配置本地安全策略

一：本地安全策略概述：

1.概念：

对登陆到计算机上的账号定义一些安全设置，在没有活动目录集中管理的情况下，本地管理员必须为计算机进行设置以确保其安全。

• 主要是对登录到计算机得账户进行一些安全设置
• 主要影响是本地计算机安全设置
• 如设置用户如何设置密码、通过账户策略设置账户安全性、通过锁定账户策略避免他人登陆计算机等就组成了本地安全策略!

2.打开方式 ：

打开服务管理器>工具>本地安全策略

命令打开：

Secpol.msc

 二：账户策略：

1.密码策略：

• 密码必须符合复杂性要求

默认情况Windows server 系统的密码必须符合
不能包含用户的帐户名，不能包含用户姓名中超过两个连续字符的部分

至少有六个字符长

包含以下四类字符中的三类字符:

英文大写字母(A 到 Z)

英文小写字母(a 到 z)

10 个基本数字(0 到 9)

非字母字符(例如 !、$、#、%)

在更改或创建密码时执行复杂性要求。

• 密码长度最小值

0代表可不设密码，此安全设置确定用户帐户密码包含的最少字符数。可以将值设置为介于 1 和 14 个字符之间，或者将字符数设置为 0 以确定不需要密码。

• 密码最长使用期限

代表多少天之后必须更改密码，Windows server默认是42天

• 强制密码历史

大概意思就是最近使用的几个密码都不能被使用，介于 0 个和 24 个之间，0可代表随意使用过去用过的密码

• 用可还原的加密来储存密码

正常设定为禁用，更加安全
 

2.账户锁定策略 ：

• 账户锁定时间

表示账户锁定多久

• 账户锁定阈值

表示输错几次密码之后锁定该账户，就不能再登录

• 重置账户锁定计数器

此设置可以理解为，假如把账户锁定阈值设定为3次，重置账户锁定计数器设置为30分钟之后重置一次，我输错2次密码之后，再输入一次账户就会被锁定，这个时候可以等30分钟之后就会重置，这个时候就又可以输3次密码

此锁定时间必须小于或等于帐户锁定时间

帐户锁定策略对管理员帐户无效。因由于管理员不受账户锁定策略的限制，管理员的用户名又是固定的，这种情况下很容易遭受hack的爆破攻击，从而使服务器沦陷，正常都是将管理员用户隐藏起来，使hack无法找到用户，从而无法爆破

 3.测试：

1.设置密码策略：

2.设置账户锁定策略：3.切换用户并输入密码

4.输入3次错误密码后账户被锁定

三：本地策略：

 本地策略主要涉及是否在安全日志中记录登录用户的操作事件，用户能否交互式登录此计算
机，用户能否从网络上访问此计算机等。本地策略主要包括三部分:审核策略、用户权限分配和安全选项。

1.审核策略：

   建立审核跟踪是系统安全的重要内容。通过设置审核策略可以确定是否将计算机中与安全有关的事件记录到安全日志中。另外，也可以将用户登录成功或者失败的信息记录在日志中，方便以后查看。

  审核策略指定了要审核的安全事件的类别，因此在完成审核之前，必须先确定审核策略。

默认：

  审核策略更改: 成功

  身份验证策略更改: 成功

• 事件查看器：用于浏览和管理事件日志

       打开方式 ：计算机管理>事件查看器>windows日志

2.用户权限分配： 

通过用户权限分配，可以为某些用户和组授予或拒绝一些特殊的权限，如更改系统时间，拒绝本地登录等。

• 常用的权限设置

从网络访问此计算机

更改时区

更改系统时间

关闭系统

拒绝本地登录等

•  测试更改时区：

1.双击更改时区>添加用户或组

2.对象类型添加组

3.输入用户并检查无误确定>应用

4.切换账户，并打开日期和时间

5.点击更改日期和时间

6.更改日期和时间

• 关闭系统属性

3.安全选项：

通过本地策略中的安全选项，可以控制一些和操作系统安全相关的设置，安全选项中的策略。

注意：策略设置完成后需要更新策略才能生效。一般可以重启计算机，或者输入以下命令更新策略

• 关机允许系统在未登录的情况下关闭 

 四：本地用户组策略：

1.本地组策略简介：

        “组策略”是一组策略的集合，是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具，通过使用组策略可以设置各种软件、计算机和用户策略。

2.本地组策略的简单应用：

打开本地组策略编辑器命令：

gpedit.msc