目录

一、本地安全策略基本内容

1.1 概念

1.2 打开方式

二、账户策略

2.1 密码策略

2.2账户锁定策略

三、本地策略

3.1 审核策略（日志配置操作）

3.1.1审核策略更改

3.1.2审核登录事件

3.1.3审核对象访问

3.1.4审核进程跟踪

3.1.5审核目录服务访问

3.1.6审核特权使用

3.1.7审核系统事件

3.1.8审核账户登录事件

3.1.9审核账户管理

3.2 用户权限分配

3.2.1 从网络访问此计算机

3.2.2更改时区

3.2.3更改系统时间

3.2.4关闭系统

3.2.5拒绝通过远程桌面服务登录

3.2.6允许本地登录

四、安全选项

本地安全策略

一、本地安全策略基本内容

1.1 概念

主要是对登录到计算机的账户进行一些安全设置

主要影响的是本地计算机的安全设置

1.2 打开方式

1.开始菜单->Windows管理工具->本地安全策略

2. 使用命令“secpol.msc”

3.使用命令：gpedit.msc

从本地组策略进去（本地组策略里面包含了本地安全策略）

二、账户策略

2.1 密码策略

密码必须符合复杂性要求。

默认情况下Windows Server是开启的

此安全设置确定密码是否必须符合复杂性要求。

如果启用此策略，密码必须符合下列最低要求:

不能包含用户的帐户名，不能包含用户姓名中超过两个连续字符的部分

至少有六个字符长

包含以下四类字符中的三类字符:

英文大写字母(A 到 Z)

英文小写字母(a 到 z)

10 个基本数字(0 到 9)

非字母字符(例如 !、$、#、%)

在更改或创建密码时执行复杂性要求。

密码长度最小值

此安全设置确定了用户帐户密码包含的最少字符数。可以将值设置为介于 1 和 20 个字符之间，或者将字符数设置为 0 ，从而确定不需要密码。默认情况下是0

密码最短使用期限

此安全设置确定在用户更改某个密码之前必须使用该密码一段时间(以天为单位)。可以设置一个介于 1 和 998 天之间的值，或者将天数设置为 0，允许立即更改密码。

密码最长使用期限

此安全设置确定在系统要求用户更改某个密码之前可以使用该密码的期间(以天为单位)。

如果将密码最长使用期限设置为 0 默认设置为42

强制密码历史

历史上设置过的密码，不能再设置为新密码，默认值为0，不保留历史密码。

用可还原的加密来储存密码

除非应用程序需求比保护密码信息更重要，否则绝不要启用此策略。默认禁用

2.2账户锁定策略

帐户锁定时间

默认情况下，不能单独定义，需要触发

帐户锁定阈（yu）值  一定要开启这个设置锁定时间和锁定计数器

此安全设置确定导致用户帐户被锁定的登录尝试失败的次数。在管理员重置锁定帐户或帐户锁定时间期满之前，无法使用该锁定帐户。设置为0 永不锁定

重置帐户锁定计数器 不能单独定义

密码输错后，等待过段时间恢复到最开始，重新计算输错次数，如果定义了帐户锁定阈值，此重置时间必须小于或等于帐户锁定时间。举例：银行卡密码输错3次直接永久锁定，输错2次等待xx小时后，又会重新计算输错次数，又有3次机会。

举例：账户锁定时间：30分钟

      账户锁定阈值：3次

      重置账户锁定计数器：60分钟

如果输错3次，等待30分钟解锁，而输错2次，等60分钟才能有3次机会，不如干脆输错3次等待30分钟又有3次机会，因此锁定时间一定要大于等于重置账户计数器时间。

 账户锁定策略：管理员不受限制，永远不会被锁。

问题：由于管理员不受账户锁定策略，管理员账户固定，黑客采用密码爆破，是服务器沦陷，用什么办法将管理员藏起来，使黑客无法找到管理员账号。无法完成爆破。

三、本地策略

3.1 审核策略（日志配置操作）

对window里面的一些事件和操作进行审核。审核策略可以用日志的形式记录系统中指定被审核的事件，而系统管理员通过查看日志就能轻易发现和跟踪发生在所管理区域内的可疑事件

3.1.1审核策略更改

对尝试更改用户权限分配策略、审核策略、帐户策略或信赖策略的每个实例进行审核。

3.1.2审核登录事件

对尝试登录此计算机或从中注销的用户的每个实例进行审核

3.1.3审核对象访问

确定 OS 是否对访问非活动目录对象的用户尝试进行审核

记录下有哪些用户访问或改动过共享文件夹中的内容

3.1.4审核进程跟踪

审核与进程相关的事件，例如进程创建、进程终止、句柄复制以及间接对象访问

3.1.5审核目录服务访问

可以审核的更改类型包括用户（或任何安全主体）创建、修改、移动和恢复对象。目录服务审核策略可以在事件中精确记录如下信息：修改前后的值、什么时候修改的、谁修改的、都修改了哪些对象。

3.1.6审核特权使用

审核执行用户权限的用户的每个实例。

3.1.7审核系统事件

对以下任何事件进行审核:

尝试更改系统时间

尝试安全启动或关闭系统

尝试加载可扩展身份验证组件

由于审核系统失败而导致已审核事件丢失

安全日志大小超过可配置的警告阈值级别

3.1.8审核账户登录事件

在此计算机每次验证帐户凭据时进行审核

3.1.9审核账户管理

审核计算机上的每个帐户管理事件。帐户管理事件示例包括:

创建、更改或删除用户帐户或组。

重命名、禁用或启用用户帐户。

设置或更改密码。

3.2 用户权限分配

给用户分配一些权限

3.2.1 从网络访问此计算机

此用户权限确定允许哪些用户和组通过网络连接到计算机。此用户权限不影响远程桌面服务

3.2.2更改时区

更改计算机用于显示本地时间（计算机系统时间+时区偏移时间）的时区

系统时间本身是绝对的，因此不受时区变化影响。

3.2.3更改系统时间

更改计算机内部时钟上的日期和时间，如果更改了系统时间，日志记录的时间将是新时间，而不是事件发生的实际时间。

3.2.4关闭系统

确定哪些在本地登录到计算机的用户可以使用关机命令，关闭操作系统

远程桌面命令：mstsc

3.2.5拒绝通过远程桌面服务登录

禁止用户或组作为远程桌面服务客户端登录

3.2.6允许本地登录

确定哪些用户可以登录到计算机

四、安全选项

1. 交互式登录：无需按ctrl +ALT+DEL
2. 关机：允许系统在未登录的情况下关闭
3. 账户：来宾账户状态（默认禁用）
4. 账户：使用空密码的本地账户只允许进行控制台登录
5. 网络访问：本地账户的共享和安全模型

修改策略后需要进行策略更新

Gpupdate