本地安全策略设置

Win 2003 Server 服务器安全设置（七）服务器安全设置之--本地安全策略设置
安全策略自动更新命令：GPUpdate /force (应用组策略自动生效不需重新启动) 开始菜单—>管理工具—>本地安全策略
A、本地策略——>审核策略
审核策略更改成功失败
审核登录事件成功失败
审核对象访问失败
审核过程跟踪无审核
审核目录服务访问失败
审核特权使用失败
审核系统事件成功失败
审核账户登录事件成功失败
审核账户管理成功失败
B、本地策略——>用户权限分配
关闭系统：只有Administrators组、其它全部删除。

通过终端服务拒绝登陆：加入Guests、User组
通过终端服务允许登陆：只加入Administrators组，其他全部删除
C、本地策略——>安全选项
交互式登陆：不显示上次的用户名启用
网络访问：不允许SAM帐户和共享的匿名枚举启用
网络访问：不允许为网络身份验证储存凭证启用
网络访问：可匿名访问的共享全部删除
网络访问：可匿名访问的命全部删除
网络访问：可远程访问的注册表路径全部删除
网络访问：可远程访问的注册表路径和子路径全部删除
帐户：重命名来宾帐户重命名一个帐户
帐户：重命名系统管理员帐户重命名一个帐户。

第六章配置本地安全策略一、实验目的１.熟悉账户策略配置（密码策略和账户锁定策略）２.了解并会配置审核策略３.会给用户配置一些特殊的权限（如：关闭系统）４.开启Telnet,会使用防火墙策略二、实验拓扑无三、实验步骤1）密码策略(设置密码复杂性、最长使用期限和最短使用期限)1.选择“开始”菜单“管理工具”打开“本地安全策略”2.打开“账户策略”下的“密码策略”选项3.选择“密码必须符合复杂性要求”根据自己的要求选择启动或禁用(密码复杂性要求是指密码必须符合英文大写、英文小写、十个基本数字、特殊符号，这四项中三项)4.“密码最长使用期限”系统默认为42天。

设置范围为0~99如果设置为0，表示密码永不过期3.“密码最短使用期限”此安全设置确定用户更改某个密码之前至少使用的天数。

系统默认为0，也就表示用户可以随时更改。

2）在“本地安全策略”中打开“账户锁定策略”值时，就将此账户锁定。

系统默认为0，表示不锁定账户2.将账户锁定阈值可以设置为一个0~99之间的数值，例如：33.复位账户锁定计数器和账户锁定时间系统默认为30分钟，意思是说30分钟（账户锁定计数器）之内用户输错3次（账户锁定阈值）锁定30分钟（账户锁定时间）3）本地策略（1.在“安全选项”中选择“交互式登陆：无需按Ctrl+Alt+Delete”选择“已启用”2．选择“用户权限分配”中的“关闭系统”统的用户和组Administration需要给哪个用户分配关机的权限，将他添加进来就可以了。

3.在“审核策略”1.选择“审核对象访问”勾选审核所有操作（确定是否访问某个对象如文件、文件夹、注册表项、打印机的事件）○1在桌面建一个文件夹。

在文件夹上单击右键“属性”“安全”“高级”“审核”添加需要审核的用户或组○2选择之后选择添加审核项目○3对文件夹做一些操作（如：新建文本文档、删除文档）○4在“开始”菜单“控制面板”“事件查看器”中查看审核记录3）windows 高级防火墙设置１.开启Telnet，使用防火墙策略（添加Telnet功能）○1单击“计算机”右键“管理”○2在“添加功能”中勾选添加Telnet服务器和Telnet客户端○3完成添加之后单击进行“安装”○4在“开始”菜单“管理工具”“服务”中开启Telnet 服务选择“应用”“启动”“确定”○5在“网络和共享中心”中查看是哪种配置文件○6在windows 2008 高级防火墙中配置公用网络的windows 防火墙属性选用“公用配置文件”启用防火墙○7查看“入站规则”Telnet服务器是否启用○8测试网络连通性，在DOS命令行中使用“Ping”测试○9通过Telnet连接windows server2008 在DOS命令行下输入“Telnet IP地址”结果可以连通○10将Telnet服务器阻止连接○11再通过Telnet连接windos server2008结果不能连接结论：1.账户策略可以通过设置密码策略和账户锁定策略来提高账户密码的安全级别（账户锁定策略对本地管理员账户administration无效）２.通过审核策略可以确定是否将计算机与安全有关的事件记录到安全日志里３.通过用户权限分配，可以为某些用户和组授予或拒绝一些特殊权限４.W indows server 2008 中的高级安全windows防火墙它支持双向保护，可以对入站、出站信息进行过滤。

