这篇文章上次修改于 609 天前，可能其部分内容已经发生变化，如有疑问可询问作者。

本地安全策略

一、本地安全策基本内容

1、概念

• 主要是对登录到计算机的账户进行一些安全设置
• 主要影响是本地计算机安全设置

2、打开方式

• 开始菜单------>管理工具------->本地安全策略
• 使用命令

secpol.msc

• 从本地组策略进去

gpedit.msc

二、账户策略

1、密码策略

• 密码必须符合复杂性要求

  • 默认情况下，Windows server 操作系统是开启

  不能包含用户的账户名，不能包含用户姓名中超过两个连续字符的部分
  至少有六个字符长
  包含以下四类字符中的三类字符：
  英文大写字母（A 到 Z）
  英文小写字母（a 到 z）
  10 个基本数字（0 到 9）
  非字母字符（例如 ！、$ 、# 、 %）

2、账户锁定策略

• 账户锁定时间 30分钟
• 账户锁定阈值3次
• 重置账户锁定计数器时间 60分钟
• 管理员是不受限制的

作业1：由于管理员不受账户锁定策略的限制，管理员的用户名又是固定的，很容易遭受骇客的爆破攻击，从而是服务器沦陷，用什么办法将管理员藏起来，使骇客无法找到管理员用户，从而无法实施爆破（Windows操作系统加固的其中一个环境）

远程桌面命令

mstsc

三、本地策略

1、审核策略

审核策略主要为指定操作是记录成功操作还是记录失败操作亦或是都记录。

• 审核策略更改
• 审核登录事件
• 审核对象访问
• 审核进程跟踪
• 审核目录服务访问
• 审核特权使用
• 审核系统事件
• 神格账户登录事件
• 审核账户管理

2、用户权限分配

用户权限分配模块主要是通过将用户、组添加到指定的策略中来实现用户权限分配。

​ 常用策略：

• 更改系统时间
• 关闭系统
• 拒绝本地登录
• 拒绝从网络访问这台计算机
• 拒绝通过远程桌面服务登录
• 允许本地登录
• 允许通过远程桌面服务登录

3、安全选项

控制一些和操作系统安全相关的设置

常用选项：

• 交互式登录：登陆时不显示用户名
• 交互式登录：试图登陆的用户的消息标题
• 交互式登录：试图登陆的用户的消息文本
• 交互式登录：无须按 Ctrl+Alt+Del

• 网络访问：本地账户的共享和安全模型

  • 经典-对本地用户进行身份验证，不改变其本来身份
  • 仅来宾-对本地用户进行身份验证，其身份为来宾

• 账户：使用空白密码的账户只允许控制台登陆

  • 默认已开启