本地安全策略

user8288612657632
360 阅读12分钟

本地安全策略

背景

  • 为了规避用户账户的不规范操作,导致系统存在安全威胁,系统管理员会对系统进行安全策略配置,限制用户账户操作;

概述

  • 为登录的账户进行安全设置,以保证系统安全;

打开本地安全策略界面

  • win+R打开运行窗口,输入secpol.msc

image-20240229142532246

账户策略

密码策略

  • 密码必须符合复杂性要求。
  1. 密码必须符合复杂性要求。
  2. 此安全设置确定密码是否必须符合复杂性要求。
  3. 如果启用此策略,密码必须符合下列最低要求:
  4. 不能包含用户的帐户名,不能包含用户姓名中超过两个连续字符的部分
  5. 至少有六个字符长
  6. 包含以下四类字符中的三类字符:
  7. 英文大写字母(A 到 Z)
  8. 英文小写字母(a 到 z)
  9. 10 个基本数字(0 到 9)
  10. 非字母字符(例如 !、$、#、%)
  11. 在更改或创建密码时执行复杂性要求。
  12. 默认值:
  13. 在域控制器上启用。
  14. 在独立服务器上禁用。
  15. 注意: 在默认情况下,成员计算机沿用各自域控制器的配置。
  • 最短密码长度。
  1. 最短密码长度
  2. 此安全设置确定了用户帐户密码包含的最少字符数。可以将值设置为介于 1 和 20 个字符之间,或者将字符数设置为 0 ,从而确定不需要密码。
  3. 默认值:
  4. 在域控制器上为 7。
  5. 在独立服务器上为 0。
  6. 注意: 在默认情况下,成员计算机沿用各自域控制器的配置。
  • 密码最短使用期限。
  1. 密码最短使用期限
  2. 此安全设置确定在用户更改某个密码之前必须使用该密码一段时间(以天为单位)。可以设置一个介于 1 和 998 天之间的值,或者将天数设置为 0,允许立即更改密码。
  3. 密码最短使用期限必须小于密码最长使用期限,除非将密码最长使用期限设置为 0,指明密码永不过期。如果将密码最长使用期限设置为 0,则可以将密码最短使用期限设置为介于 0 和 998 之间的任何值。
  4. 如果希望“强制密码历史”有效,则需要将密码最短使用期限设置为大于 0 的值。如果没有设置密码最短使用期限,用户则可以循环选择密码,直到获得期望的旧密码。默认设置没有遵从此建议,以便管理员能够为用户指定密码,然后要求用户在登录时更改管理员定义的密码。如果将密码历史设置为 0,用户将不必选择新密码。因此,默认情况下将“强制密码历史”设置为 1。
  5. 默认值:
  6. 在域控制器上为 1。
  7. 在独立服务器上设置为 0。
  8. 注意: 在默认情况下,成员计算机沿用各自域控制器的配置。
  • 密码最长使用期限。
  1. 密码最长使用期限
  2. 此安全设置确定在系统要求用户更改某个密码之前可以使用该密码的期间(以天为单位)。可以将密码设置为在某些天数(介于 1 到 999 之间)后到期,或者将天数设置为 0,指定密码永不过期。如果密码最长使用期限介于 1 和 999 天之间,密码最短使用期限必须小于密码最长使用期限。如果将密码最长使用期限设置为 0,则可以将密码最短使用期限设置为介于 0 和 998 天之间的任何值。
  3. 注意: 安全最佳操作是将密码设置为 30 到 90 天后过期,具体取决于你的环境。这样,攻击者用来破解用户密码以及访问网络资源的时间将受到限制。
  4. 默认值: 42。
  • 强制密码历史。
  1. 强制密码历史
  2. 此安全设置确定再次使用某个旧密码之前必须与某个用户帐户关联的唯一新密码数。该值必须介于 0 个和 24 个密码之间。
  3. 此策略使管理员能够通过确保旧密码不被连续重新使用来增强安全性。
  4. 默认值:
  5. 在域控制器上为 24。
  6. 在独立服务器上为 0。
  7. 注意: 在默认情况下,成员计算机沿用各自域控制器的配置。
  8. 若要维护密码历史的有效性,还要同时启用密码最短使用期限安全策略设置,不允许在密码更改之后立即再次更改密码。有关密码最短使用期限安全策略设置的信息,请参阅“密码最短使用期限”。
  • 用可还原的加密来存储密码。
  1. 用可还原的加密来储存密码
  2. 此安全设置确定操作系统是否使用可还原的加密来储存密码。
  3. 此策略为某些应用程序提供支持,这些应用程序使用的协议需要用户密码来进行身份验证。使用可还原的加密储存密码与储存纯文本密码在本质上是相同的。因此,除非应用程序需求比保护密码信息更重要,否则绝不要启用此策略。
  4. 通过远程访问或 Internet 身份验证服务(IAS)使用质询握手身份验证协议(CHAP)验证时需要设置此策略。在 Internet 信息服务(IIS)中使用摘要式身份验证时也需要设置此策略。
  5. 默认值: 禁用。