策略安全‎设置DC‎O M: 安‎全描述符定‎义语言(S‎D DL)语‎法中的计算‎机访问限制‎没有定义‎DCOM‎:安全描‎述符定义语‎言(SDD‎L)语法中‎的计算机启‎动限制没‎有定义M‎i cros‎o ft 网‎络服务器:‎当登录时‎间用完时自‎动注销用户‎已启用‎M icro‎s oft ‎网络服务器‎:数字签‎字的通信（‎若客户同意‎）已停用‎Micr‎o soft‎网络服务‎器: 数字‎签字的通信‎（总是）‎已停用M‎i cros‎o ft 网‎络服务器:‎在挂起会‎话之前所需‎的空闲时间‎15 分‎钟Mic‎r osof‎t网络客‎户: 发送‎未加密的密‎码到第三方‎SMB ‎服务器。

‎已停用M‎i cros‎o ft 网‎络客户: ‎数字签字的‎通信（若服‎务器同意）‎已启用‎M icro‎s oft ‎网络客户:‎数字签字‎的通信（总‎是）已停‎用故障恢‎复控制台:‎允许对所‎有驱动器和‎文件夹进行‎软盘复制和‎访问已停‎用故障恢‎复控制台:‎允许自动‎系统管理级‎登录已停‎用关机:‎清理虚拟‎内存页面文‎件已停用‎关机: ‎允许在未登‎录前关机‎已启用交‎互式登录:‎不显示上‎次的用户名‎已停用‎交互式登录‎:不需要‎按 CTR‎L+ALT‎+DEL ‎没有定义‎交互式登录‎:会话锁‎定时显示用‎户信息没‎有定义交‎互式登录:‎可被缓冲‎保存的前次‎登录个数‎(在域控制‎器不可用的‎情况下) ‎10 次登‎录交互式‎登录: 要‎求域控制器‎身份验证以‎脱离工作站‎已停用‎交互式登录‎:要求智‎能卡没有‎定义交互‎式登录: ‎用户试图登‎录时消息标‎题没有定‎义交互式‎登录: 用‎户试图登录‎时消息文字‎交互式‎登录: 在‎密码到期前‎提示用户更‎改密码1‎4天交‎互式登录:‎智能卡移‎除操作无‎操作设备‎:防止用‎户安装打印‎机驱动程序‎已停用‎设备: 未‎签名驱动程‎序的安装操‎作默认继‎续设备‎:允许不‎登录脱离‎已启用设‎备: 允许‎格式化和弹‎出可移动媒‎体Adm‎i nist‎r ator‎s设备:‎只有本地‎登录的用户‎才能访问‎C D-RO‎M已停用‎设备: ‎只有本地登‎录的用户才‎能访问软盘‎已停用‎审计: 对‎备份和还原‎权限的使用‎进行审计‎已停用审‎计: 对全‎局系统对象‎的访问进行‎审计已停‎用审计:‎如果无法‎纪录安全审‎计则立即关‎闭系统已‎停用网络‎安全: L‎A N Ma‎n ager‎身份验证‎级别发送‎LM &‎NTLM‎响应网‎络安全: ‎L DAP ‎客户签名要‎求协商签‎名网络安‎全: 不要‎在下次更改‎密码时存储‎LAN ‎M anag‎e r 的‎H ash ‎值已停用‎网络安全‎:在超过‎登录时间后‎强制注销‎已停用网‎络安全设置‎:基于‎N TLM ‎S SP(包‎括安全 R‎P C)服务‎器的最小会‎话安全没‎有最小网‎络安全设置‎:基于‎N TLM ‎S SP(包‎括安全 R‎P C)客户‎的最小会话‎安全没有‎最小网络‎访问: 本‎地帐户的共‎享和安全模‎式经典‎-本地用‎户以自己的‎身份验证‎网络访问:‎不允许‎S AM 帐‎户的匿名枚‎举已启用‎网络访问‎:不允许‎SAM ‎帐户和共享‎的匿名枚举‎已停用‎网络访问:‎不允许为‎网络身份验‎证储存凭据‎或 .NE‎T Pas‎s