一.本地安全策略
在Windows Server 2008中,本地安全策略影响本地计算机的安全设置,当用户登录到某台Windows Server 2008的计算机上时,就会受到此计算机的本地安全策略的影响。本地安全策略主要包含账户策略,本地策略和高级安全Windows防火墙。
二.账户策略
账户策略主要分为两个部分:密码策略和账号锁定策略
1.密码策略
密码策略中包括以下几个具体策略:
密码必须符合复杂性要求:密码复杂性要求是指密码中必须包含以下(英文大写字母;英文小写字母;10个基本数字;特殊符号,例如@!$#)四类字符中的三类字符
密码长度最小值:密码的最小字符个数,设置范围0-14,设置为0,表示不要求密码
密码左长使用期限:指密码使用的最长时间,设置范围在0-999,默认为42,设置为0天,表示密码永不过期
密码最短使用期限:此安全设置确定在用户更改某个密码之前至少使用该密码的天数。可以设置一个介于1和998之间的值,或者将天数设置为0,表示可以随时更改密码
强制密码历史:指多少个最近使用过的密码不允许再使用。设置范围在0-24之间,默认值为0,代表可以随时使用过去使用的密码
用可还原的加密来存储密码:指密码的存储方式,是否用可以还原的加密方式存储。默认情况下,存储的密码只有操作系统能够访问,如果某些应用程序需要直接访问某个账户的密码,则必须将此策略启用。此策略的应用会使安全性降低,所以一般不启用
2.账户锁定策略
账户锁定策略是指当用户输入错误密码的次数达到一个设定值时,就将此账户锁定。锁定的账户暂时不能登录,只有等超过指定时间自动解除锁定或由管理员手动解除锁定。账户锁定策略包括下面三个设置:
账户锁定阈值:指用户输入几次错误密码后,将用户账户锁定。设置范围0-999之间,默认值为0,代表不锁定账户
账户锁定时间:指当用户账户被锁定后,多长时间后自动解锁,单位为分钟,设置范围为0-99999,0代表必须由管理员手动解锁
复位账户锁定计数器:指用户输入密码错误开始计数时,计数器保持的时间。但该时间过后,计数器将复位0。如果定义了账户锁定阈值,则该复位时间必须小于或等于账户锁定时间
三.本地策略
本地策略主要涉及是否在安全日志中记录登录用户的操作事件,用户能否交互式登录次计算机,用户能否从网络上访问此计算机等。本地策略主要包括三部分:审核策略;用户权限分配和安全选项
1.审核策略
1)审核策略简介
建立审核跟踪时系统安全的重要内容。通过设置审核策略可以确定是否将计算机中与安全有关的事件记录到安全日志里。另外,也可以将用户登录或者失败的信息记录在日志中,以方便之后查看。审核策略指定了要审核的与安全有关的事件的类别,因此在完成审核之前,必须先确定审核策略
2)审核策略的内容
审核策略更改:确定是否对用户权限分配策略,审核策略或信任策略的更改进行审核
审核登录事件:确定是否审核应用此策略的系统中发生的登录和注销事件
审核对象访问:确定是否审核用户访问某个对象的事件
审核账户登录事件:确定是否审核在这台计算机用于验证账户时,用户登录到其他计算机或者从其他计算机注销的每个实例
审核账户管理:确定是否对计算机上每个账户管理事件进行审核(包括:创建,更改或删除用户账户或组;重命名,禁用或启用用户账户;设置或更改密码)
审核目录服务访问:确定是否对用户访问活动目录服务对象进行审核(对于工作站没有意义)
审核系统事件:确定是否审核用户重新启动,关闭计算机以及对系统安全或安全日志有影响的事件
3)审核策略的配置
审核策略的安全设置选项包括以下几个方面:
成功:请求的操作成功执行时会生成一个审核项
失败:请求的操作失败时会生成一个审核项
无审核:相关操作不会生产审核项
4)事件查看器
事件日志用于记录计算机上发生的事件,事件查看器可用于浏览和管理事件日志。Windows
Server 2008包括以下两个类别的事件日志,Windows日志,应用程序和服务日志。Windows日志包括应用程序日志,安全日志和系统日志,安装程序日志和转发日志。在“事件查看器”中,事件分以下几种级别:
“错误”:重要的问题,如数据丢失或功能丧失
“警告”:虽然不一定重要,但是将来有可能导致问题的事件
“信息”:描述了应用程序,驱动程序或服务成功操作的事件
“审核成功”:任何成功的已审核的安全事件
“审核失败”:任何失败的已审核的安全事件
2.用户权限分配
通过用户权限分配,可以为某些用户和组授予或拒绝一些特殊的权限,常用的用户权限分配的安全策略有:
从网络访问此计算机:默认情况下任何用户都可以从网络访问计算机,可以根据实际需要撤销某用户或某组账户从网络访问计算机的权限
拒绝从网络访问这台计算机:如果某些用户只在本地使用,不允许其通过网络访问此计算机,就可以将此用户加入此策略中
允许在本地登录:次登陆权限确定了可交互式登录到该计算机的用户。要在计算机所连接的键盘上按ctrl+alt+del组合键登录,就需要用户拥有此登录权限。另外,一些能使用户进行登录的服务或管理应用程序可能也需要此登录权限
拒绝本地登录:此安全设置确定阻止哪些用户登录到该计算机。
关闭系统:如果希望普通用户具有关闭计算机的权限,可以将其加入此策略
3.安全选项
通过本地策略中的安全选项,可以控制一些和操作系统安全相关的设置,常用的安全选项策略包括:
关机:允许系统在未登录的情况下关闭
账户:使用空白密码的本地账户只允许进行控制台登录
交互式登录:用户试图登录时消息文字
交互式登录:该安全设置允许在包含“交互式登录:试图登录的用户的消息文本”的窗口的标题栏中显示标题的说明
四.高级安全Windows防火墙
1.它支持双向保护,可以对入站和出站通信进行过滤,并将Windows防火墙功能和Internet协议安全(IPSec)集成到一个控制台中。
2.在Windows Server 2008高级防火墙配置中,通过使用配置规则来响应传入和传出流量,以便确定允许和阻止哪种数据流量。当传入数据包到达计算机时,防火墙检查该数据包,并确定它是否符合防火墙规则中指定标准,如果数据包与规则中的标准相匹配,则防火墙将执行规则中指定的操作,即阻止连接或允许连接;反之,则防火墙将丢弃数据包,并在防火墙日志中创建响应条目。
3.入站规则:明确允许或阻止与规则条件匹配的通信
出站规则:明确允许或拒绝来自规则条件匹配的计算机的通信