一、账户策略的配置
(一)、本地安全策略的定义:影响当前计算机的安全设置,用户登录后会受安全策略的控制
(二)、打开本地安全策略管理控制台:
1、图形化: 开始\控制面板\系统和安全\管理工具\本地安全策略
2、命令:secpol.msc
(三)、账户策略
1、作用:通过设置密码策略和账户锁定策略来提高用户的密码安全级别
2、包含:密码策略和账户锁定策略
(四)、密码策略
1、密码复杂性要求 (包含4类字符中的三种)
2、密码长度最小值 (如果设为0代表可不设置密码;最大为14)
3、密码最短使用期限 (0~998之间;设置为0 代表可随时更改密码)(对Administrator不生效)
4、密码最长使用期限 (0~999天之间,默认42天,代表一个密码用42天后必须更改密码;设置为0代表密码永不过期)
5、强制密码历史 (代表最近使用的几次密码不可以被使用;范围0~24;0代表可随意使用过去使用的密码)
6、用可还原的加密存储密码 (一种密码的加密方式,默认设置为禁用,更安全)
(五)、账户锁定策略
1、账户锁定阈值 (代表用户连续输错 密码次数等于阈值后该账户被锁定;范围0~999;设置为0代表该账户永不锁定)
2、账户锁定时间 (代表该账户被锁定后,多长时间自动解锁;范围0~99999分钟;设置为代表永远被锁定,只能由管理员手动解锁)
3、重置账户锁定计数器 (用户在该计数器时间内只要输错次数不到锁定阈值,该账户不被锁定,过此时间后又有相同的输错次数;设置范围小于或等于账户锁定时间)
注意:账户锁定策略对管理员账户完全不生效
二、本地策略
(一)、三部分内容
1、审核策略 2、用户权限分配 3、安全选项
(二)、审核策略
作用:确定是否将计算机与安全有关的事件记录到安全日志中,也可将用户成功或者失败的登录记录在日志中等
事件查看器:用于浏览和管理事件日志
(三)、用户权限分配
作用:可以对某些特定的用户和组授予或拒绝一些特殊的权限
常用设置:
关闭系统
更改系统时间
拒绝本地登录
拒绝从网络访问这台计算机
允许通过远程桌面服务登陆
(三)、安全选项
作用:控制一些和操作系统安全相关的设置
常用设置:
交互式登陆-登陆时不显示用户名
交互式登陆-试图登陆的用户的消息标题
交互式登陆-试图登陆的用户的消息文本
网络访问-本地账户的共享和安全模型
账户-使用空白密码的账户只允许控制台登陆
注意:更新策略的命令 : gpupdate
(四)、本地组策略 (一组策略的集合,在工作组环境没有在域环境应用广泛)
打开管理控制台的命令: gpedit.msc