本文详细介绍了Windows操作系统中的本地安全策略,包括账户策略(如密码复杂性和锁定机制)、账户锁定策略、审核策略(如登录事件和权限使用)以及用户权限分配,强调了审计日志在防止爆破攻击中的重要性。
一、本地安全策略基本内容
1、概念
-
主要是对于登录到计算机的账户进行一些安全设置
-
主要是影响本地计算机的安全设置
2、打开方式
-
开始菜单>管理工具>本地安全策略
-
使用命令打开
secpol.msc#家庭版是不能打开的-
直接从本地组策略进去(使用命令)
#使用命令
gpedit.msc(因为本地安全策略被包含在本地组策略中,本地组策略>本地计算机策略>计算机配置>Windows配置>安全设置)
二、账户策略
1、密码策略
-
密码必须符合复杂性要求
-
默认情况下,Windows sever操作系统是开启
如果启用此策略,密码必须符合下列最低要求: 不能包含用户的帐户名,不能包含用户姓名中超过两个连续字符的部分 至少有六个字符长 包含以下四类字符中的三类字符: 英文大写字母(A 到 Z) 英文小写字母(a 到 z) 10 个基本数字(0 到 9) 非字母字符(例如 !、$、#、%) 在更改或创建密码时执行复杂性要求。
-
-
密码长度最小值
-
密码最长使用期限
-
强制密码历史
-
用可还原的加密来储存密码
2、账户锁定策略
-
账户锁定时间:默认时间是不能单独定义的,一定需要某个东西去触发它,它的账户才能够锁定,锁定后才会有锁定时间
-
账户锁定阈值:
-
重置账户锁定计数器:不能被定义,需要开启账户锁定阈值
注:假设账户锁定阈值是3,锁定时间就是30分钟,重置账户锁定计数器时间为60分钟;当一个用户输入三次无效登录时,账户就会进入锁定(时间就是30分钟),30分钟之后可以重新登录;当输入两次无效登录时,重置账户锁定计数器等待60分钟后才会重新记录无效登录次数。所以,在设置时,这个账户锁定时间必须大于等于重置账户锁定计数器时间。
例:银行进行取款时,输错密码两次,四个小时后会可以再输三次;输错三次后就会永久锁定,除非去前台进行人工解除锁定。
-
管理员是不受限定的(如果管理员被锁定,表示系统没有管理员,普通用户做的事情太少了)
-
如何解锁已锁定用户
# 登录管理员账户 # 此电脑,右键>管理>本地用户和组>用户>找到对应账户,右键属性>取消勾选“账户已锁定”
-
作业1:
由于管理员不受账户锁定策略的限制,管理员用户名又是固定的,很容易受到骇客的爆破攻击,从而使服务器沦陷;用什么办法将管理员藏起来,使骇客无法找到管理员,从而无法实施爆破(Windows操作系统加固的其中的一个环境)
三、本地策略
1、审核策略
什么是审核?
1、每当用户执行了指定的某些操作,审核日志就会记录一个审核项,我就可以在审核日志中查看-这些被审核的操作-中的成功尝试和失败尝试。(故审核可以理解为记录) 2、审核的目的,是为了通过日志来查看,哪些用户或者程序对操作系统做了什么操作,可以做到最终溯源的效果,我们通过查看日志就能轻易发现和跟踪发生在所管理区域内的可疑事件
-
主要是针对于Windows操作系统里面的一些事件,包括还有一些操作进行审核;审核的目的就是通过我们的日志来查看那些用户或者那些程序对我们操作系统做了那些操作,可以做到追踪、溯源的一个效果。(后面会讲到日志分析)
-
如何查看审核日志
控制面板>系统和安全>管理工具>事件查看器>Windows日志>安全
(如果有骇客再爆破服务器,在日志里就会一直有审核失败的登录;这也就意味着外部人员在爆破我们的计算机)
1.审核策略更改
此安全设置确定 OS 是否对尝试更改用户权限分配策略、审核策略、帐户策略或信任策略的每一个实例进行审核。
2.审核登录事件
此安全设置确定 OS 是否对尝试登录此计算机或从中注销的用户的每个实例进行审核。
3.审核对象访问
此安全设置确定 OS 是否对访问非 Active Directory 对象的用户尝试进行审核。仅当对象已指定了系统访问控制列表(SACL),并且请求的访问类型(读取、写入或修改)和发出请求的帐户与 SACL 中的设置相匹配时才生成审核。
4.审核进程跟踪
此安全设置确定 OS 是否审核与进程相关的事件,例如进程创建、进程终止、句柄复制以及间接对象访问。
5.审核目录服务访问
此安全设置确定 OS 是否对访问 Active Directory 对象的用户尝试进行审核。仅当对象已指定了系统访问控制列表(SACL),并且请求的访问类型(读取、写入或修改)和发出请求的帐户与 SACL 中的设置相匹配时才生成审核。
6.审核权限使用
此安全设置确定是否审核执行用户权限的用户的每个实例。
7.审核系统事件
此安全设置确定 OS 是否对以下任何事件进行审核: • 尝试更改系统时间 • 尝试安全启动或关闭系统 • 尝试加载可扩展身份验证组件 • 由于审核系统失败而导致已审核事件丢失 • 安全日志大小超过可配置的警告阈值级别。
8.审核帐户登录事件
此安全设置确定 OS 是否在此计算机每次验证帐户凭据时进行审核。
9.审核帐户管理
此安全设置确定是否审核计算机上的每个帐户管理事件。帐户管理事件示例包括: 创建、更改或删除用户帐户或组。 重命名、禁用或启用用户帐户。 设置或更改密码。
2、用户权限分配
含义:主要是给我们的用户分配一些权限
常用
1.从网络访问此计算机
此用户权限确定允许哪些用户和组通过网络连接到计算机。此用户权限不影响远程桌面服务。
远程桌面命令:mstsc
2.更改时区(只有管理员组,本地服务)
该用户权限确定哪些用户和组可以更改计算机用于显示本地时间(计算机的系统时间加上时区偏移)的时区。系统时间本身是绝对的,因此不受时区变化的影响。
3.关闭系统(只有管理员组和备份的组)
此安全设置确定哪些在本地登录到计算机的用户可以使用关机命令关闭操作系统。误用此用户权限会导致拒绝服务。
4.拒绝从网络访问此计算机
此安全设置确定要防止哪些用户通过网络访问计算机。如果用户帐户受制于此策略设置和“从网络访问此计算机”策略设置,则前者会取代后者。
5.拒绝通过远程桌面服务登录
此安全设置确定禁止哪些用户和组作为远程桌面
6.允许本地登录
确定哪些用户可以登录到该计算机。
7.拒绝本地登录
此安全设置确定要防止哪些用户在该计算机上登录。如果帐户受制于此策略设置和“允许本地登录”策略设置,则前者会取代后者。 (拒绝的权限优先级高,高于3.2.6)
3、安全选项
交互式登录:无需按ctrl +ALT+DEL,即可进行登录操作 关机:允许系统在未登录的情况下关闭 账户:来宾账户状态(默认禁用) 账户:使用空密码的本地账户只允许进行控制台登录 网络访问:本地账户的共享和安全模型
934
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
