该系列为“蜗牛学苑-网络安全”笔记,跟随课程加入自己见解,同时也为项目中碰到一些问题做了解答
大纲
1、本地安全策略基本内容
1.1 概念
-
主要是对登录到计算机的账户进行一些安全设置
-
主要影响的是本地计算机的安全设置
1.2 打开方式
-
方式1
控制面板>系统和安全>管理工具>本地安全策略
-
方式2
在“运行窗口”中使用命令“secpol.msc”
-
方式3
在“运行窗口”中使用命令“gpedit.msc”进入本地组策略(本地组策略里面包含了本地安全策略)
1.3 更新策略
修改策略后需要进行策略更新,使用该命令可以启用刚刚设置好的策略
在“运行窗口”中使用命令“gpupdate /force”
2、账户策略
2.1 密码策略
- 密码必须符合复杂性要求
默认情况下,Windows Server操作系统中,本设置是开启的
此安全设置确定密码是否必须符合复杂性要求。
如果启用此策略,密码必须符合下列最低要求:
不能包含用户的帐户名,不能包含用户姓名中超过两个连续字符的部分
至少有6个字符长
包含以下四类字符中的三类字符:
英文大写字母(A 到 Z)
英文小写字母(a 到 z)
10 个基本数字(0 到 9)
非字母字符(例如 !、$、#、%)
在更改或创建密码时执行复杂性要求。
- 密码长度最小值
最短密码长度
此安全设置确定用户帐户密码包含的最少字符数。
可以将值设置为介于 1 和 14 个字符之间,或者将字符数设置为 0 以确定不需要密码。
默认值:
在域控制器上为 7。
在独立服务器上为 0。
注意: 在默认情况下,成员计算机沿用各自域控制器的配置。
- 密码最短使用期限
此安全设置确定在用户更改某个密码之前必须使用该密码一段时间(以天为单位)。(密码最短使用期限内不允许修改密码)
可以设置一个介于 1 和 998 天之间的值
将天数设置为 0,表示允许立即更改密码
如果 密码最长使用期限 介于 1 和 999 天之间,密码最短使用期限 必须小于 密码最长使用期限
如果将密码最长使用期限设置为 0,则可以将密码最短使用期限设置为介于 0 和 998 之间的任何值
- 密码最长使用期限
此安全设置确定在系统要求用户更改某个密码之前可以使用该密码的期间(以天为单位)
可以将密码设置为在某些天数(介于 1 到 999 之间)后到期
如果将天数设置为 0,指定密码永不过期
如果 密码最长使用期限 介于 1 和 999 天之间,密码最短使用期限 必须小于 密码最长使用期限
如果将密码最长使用期限设置为 0,则可以将密码最短使用期限设置为介于 0 和 998 天之间的任何值
- 强制密码历史
历史上设置过的密码,不能再设置为新密码,数量为保留历史密码数,默认值为0,不保留历史密码。
- 用可还原的加密来储存密码
此安全设置确定操作系统是否使用可还原的加密来储存密码
除非 应用程序需求 比保护密码信息更重要,否则绝不要启用此策略
2.2 账户锁定策略
- 账户锁定时间
此安全设置确定锁定帐户在自动解锁之前保持锁定的分钟数
通俗含义为:输入密码错误达到一定次数后,导致账户锁定,锁定时长到达一定时间,账户解除锁定,这里的“锁定时长”就是“账户锁定时间”
默认情况下,不能单独定义,需要触发,比如通过设置开启“账户锁定阈值”触发
- 账户锁定阈值
此安全设置确定导致用户帐户被锁定的登录尝试失败的次数
通俗含义为:密码输入错误达X次,账户就进行锁定,这里的“X次”就是“账户锁定阈值”
开启“账户锁定阈值”后,“账户锁定时间”、“重置账户锁定计数器”会自动开启
- 重置账户锁定计数器
此安全设置确定在某次登录尝试失败之后将登录尝试失败计数器重置为 0 需要的时间。
通俗含义:比如“账户锁定阈值”设置为3(密码错3次锁定),“重置账户锁定计数器”为30分钟,“账户锁定时间”为1年,当输入密码错误达到2时
(登录尝试失败计数器为2,再错1次,账号锁定1年),等待30分钟后,登录尝试失败计数器重置为0
默认情况下,不能单独定义,需要触发,比如通过设置开启“账户锁定阈值”触发
特性1、重置账户锁定计数器时间必须小于或等于帐户锁定时间
- 举例
- 账户锁定时间:1年
- 账户锁定阈值:3次
- 重置账户锁定计数器时间:60分钟
特性2、账户锁定策略:管理员不受限制,永远不会被锁。
如何解锁已锁定账户
# 登录管理员账户
# 此电脑,右键>管理>本地用户和组>用户>找到对应账户,右键属性>取消勾选“账户已锁定”
作业:
由于管理员不受账户锁定策略,管理员用户名又是固定,容易遭受黑客采用密码爆破攻击,使服务器沦陷,用什么办法将管理员藏起来,使黑客无法找到管理员账号,从而无法完成爆破。
3、本地策略
3.1 审核策略
什么是审核:
1、每当用户执行了指定的某些操作,审核日志就会记录一个审核项,我就可以在审核日志中查看-这些被审核的操作-中的成功尝试和失败尝试。(故审核可以理解为记录)
