一、 本地安全策略概述
本地安全策略影响本地计算机的安全设置
控制面板→管理工具”→本地安全策略
运行secpol.msc命令
本地安全策略主要包含:
帐户策略
本地策略
二、 帐户策略
1、密码策略
1)密码必须符合复杂性需求:、
英文字母大小写、数字、特殊符号四者取其三。
2)密码长度最小值:设置范围0-14,设置为0表示不需要密码。
3)密码最长使用期限:默认42天,设置为0表示密码永不过期,设置范围0和999天之间的值。
4)密码最短使用期限:设置为0表示随时更改密码
5)强制密码历史:最近使用过的密码不允许再使用,设置范0-24,默认0表示随意使用过去使用的密码。
2、 帐户锁定策略
1)账户锁定阈值:输入几次错误密码后,将用户帐户锁定,设置范围0-999,默认为0代表不锁定帐户.
2)帐户锁定时间:帐户锁定多长时间后自动解锁,单位为分钟,设置范围0-99999,0表示必须由管理员手动解锁。
3)重置帐户锁定计数器:用户输入密码错误开始计时,当该时间过后,计数器重置为0。此时间必须小于或等于帐户锁定时间。
注:帐户锁定策略对本地管理员帐户无效。
三、 本地策略
1、 审核策略
2、 用户权限分配
用户权限分配的常用策略:
如关闭系统
更该系统时间
拒绝本地登录(作为服务器的计算机不能让普通用户交互式登录,用户权限分配|双击“允许在本地登录”,删除“Users”)
允许在本地登录
拒绝从网络访问这台计算机(影响客户机访问服务器的本地策略)
3、 安全选项
安全选项常用策略
用户试图登录时消息标题、消息文本
网络访问本地帐户的共享和安全模式(经典和仅来宾)
使用空白密码的本地帐户只允许进行控制台登录
注:运行gpupdate使本地安全策略生效或重启计算机
gpupdate /force强制刷新策略
四、 本地组策略
1、 组策略:一组策略的集合
2、 组策略:包含计算机配置和用户配置
3、 运行gpedit.msc打开本地组策略
4、案例:
1)屏蔽关闭Windows Server 2012关机理由
开始 | 运行 | GPEDIT.MSC
单击计算机配置|管理模板|系统|显示“关闭事件跟踪程序”|选择已禁用|确定
2)删除开始菜单中的关机、重新启动、睡眠及休眠
开始 | 运行 | GPEDIT.MSC
单击用户配置 | 管理模板 | 开始菜单和任务栏 | 双击右边的删除并阻止访问关机、重新启动、睡眠和休眠命令
选择已启用
3)删除浏览器Internet Explorer的因特网选项内的安全与链接选项卡
开始 | 运行 | GPEDIT.MSC
单击用户配置 | 管理模板 | Windows组件 | Internet Explorer | Internet控制面板
双击禁用连接页与禁用安全页
选择已启用
4) 将控制面板内的Windows防火墙隐藏起来
开始 | 运行 | GPEDIT.MSC
单击用户配置 | 管理模板 | 控制面板 | 双击隐藏指定的控制面板项
选择已启用 | 显示 | 添加 Windows 防火墙
五、 域组策略概
一组策略的集合(与组没关系)
用来统一修改系统、设置程序
设置桌面环境
安全设置
自动执行脚本
软件分发
六、 组策略的优点
a) 减小管理成本
只需设置一次,相应的计算机或用户即可应用
b) 减小用户单独配置错误的可能性
c) 可以针对特定对象设置特定的策略
用户
计算机
七、 组策略对象
a) GPO
存储组策略的所有配置信息
AD中的一种特殊对象
b) 默认GPO
默认域策略(Default Domain Policy)
默认域控制器策略(Default Domain Controllers Policy)
3、GPO链接
只能链接到站点、域、OU
八、 组策略编辑器包含:
计算机配置
a) 用户配置
1) 策略
2) 首选项
九、 组策略的简单应用
禁止用户修改桌面背景
1、(打开组策略编辑器)—用户配置—策略—管理模板—控制面板—个性化—双击阻止更改桌面墙纸—已启用—确定
2、开始—运行—gpupdate /force(强制刷新策略)
十、组策略的应用规则
1、策略的继承
默认OU继承域的策略
阻上继承
强制继承