账户锁定策略

  • 账户锁定时间(必须先设阈值策略,且锁定时间必须大于或等于重置时间)。
  1. 帐户锁定时间
  2. 此安全设置确定锁定帐户在自动解锁之前保持锁定的分钟数。可用范围从 0 到 99,999 分钟。如果将帐户锁定时间设置为 0,帐户将一直被锁定直到管理员明确解除对它的锁定。
  3. 如果定义了帐户锁定阈值,则帐户锁定时间必须大于或等于重置时间。
  4. 默认值: 无,因为只有在指定了帐户锁定阈值时,此策略设置才有意义。
  • 账户锁定阈值(错误次数)。
  1. 帐户锁定阈值
  2. 此安全设置确定导致用户帐户被锁定的登录尝试失败的次数。在管理员重置锁定帐户或帐户锁定时间期满之前,无法使用该锁定帐户。可以将登录尝试失败次数设置为介于 0 和 999 之间的值。如果将值设置为 0,则永远不会锁定帐户。
  3. 在使用 Ctrl+Alt+Del 或密码保护的屏幕保护程序锁定的工作站或成员服务器上的密码尝试失败将计作登录尝试失败。
  4. 默认值: 0。
  • 重置帐户锁定计数器(必须先设阈值策略,且重置时间必须小于或等于锁定时间)。
  1. 在此后复位帐户锁定计数器
  2. 此安全设置确定在某次登录尝试失败之后将登录尝试失败计数器重置为 0 次错误登录尝试之前需要的时间。可用范围是 1 到 99,999 分钟。
  3. 如果定义了帐户锁定阈值,此重置时间必须小于或等于帐户锁定时间。
  4. 默认值: 无,因为只有在指定了帐户锁定阈值时,此策略设置才有意义。

