005 本地安全策略

一、本地安全策略

1、概念

• 主要是对登录计算机的账户进行一些安全设置
• 主要影响是本地计算机安全设置

2、打开方式

• 开始菜单->管理工具->本地安全策略
• 使用命令secpol.msc
• 从本地组策略进去，使用命令gpedit.msc

二、账户策略

1、密码策略（默认情况下Windows Server操作系统开启）

• 密码必须符合复杂性要求（用的最多的）
• 密码长度最小值
• 密码最短使用期限
• 密码最长使用期限
• 强制密码历史
• 用可还原的加密来储存密码（一般禁用）

2、账户锁定策略

账户锁定时间 30分钟、账户锁定阈值 2次、重置账户锁定计数器 10分钟
重置账户锁定计数器时间是小于或等于账户锁定时间的。

由于管理员是不受账户锁定策略的限制，管理员的用户名又是固定的，很容易遭受骇客的爆破攻击，从而使服务器沦陷，用什么办法可以把管理员隐藏起来，从而无法实施爆破。（windows操作系统加固的其中一个环境）

• 账户锁定时间
• 账户锁定阈值
• 重置账户锁定计数器

三、本地策略

1、审核策略

• 审核策略更改
  *v*
  此安全设置确定 OS 是否对尝试更改用户权限分配策略、审核策略、帐户策略或信任策略的每一个实例进行审核。
  主要审核策略是否有更改，比如刚刚对策略进行了一系列更改，就能在审核策略->本地安全设置->设置审核这些操作 成功或失败，如果策略对应的安全设置后面是无审核，做的更改策略的这些操作是不会记录下来的。
  *v*
• 审核登录事件
  *v*
  此安全设置确定 OS 是否对尝试登录此计算机或从中注销的用户的每个实例进行审核
  主要是去审核哪些用户登录了，登录成功还是失败，会对登录、注销、账户锁定等进行审核。
  如果有骇客在爆破你的服务器，那我是不是可以在日志服务器里面看到一直不停的有登录而且审核失败，说明有外部人员在爆破我的计算机。
  ?在事件查看器->Windows日志->安全，这里可以看到对子账户登录的审核。
  *v*
• 审核对象访问
  *v*
  此安全设置确定 OS 是否对访问非 Active Directory 对象的用户尝试进行审核。仅当对象已指定了系统访问控制列表(SACL)，并且请求的访问类型(读取、写入或修改)和发出请求的帐户与 SACL 中的设置相匹配时才生成审核。
  管理员可以指定是仅审核成功、仅审核失败、同时审核成功和失败还是根本不审核这些事件(即既不审核成功也不审核失败)。
  *v*
• 审核进程跟踪
  *v*
  此安全设置确定 OS 是否审核与进程相关的事件，例如进程创建、进程终止、句柄复制以及间接对象访问。
  例如：你在这里登录了某个用户进去，开启或终止了某个进程，会审核
  黑客侵入计算机放入一个木马进去，需要一个用户来执行这个木马程序，所以他在电脑上面创建了一个隐藏用户，通过这个隐藏用户来执行这个木马，电脑上生成木马进程，通过审核进程跟踪可以发某个用户启用了某个进程，去追踪这个进程是一个危险的进程，然后去查这个进程是哪个用户创建的，及时把这些没有用的或者隐藏的用户删除掉。
• 审核目录服务访问
  *v*
  是针对目录的，
  此安全设置确定 OS 是否对访问 Active Directory 对象的用户尝试进行审核。仅当对象已指定了系统访问控制列表(SACL)，并且请求的访问类型(读取、写入或修改)和发出请求的帐户与 SACL 中的设置相匹配时才生成审核。
  *v*
• 审核特权使用
  *v*此安全设置确定是否审核执行用户权限的用户的每个实例。*v*
• 审核系统事件
  *v*
  此安全设置确定 OS 是否对以下任何事件进行审核:

  ? ? 尝试更改系统时间
  ? ? 尝试安全启动或关闭系统
  ? ? 尝试加载可扩展身份验证组件
  ? ? 由于审核系统失败而导致已审核事件丢失
  ? ? 安全日志大小超过可配置的警告阈值级别。
  *v*

• 审核账户登录事件
  *v*此安全设置确定 OS 是否在此计算机每次验证帐户凭据时进行审核*v*
• 审核账户管理
  *v*

  此安全设置确定是否审核计算机上的每个帐户管理事件。帐户管理事件示例包括:

  创建、更改或删除用户帐户或组。
  重命名、禁用或启用用户帐户。
  设置或更改密码。
  如果定义此策略设置，可以指定是审核成功、审核失败还是根本不审核事件类型。成功审核在任何帐户管理事件成功时生成审核条目。失败审核在任何帐户管理事件失败时生成审核条目。若要将该值设置为“无审核”，请在此策略设置的“属性”对话框中选中“定义这些策略设置”复选框，然后清除“成功”和“失败”复选框。
  *v*

2、用户权限分配

• 从网络访问计算机
• 更改时区：Administrators 和 LOCAL SERVICE
• 更改系统时间：Administrators 和 LOCAL SERVICE
• 关闭计算机
• 从网络访问计算机
• 拒绝从网络访问计算机
• 远程桌面访问计算机：命令mstsc
• 拒绝远程桌面登录

3、安全选项

• Microsoft 网络服务器
• 关机

  *v*?
  关机: 允许系统在未登录的情况下关闭

  此安全设置确定是否可以在无需登录 Windows 的情况下关闭计算机。

  如果启用了此策略，Windows 登录屏幕上的“关机”命令可用。

  如果禁用了此策略，Windows 登录屏幕上不会显示关闭计算机的选项。在这种情况下，用户必须能够成功登录到计算机并具有关闭系统的用户权限，然后才可以执行系统关闭。

  在工作站上的默认设置: 已启用。
  在服务器上的默认设置: 已禁用。
  *v*?

• 恢复控制台
• 交互式登录
  *v*?
  交互式登录：无须按Ctrl+Alt+Del

  该安全设置确定用户是否需要按 Ctrl+Alt+Del 才能登录。

  如果在计算机上启用此策略，则用户无需按 Ctrl+Alt+Del 便可登录。不必按 Ctrl+Alt+Del 会使用户易于受到企图截获用户密码的攻击。用户登录之前需按 Ctrl+Alt+Del 可确保用户输入其密码时通过信任的路径进行通信。
  *v*?

• 设备
• 审核
• 网络安全
• 网络访问
• 系统加密
• 系统设置
• 用户账户控制
• 域成员
• 域控制器
• 账户

  *v*?
  帐户: 来宾帐户状态
  此安全设置确定是启用还是禁用来宾帐户。
  默认值: 禁用。
  注意: 如果来宾帐户被禁用且安全选项“网络访问: 本地帐户的共享和安全模型”被设置为“仅来宾”，则网络登录(如由 Microsoft 网络服务器(SMB 服务)所执行的网络登录)将失败。
  
  帐户: 使用空密码的本地帐户只允许进行控制台登录
  此安全设置确定未进行密码保护的本地帐户是否可以用于从物理计算机控制台之外的位置登录。如果启用此设置，则未进行密码保护的本地帐户将仅能够通过计算机的键盘登录。
  默认值: 启用。
  *v*?