Windows本地安全策略

文章目录

• 0x01 本地安全策略概述
• • 概念
  • 打开本地安全策略管理控制台
• 0x02 账户策略
• • 密码策略
  • • 1. 密码必须符合复杂性要求
    • 2. 密码长度最小值
    • 3. 密码最短使用期限
    • 4. 密码最长使用期限
    • 5. 强制密码历史
    • 6. 用可还原的加密来存储密码
  • 账户锁定策略
  • • 1. 账户锁定时间
    • 2. 账户锁定阈值
    • 3. 重置账户锁定计数器
• 0x03 本地策略
• • 审核策略
  • 用户权限分配
  • 安全选项

0x01 本地安全策略概述

概念

​ 通过设置一系列的规则，影响当前计算机的安全设置，用户登录后会受安全策略的控制，从而保证本地计算机的安全。

打开本地安全策略管理控制台

1. 图形界面

   

2. 命令界面

   

0x02 账户策略

​ 账户策略通过设置密码策略和账户锁定策略来提高用户的密码安全级别。账户策略主要包含密码策略和账户锁定策略。

密码策略

1. 密码必须符合复杂性要求

• 已启用：新建用户密码复杂性必须满足要求（包含4类字符中的三种 大写、小写、数字、特殊符号）
• 已禁用：对密码复杂性没有要求

2. 密码长度最小值

• 取值范围：0-14
• 0：代表可不设置密码

3. 密码最短使用期限

• 取值范围：0-998
• 0：代表可所示更改密码

4. 密码最长使用期限

• 取值范围：0-999
• 0：代表密码永不过期
• 默认为42天

5. 强制密码历史

• 取值范围：0-24
• 0：代表可随意使用过去使用的密码

6. 用可还原的加密来存储密码

• 已禁用：不在网上存储密码
• 已启用：在网上存储密码

账户锁定策略

1. 账户锁定时间

• 代表该账户被锁定后，多长时间自动解锁
• 范围0~99999分钟
• 设置为代表永远被锁定，只能由管理员手动解锁
• 对管理员无效

2. 账户锁定阈值

• 代表用户连续输错 密码次数等于阈值后该账户被锁定
• 范围0~999
• 设置为0代表该账户永不锁定

3. 重置账户锁定计数器

• 用户在该计数器时间内只要输错次数不到锁定阈值，该账户不被锁定，过此时间后又有相同的输错次数
• 设置范围小于或等于账户锁定时间

0x03 本地策略

​ 本地策略包含审核策略、用户权限分配、安全选项三类。

审核策略

​ 审核策略主要为指定操作是记录成功操作还是记录失败操作亦或是都记录。

• 审核策略更改
• 审核登录事件
• 审核对象访问
• 审核进程跟踪
• 审核目录服务访问
• 审核特权使用
• 审核系统事件
• 神格账户登录事件
• 审核账户管理

用户权限分配

​ 用户权限分配模块主要是通过将用户、组添加到指定的策略中来实现用户权限分配。

常用策略：

• 更改系统时间
• 关闭系统
• 拒绝本地登录
• 拒绝从网络访问这台计算机
• 拒绝通过远程桌面服务登录
• 允许本地登录
• 允许通过远程桌面服务登录

安全选项

​ 控制一些和操作系统安全相关的设置

常用选项：

• 交互式登录：登陆时不显示用户名
• 交互式登录：试图登陆的用户的消息标题
• 交互式登录：试图登陆的用户的消息文本
• 交互式登录：无须按 Ctrl+Alt+Del
• 网络访问：本地账户的共享和安全模型
  • 经典-对本地用户进行身份验证，不改变其本来身份
  • 仅来宾-对本地用户进行身份验证，其身份为来宾
• 账户：使用空白密码的账户只允许控制台登陆
  • 默认已开启