本地策略

审核策略

  • 对系统和账户的各类操作进行日志生成配置。
  • 审核策略更改。
  1. 审核策略更改
  2. 此安全设置确定 OS 是否对尝试更改用户权限分配策略、审核策略、帐户策略或信任策略的每一个实例进行审核。
  3. 管理员可以指定是仅审核成功、仅审核失败、同时审核成功和失败还是根本不审核这些事件(即既不审核成功也不审核失败)。
  4. 如果启用了成功审核,则将在尝试更改用户权限分配策略、审核策略或信任策略成功时生成审核条目。
  5. 如果启用了失败审核,则将在无权进行请求的策略更改的帐户尝试更改用户权限分配策略、审核策略或信任策略时生成审核条目。
  6. 默认值:
  7. 审核策略更改: 成功
  8. 身份验证策略更改: 成功
  9. 授权策略更改: 无审核
  10. MPSSVC 规则级别策略更改: 无审核
  11. 筛选平台策略更改: 无审核
  12. 其他策略更改事件: 无审核
  13. 重要信息: 若要获得对审核策略的更多控制,请使用“高级审核策略配置”节点中的设置。有关高级审核策略配置的详细信息,请参阅 https://go.microsoft.com/fwlink/?LinkId=140969。
  • 审核登录事件。
  1. 审核登录事件
  2. 此安全设置确定 OS 是否对尝试登录此计算机或从中注销的用户的每个实例进行审核。
  3. 在已登录用户帐户的登录会话终止时,将生成注销事件。如果定义此策略设置,则管理员可以指定是仅审核成功、仅审核失败、同时审核成功和失败还是根本不审核这些事件(即既不审核成功也不审核失败)。
  4. 客户端版本上的默认值:
  5. 登录: 成功
  6. 注销: 成功
  7. 帐户锁定: 成功
  8. IPsec 主模式: 无审核
  9. IPsec 快速模式: 无审核
  10. IPsec 扩展模式: 无审核
  11. 特殊登录: 成功
  12. 其他登录/注销事件: 无审核
  13. 网络策略服务器: 成功,失败
  14. 服务器版本上的默认值:
  15. 登录: 成功,失败
  16. 注销: 成功
  17. 帐户锁定: 成功
  18. IPsec 主模式: 无审核
  19. IPsec 快速模式: 无审核
  20. IPsec 扩展模式: 无审核
  21. 特殊登录: 成功
  22. 其他登录/注销事件: 无审核
  23. 网络策略服务器: 成功,失败
  • 审核对象访问(系统资源访问,比如:系统程序、文件)。
  1. 审核对象访问
  2. 此安全设置确定 OS 是否对访问非 Active Directory 对象的用户尝试进行审核。仅当对象已指定了系统访问控制列表(SACL),并且请求的访问类型(读取、写入或修改)和发出请求的帐户与 SACL 中的设置相匹配时才生成审核。
  3. 管理员可以指定是仅审核成功、仅审核失败、同时审核成功和失败还是根本不审核这些事件(即既不审核成功也不审核失败)。
  4. 如果启用了成功审核,则每当任何帐户成功访问指定了匹配 SACL 的非 Active Directory 对象时都会生成审核条目。
  5. 如果启用了失败审核,则每当任何用户尝试访问指定了匹配 SACL 的非 Acitve Directory 对象失败时都会生成审核条目。
  6. 请注意,使用文件系统对象“属性”对话框中的“安全性”选项卡,可以在该对象上设置 SACL。
  7. 默认值: 无审核。

用户权限分配

  • 关闭系统
  1. 关闭系统
  2. 此安全设置确定哪些在本地登录到计算机的用户可以使用关机命令关闭操作系统。误用此用户权限会导致拒绝服务。
  3. 工作站上的默认值: Administrators、Backup Operators、Users。
  4. 服务器上的默认值: Administrators、Backup Operators。
  5. 域控制器上的默认值: Administrators、Backup Operators、Server Operators、Print Operators。
  • 拒绝本地登录。
  1. 拒绝本地登录
  2. ``
  3. 此安全设置确定要防止哪些用户在该计算机上登录。如果帐户受制于此策略设置和“允许本地登录”策略设置,则前者会取代后者。
  4. 重要信息
  5. 如果将此安全策略应用到 Everyone 组,则没有人能够在本地登录。
  6. 默认值: 无。

安全选项

  • 不显示上次登录
  1. 交互式登录: 不显示上次登录
  2. 该安全设置确定 Windows 登录屏幕是否将显示上次登录该台电脑的人员的用户名。
  3. 如果启用该策略,将不显示用户名。
  4. 如果禁用该策略,将显示用户名。
  5. 默认: 禁用。
  • 重命名系统管理员账户
  1. 交互式登录: 不显示上次登录
  2. 该安全设置确定 Windows 登录屏幕是否将显示上次登录该台电脑的人员的用户名。
  3. 如果启用该策略,将不显示用户名。
  4. 如果禁用该策略,将显示用户名。
  5. 默认: 禁用。

查看系统日志

  • win+R打开运行窗口,输入eventvwr.msc

image-20240229120718553

数据加密

概念

  • 明文:原始数据,未处理的数据。123456
  • 密文:原始数据经过加密算法生成的字符内容。asd32eqwsd324e32ddsad3

分类

  • 可逆

    • 明文经过加密算法后生成密文,可以通过密文经过解密算法还原为明文。

  • 不可逆

    • 明文经过加密算法后生成密文,不可以通过密文经过解密算法还原为明文。
    • 相同的明文经过加密算法后生成的密文相同,不受时间、地点、人员限制。

更新策略

  • 注销系统,重启;
  • cmd中输入gpupdate
avatar
文章
阅读
粉丝