F89A网络安全【0x0b_T1 windows server 安全策略基础】

windows server本地用户与组

用户概念、账户分类和管理

概念

• 用户的构成=用户名+密码+权限
• 普通用户（普通权限）：只能对文件创建、删除、复制、移动
• 管理员用户（系统管理权限）：更改安全设置与软件安装
• 超级用户（最高权限）：普通用户+管理员权限
• 局域网用户：不能访问因特网，只能访问共享资源
• 虚拟用户（只能在虚拟机）：不能访问物理机资源

账号分类和管理

• SID：用来记录用户的权限的唯一安全标识符

• 用户账号SID构成=windowsID+用户的相对ID

• 相对ID：500是Administrator账号的相对ID，新建一个用户是1000，第二个就是1001.

• 命令：whoami /user(查看当前用户SID)
  

• Administrator：管理员用户 （安全设置：建议改个名称）

• Guest:来宾用户（安全设置：禁止 ，对Guest提权，并超越Administrator权限）

• SYSTEM：本地系统账号。windows核心组件访问文件提供系统权限（权限高）

• Local server:本地服务

• network service:网络服务

• DefaultAccount:windows10防止开机自检阶段出现问题准备的

• WDAGUtilityAccount：微软服务账号
  
  （可以直接在“计算机管理本地用户和组”创建新的用户）

组的概念、组分类和管理

组概念

• 组：用户的集合

组分类和管理

• Administrators:这组都具备系统管理员的权限
• Guests:这组都是来宾组
• Power Users:win server2008 向下兼容的组
• users：新用户的默认组
• everyone:任何用户都是这个组
• Authenticated users:登录计算机的有效用户组
• Interactive：本地登录计算机的组
• Network:通过网络来登陆计算机的用户组
• Backup Operators:具有备份和还原的权限
• Network Configuration Operators：网络管理
• Remote Desktop Users：远程服务管理
• Prinit Operators：打印机管理权限
  
  （可以直接在“计算机管理本地用户和组”创建新的组）

windows server本地安全策略

	进入本地安全策略：secpol.msc
	进入本地组安全策略：gpedit.msc

账号策略

win+R→运行gpedit.msc→本地组策略编辑器→计算机配置→Windows设置→安全设置→账户策略

密码安全策略

• 密码必须符合复杂性要求：杜绝弱口令
  

• 密码长度最小值：一般0-14字符
  

• 密码最短使用期限：0-998天 （0表示密码长期使用的期限）
  

• 强制密码历史：0-24个密码（密码最短使用期限一定要大于0天）
  如果是设置5个密码，第一个密码为admin，后面四个密码不能和第一个一样，但是到了第六个密码就可以是admin,以此类推

• 密码最长使用期限：0-998天，默认是42天，最好操作是30-90天（0表示密码长期使用的期限），必须比密码最短使用期限长

• 放宽最小密码长度的原有限制：默认不超出14天
  
  账号锁定策略
  

• 账号锁定时间：0-99999分钟，此安全设置确定锁定帐户在自动解锁之前保持锁定的分钟数（只有在指定了帐户锁定阈值时，此策略设置才有意义）
  

• 账户锁定阈值：0-999次，此安全设置确定导致用户帐户被锁定的登录尝试失败的次数（触发后才能设置锁定时间和重置账户锁定计数器）
  

• 重置账号锁定计时器：此安全设置确定在某次登录尝试失败之后将登录尝试失败计数器重置为 0 次错误登录尝试之前需要的时
  间。可用范围是 1 到 99,999 分钟
  

• 重置账户锁定计数器一定要小于等于账户锁定时间
  举例: 某公司服务器密码输错三次后锁定30分钟（账户锁定阈值设置3次，账号锁定时间设置30分钟）想要重置账号 （重置账号的意思就是说：对账号密码进行还原，密码忘记找回密码也属于重置）要等20分钟（重置账号锁定计时器：20分钟），这才是合理的方案策略

本地策略

审核策略（追踪溯源，查看谁访问哪些文件，非法入侵等）

• 审核策略更改：确定当对审核策略进行更改时，操作系统是否生成审核事件
  -

• 审核登录事件：确定是审核用户登录到设备还是从设备注销的每个实例
  -

• 审核对象访问：确定 OS 是否对访问非 Active Directory（活动目录） 对象的用户尝试进行审核，仅当对象已指定了系
  统访问控制列表（SACL），并且请求的访问类型（读取、写入或修改）和发出请求的帐户与 SACL 中的
  设置相匹配时才生成审核

• 审核进程跟踪：确定 OS 是否审核与进程相关的事件，例如进程创建、进程终止、句柄复制以及间接对象访问。

• 审核目录服务访问：确定 OS 是否对访问 Active Directory（活动目录）对象的用户尝试进行审核。仅当对象已指定了系统访
  问控制列表(SACL)，并且请求的访问类型(读取、写入或修改)和发出请求的帐户与 SACL 中的设置相匹配
  时才生成审核

• 审核特权使用：确定是否审核执行用户权限的用户的每个实例。
  如果定义此策略设置，可以指定是审核成功、审核失败还是根本不审核此类型的事件。成功审核在用户
  权限执行成功时生成审核条目。失败审核在用户权限执行失败时生成审核条目。

• 审核系统事件：确定 OS 是否对以下任何事件进行审核
  

• 审核账户登录事件：确定 OS 是否在此计算机每次验证帐户凭据时进行审核。

• 审核账号管理：确定是否审核计算机上的每个帐户管理事件

事件查看器（eventvwr.msc，查看windows日志）

用户权限分配

• 从网络访问此计算机：此用户权限确定允许哪些用户和组通过网络连接到计算机。此用户权限不影响远程桌面服务
• 更改时区：该用户权限确定哪些用户和组可以更改计算机用于显示本地时间（计算机的系统时间加上时区偏移）的
  时区。系统时间本身是绝对的，因此不受时区变化的影响。
• 更改系统时间：此用户权限确定哪些用户和组可以更改计算机内部时钟上的日期和时间。分配了此用户权限的用户可以
  影响事件日志的外观。如果已更改了系统时间，则记录的事件将反映此新时间，而不是事件发生的实际
  时间
• 关闭系统：此安全设置确定哪些在本地登录到计算机的用户可以使用关机命令关闭操作系统。误用此用户权限会导
  致拒绝服务。
• 拒绝本地登录：此安全设置确定要防止哪些用户在该计算机上登录。如果帐户受制于此策略设置和“允许本地登录”策略
  设置，则前者会取代后者
• 拒绝通过远程桌面服务登录（mstsc）：此安全设置确定禁止哪些用户和组作为远程桌面服务客户端登录。

安全选项

• 交互式登录：无需按 CTRL+ALT+DEL
  

• 关机：允许系统在未登录的情况下关闭
  

• 账号：来宾账号状态：此安全设置确定是启用还是禁用来宾帐户。

• 网络访问：本地帐户的共享和安全模型
  
  远程

• 远程桌面和远程协助简单理解就是，远程桌面=我能操控你的电脑，但是你看不见我在干啥，

• 而远程协助=我能操控你的电脑，同时还能让你看到我在捣鼓啥。
  -后台开启远程服务——允许防火墙通过——映射IP——远程