2、审核的目的,是为了通过日志来查看,哪些用户或者程序对操作系统做了什么操作,可以做到最终溯源的效果,我们通过查看日志就能轻易发现和跟踪发生在所管理区域内的可疑事件
如何查看审核日志
控制面板>系统和安全>管理工具>事件查看器>Windows日志>安全
什么是审核策略
1、即配置哪些事件和操作会被审核(记录)
3.1.1 审核策略更改
“此安全设置”确定了OS (OS:系统)是否对 > 尝试更改用户权限分配策略、审核策略、帐户策略或信任策略的每一个实例进行审核。
3.1.2 审核登录事件
“此安全设置”确定了OS 是否对 > 尝试登录此计算机或从中注销的用户的每个实例进行审核。
3.1.3 审核对象访问
“此安全设置”确定了OS 是否对 > 访问 “非 Active Directory 对象” (非活动对象)(可简单理解为文件夹、文件)的用户进行审核。
仅当 非活动对象 已指定了系统访问控制列表(SACL),并且 “请求的访问类型” (读取、写入或修改)(具体的操作类型)和发出请求(操作)的帐户与 “ SACL 中的设置” 相匹配时才生成审核。
什么是系统访问控制列表(SACL)
SACL:主要是用于系统审计的,它的内容指定了当特定账户对这个对象执行特定操作时,记录到系统日志中。即列举了 哪些用户 的 哪些操作 需要被系统记录。
怎么查看系统访问控制列表(SACL)
文件属性>安全>高级>审核
在该模块也可进行设置
总结:如果启用了成功审核,则当 某用户 对一文件进行 某操作,刚好满足该文件的 SACL 设置时会生成审核条目。
3.1.4 审核进程跟踪
“此安全设置”确定了 OS 是否 > 审核与进程相关的事件,例如进程创建、进程终止、句柄复制以及间接对象访问。
3.1.5 审核目录服务访问
“此安全设置”确定了 OS 是否对 > 访问 Active Directory 对象(活动对象)的用户尝试进行审核。仅当对象已指定了系统访问控制列表(SACL),并且请求的访问类型(读取、写入或修改)和发出请求的帐户与 SACL 中的设置相匹配时才生成审核。
可以审核的更改类型包括用户(或任何安全主体)创建、修改、移动和恢复对象。目录服务审核策略可以在事件中精确记录如下信息:修改前后的值、什么时候修改的、谁修改的、都修改了哪些对象。
3.1.6 审核特权使用
“此安全设置”确定了是否 > 审核执行用户权限的用户的每个实例。
3.1.7 审核系统事件
“此安全设置”确定了 OS 是否对 > 以下任何事件进行审核:
• 尝试更改系统时间
• 尝试安全启动或关闭系统
• 尝试加载可扩展身份验证组件
• 由于审核系统失败而导致已审核事件丢失
• 安全日志大小超过可配置的警告阈值级别。
3.1.8 审核账户登录事件
“此安全设置”确定了 OS 是否 > 在此计算机每次验证帐户凭据时进行审核。
3.1.9 审核账户管理
“此安全设置”确定了是否审核 > 计算机上的每个帐户管理事件。帐户管理事件示例包括:
创建、更改或删除用户帐户或组。
重命名、禁用或启用用户帐户。
设置或更改密码。
3.2 用户权限分配
**含义:给用户分配权限
3.2.1 从网络访问此计算机
此用户权限确定允许哪些用户和组通过网络连接到计算机。此用户权限不影响远程桌面服务。
远程桌面命令:mstsc
3.2.2 拒绝从网络访问此计算机
此安全设置确定要防止哪些用户通过网络访问计算机。如果用户帐户受制于此策略设置和“从网络访问此计算机”策略设置,则前者会取代后者。
(拒绝的权限优先级高,高于3.2.1)
3.2.3 更改时区
该用户权限确定哪些用户和组可以更改计算机用于显示本地时间(计算机的系统时间加上时区偏移)的时区。系统时间本身是绝对的,因此不受时区变化的影响。
3.2.4 更改系统时间
计算机内部时钟上的日期和时间。分配了此用户权限的用户可以影响事件日志的外观。如果已更改了系统时间,则记录的事件将反映此新时间,而不是事件发生的实际时间。
3.2.5 关闭系统
此安全设置确定哪些在本地登录到计算机的用户可以使用关机命令关闭操作系统。误用此用户权限会导致拒绝服务。
3.2.6 允许本地登录
确定哪些用户可以登录到该计算机。
3.2.7 拒绝本地登录
此安全设置确定要防止哪些用户在该计算机上登录。如果帐户受制于此策略设置和“允许本地登录”策略设置,则前者会取代后者。
(拒绝的权限优先级高,高于3.2.6)
3.3 安全选项
交互式登录:无需按ctrl +ALT+DEL,即可进行登录操作
关机:允许系统在未登录的情况下关闭
账户:来宾账户状态(默认禁用)
账户:使用空密码的本地账户只允许进行控制台登录
网络访问:本地账户的共享和安全模型
685
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
