目录
一.本地安全策略概述
1.概念
本地安全策略主要是针对Windows系统中的计算机账户进行本地安全设置。
2.打开方式
2.1通过鼠标点击
点击开始===》服务器管理器===》工具===》本地安全策略
2.2通过代码打开
Win+R输入secpol.msc
2.3通过本地组策略打开
Win+R输入gpedit.msc
二.账户策略
1.密码策略
1.1密码复杂性要求
密码策略下复杂性要求默认是已启用
密码须遵循以下最低要求:
不能包含用户的帐户名,不能包含用户姓名中超过两个连续字符的部分
至少有六个字符长
包含以下四类字符中的三类字符:
英文大写字母(A 到 Z)
英文小写字母(a 到 z)
10 个基本数字(0 到 9)
非字母字符(例如 !、$、#、%)
在更改或创建密码时执行复杂性要求。
1.2密码长度最小值
可以设置密码长度最小值,在安全性高的系统上默认为7
此安全设置确定用户帐户密码包含的最少字符数。可以将值设置为介于 1 和 14 个字符之间,或者将字符数设置为 0 以确定不需要密码。
默认值:
在域控制器上为 7。
在独立服务器上为 0。
1.3密码最短使用期限
用户在更改密码后需要使用该密码时间的一种设置
此安全设置确定在用户更改某个密码之前必须使用该密码一段时间(以天为单位)。可以设置一个介于 1 和 998 天之间的值,或者将天数设置为 0,允许立即更改密码。
2.账户锁定策略
2.1账户锁定时间
账户进入锁定状态后一直到下一次可以输入密码的间隙时间
2.2账户锁定阈值
登陆账户时输错密码次数的次数上限
2.3重置账户锁定计数器
连续输错密码时间间隔,如果过了设置的时间可输错密码次数将会重置
三.本地策略
1.审核策略
对Windows里面的操作进行审核,记录到Windows日志中。目的是通过日志查看哪些人或程序对我们的操纵系统做了哪些操作,可以做到追踪或者溯源的一个效果。
默认情况下安全设置中设置为无审核
日志可在工具===》事件查看器===》Windows日志中查看。
1.1审核策略更改
此安全设置确定 OS 是否对尝试更改用户权限分配策略、审核策略、帐户策略或信任策略的每一个实例进行审核。
管理员可以指定是仅审核成功、仅审核失败、同时审核成功和失败还是根本不审核这些事件(即既不审核成功也不审核失败)。
如果启用了成功审核,则将在尝试更改用户权限分配策略、审核策略或信任策略成功时生成审核条目。
如果启用了失败审核,则将在无权进行请求的策略更改的帐户尝试更改用户权限分配策略、审核策略或信任策略时生成审核条目。
1.2审核登录事件
此安全设置确定 OS 是否对尝试登录此计算机或从中注销的用户的每个实例进行审核。
在已登录用户帐户的登录会话终止时,将生成注销事件。如果定义此策略设置,则管理员可以指定是仅审核成功、仅审核失败、同时审核成功和失败还是根本不审核这些事件(即既不审核成功也不审核失败)。
2.用户权限分配
管理员用户可自定义子用户计算机程序的权限设置
例如我们用子账户设置系统时间会提示需要输入管理员用户名和密码
将更改系统时间权限设置为everyone
子账户可自由更改系统时间
3.安全选项
这里包含系统安全设置,一般无需更改
四.本地组策略
1.概念
本地组是Windows系统方便管理员控制程序、网络资源及操作系统行为的主要工具
2.本地组策略的基本操作
2.1打开方式
Win+R输入gpedit.msc
2.2基本应用
案例:提高计算机的安全性,禁用光驱的自动播放功能,由于是虚拟机,仅示图参考
打开计算机配置===》管理模块===》Windows组件===》自动播放策略
勾选已启用即可关闭自动播放
五.总结
本地安全策略是Windows系统中不可或缺的重要组成部分,也是保护计算机安全便于用户设置权限的重要功能。