本地安全策略的概述
1.概念
通过设置一系列的规则,影响当前计算机的安全设置,用户登录后会受安全策略的控制,从而保证本地计算机的安全。
2.打开本地安全策略管理控制台
1)图形界面
开始\控制面板\系统和安全\管理工具\本地安全策略
2)命令行
运行窗口----secpol.msc
账户策略
账户策略的作用
作用:通过设置密码策略和账户锁定策略来提高用户的密码安全级别
包含:密码策略和账户锁定策略
密码策略组成与解析
1、密码复杂性要求 (包含4类字符中的三种 大写、小写、数字、特殊符号)
2、密码长度最小值 (如果设为0代表可不设置密码;最大为14)
3、密码最短使用期限(0~998之间;设置为0 代表可随时更改密码)
4、密码最长使用期限 (0~999天之间,默认42天,代表一个密码用42天后必须更改密码;设置为0代表密码永不过期)
5、强制密码历史 (代表最近使用的几次密码不可以被使用;范围0~24;0代表可随意使用过去使用的密码)
6、用可还原的加密存储密码 (一种密码的加密方式,默认设置为禁用,更安全)
账户锁定策略
1、账户锁定阈值 (代表用户连续输错 密码次数等于阈值后该账户被锁定;范围0~999;设置为0代表该账户永不锁定)
2、账户锁定时间 (代表该账户被锁定后,多长时间自动解锁;范围0~99999分钟;设置为代表永远被锁定,只能由管理员手动解锁)(对Administrator不生效)
3、重置账户锁定计数器 (用户在该计数器时间内只要输错次数不到锁定阈值,该账户不被锁定,过此时间后又有相同的输错次数;设置范围小于或等于账户锁定时间)
注意:账户锁定策略对管理员账户完全不生效
本地策略
本地策略组成
1、审核策略
2、用户权限分配
3、安全选项
审核策略
作用:确定是否将计算机与安全有关的事件记录到安全日志中,也可将用户成功或者失败的登录记录在日志中等
事件查看器:用于浏览和管理事件日志
用户权限分配
作用:可以对某些特定的用户和组授予或拒绝一些特殊的权限
常用设置:
1.关闭系统
2.更改系统时间
3.拒绝本地登录
4.拒绝从网络访问这台计算机
5.允许通过远程桌面服务登陆
安全选项
作用:控制一些和操作系统安全相关的设置
常用设置:
1.交互式登陆-登陆时不显示用户名
2.交互式登陆-试图登陆的用户的消息标题
3.交互式登陆-试图登陆的用户的消息文本
4.网络访问-本地账户的共享和安全模型
5.账户-使用空白密码的账户只允许控制台登陆
注意:更新策略的命令 : gpupdate /force (注销----重启)
组策略
概述
一组策略的集合,在工作组环境没有在域环境应用广泛。组策略包含本地安全策略
组策略编辑器
开始----运行----gpedit.msc
组策略内容
1. 计算机配置
2. 用户配置
关闭自动播放策略
计算机配置---管理模板---windows组件----自动播放策略 (关闭自动播放:启用)