一、本地安全策略
1、概念
主要对登录到计算机的账户进行一些安全设置,主要影响是本地计算机安全设置
2、打开方式
1)、点击开始菜单-->Windows管理工具--->本地安全策略
2)、使用命令打开
secpol.msc #在Windows运行窗口输入该命令打开本地安全策略
3)、也可以在本地组策略查看(本地组策略包含本地安全策略)
gpedit.msc #在Windows运行窗口输入该命令打开本地组策略
3、账户策略
1)、密码策略
- 密码必须符合复杂性要求:对于Windows server操作系统,默认是启用状态
- 密码长度最小值:在域控制器上为7,在独立服务器上为0
- 密码最短使用期限:密码最短使用时间,默认为0,允许立即更改密码
- 密码最长使用期限:密码最长使用的时间,默认为42,当到期后,系统会自动提醒更改密码
- 强制密码历史:历史上设置的旧密码,不能作为新密码;历史密码数量包含当前所使用的密码
2)、账户锁定策略
管理员不受账户锁定策略的限制
- 账户锁定时间:此安全设置确定锁定帐户在自动解锁之前保持锁定的分钟数,也就是说账户被锁定后,经过账户锁定时间后自动解锁
- 账户锁定阈值:此安全设置确定导致用户帐户被锁定的登录尝试失败的次数,也就是说超过阈值所设定的无效登录次,账户将被锁定
- 重置账户锁定计数器:此安全设置确定账户尝试登入次数被重置的所需时间。如果定义了帐户锁定阈值,此重置时间必须小于或等于帐户锁定时间
4、本地策略
1)、审核策略
审核策略是Windows 2000及以后版本组策略中引入的一个安全机制。它可以用日志形式记录系统中已经被审核的事件,而系统管理员通过生成的日志文件,能轻易发现和跟踪发生在所管理区域内的可疑事件。比如:谁曾经访问过哪个文件、哪些非法程序入侵了你的电脑等。
- 审核策略更改
- 审核登陆事件
- 审核对象访问
- 审核进程跟踪
- 审核系统事件
2)、用户权限分配
- 从网络访问此计算机
- 关闭系统
- 拒绝从网络访问此计算机
- 允许通过远程桌面服务登录
- 拒绝通过远程桌面服务登录
- 拒绝本地登录
- 允许本地登录
3)、安全选项
- 关机:允许系统在未登录的情况下关闭
- 账户:来宾账户状态
- 交互式登录:不显示最后的用户名
- 交互式登录: 无需按 CTRL+ALT+DEL
- 帐户:重命名系统管理员帐户
二、Windows本地组策略
1、基本概念
组策略(Group Policy)是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以设置各种软件、计算机和用户策略。它以Windows中的一个MMC管理单元的形式存在,可以帮助系统管理员针对整个计算机或是特定组策略界面图用户来设置多种配置,包括桌面配置和安全配置,一组策略的集合
2、打开方式
使用命令:
gpedit.msc #在Windows运行窗口输入该命令打开本地组策略
3、本地组策略模块
1)、计算机配置
计算机配置针对本地计算机生效
2)、用户配置
用户配置针对用户生效
4、组策略应用
1)、案例一:隐藏桌面的系统图标
- 打开组策略编辑器,用户配置→管理模板→桌面,找到“隐藏和禁用桌面上的所有项目”,设置为启用,并刷新策略,注销后进行验证
2)、案例二:保护“任务栏”和“开始”菜单
禁止他人更改“任务栏“和“开始”菜单的设置
- 打开组策略编辑器,用户配置→管理模板→任务栏和开始菜单,找到“阻止更改任务栏和开始菜单设置",设置为启用,并刷新策略
3)、案例三:利用组策略保护个人文档隐私
Windows有个高级智能功能,即可以记录你曾经访问过的文件。虽然这个功能可以方便用户再次打开该文件,但出于安全和性能的考虑(例如不想让人知道自己浏览过哪些网页和打开过哪些文件),有时需要屏蔽此功能
- 打开组策略编辑器,用户配置→管理模板→“开始”菜单和任务栏,找到“退出系统时清楚最近打开的文档的历史”和“不保留最近打开文档的历史”,设置为启用
4)、案例四:禁止访问控制面板
- 打开组策略编辑器,用户配置→管理模板→控制面板,找到“禁止访问”控制面板”和PC 设置”
5)、案例五:提高计算机的安全性,禁用光驱的自动播放功能
- 本地组策略→计算机配置一管理模板→Windows组件→自动播放策略→关闭自动播放设置为已启用并调整为所有驱动器
6)、案例六:提高计算机的安全性,配置自动更新策略
- 打开组策略编辑器,计算机配置一管理模板→Windows 更新,找到配置自动更新,设置为启动,并配置自动更新策略
版权归原作者 Naive` 所有, 如有侵权,请联系我们删除。