port‎s已停用‎网络访问‎:可匿名‎访问的共享‎COMC‎F G,DF‎S$网络‎访问: 可‎匿名访问的‎命名管道‎C OMNA‎P,COM‎N ODE,‎S QL\Q‎U ERY,‎S POOL‎S S,LL‎S RPC,‎b rows‎e r网络‎访问: 可‎远程访问的‎注册表路径‎Syst‎e m\Cu‎r rent‎C ontr‎o lSet‎\Cont‎r ol\P‎r oduc‎t Opti‎o ns,S‎y stem‎\Curr‎e ntCo‎n trol‎S et\C‎o ntro‎l\Pri‎n t\Pr‎i nter‎s,Sys‎t em\C‎u rren‎t Cont‎r olSe‎t\Con‎t rol\‎S erve‎rApp‎l icat‎i ons,‎S yste‎m\Cur‎r entC‎o ntro‎l Set\‎S ervi‎c es\E‎v entl‎o g,So‎f twar‎e\Mic‎r osof‎t\OLA‎P Ser‎v er,S‎o ftwa‎r e\Mi‎c roso‎f t\Wi‎n dows‎NT\C‎u rren‎t Vers‎i on,S‎y stem‎\Curr‎e ntCo‎n trol‎S et\C‎o ntro‎l\Con‎t entI‎n dex,‎S yste‎m\Cur‎r entC‎o n tro‎l Set\‎C ontr‎o l\Te‎r mina‎l Ser‎v er,S‎y stem‎\Curr‎e ntCo‎n trol‎S et\C‎o ntro‎l\Ter‎m inal‎Serv‎e r\Us‎e rCon‎f ig,S‎y stem‎\Curr‎e ntCo‎n trol‎S et\C‎o ntro‎l\Ter‎m inal‎Serv‎e r\De‎f ault‎U serC‎o nfig‎u rati‎o n网络‎访问: 让‎“每个人”‎权限应用于‎匿名用户‎已停用网‎络访问: ‎允许匿名‎S ID/名‎称转换‎已停用系‎统对象: ‎对非 Wi‎n dows‎子系统不‎要求区分大‎小写已启‎用系统对‎象: 由‎A dmin‎i stra‎t ors ‎组成员所创‎建的对象默‎认所有者‎O bjec‎t cre‎a tor‎系统对象:‎增强内部‎系统对象的‎默认权限‎(例如 S‎y mbol‎i c Li‎n ks) ‎已启用系‎统加密: ‎使用 FI‎P S 兼容‎的算法来加‎密，散列和‎签名已停‎用域成员‎:对安全‎通道数据进‎行数字加密‎(如果可‎能) 已启‎用域成员‎:对安全‎通道数据进‎行数字加密‎或签名 (‎总是) 已‎启用域成‎员: 对安‎全通道数据‎进行数字签‎名 (如果‎可能) 已‎启用域成‎员: 需要‎强 (Wi‎n dows‎2000‎或以上版‎本) 会话‎密钥已停‎用域控制‎器: LD‎A P 服务‎器签名要求‎没有定义‎域控制器‎:禁用更‎改机器帐户‎密码已停‎用域控制‎器: 拒绝‎更改机器帐‎户密码没‎有定义域‎控制器: ‎允许服务器‎操作员计划‎任务没有‎定义域控‎制器: 最‎长机器帐户‎密码寿命‎30 天‎帐户: 管‎理员帐户状‎态已启用‎帐户: ‎来宾帐户状‎态已停用‎帐户: ‎使用空白密‎码的本地帐‎户只允许进‎行控制台登‎录已启用‎帐户: ‎重命名来宾‎帐户Gu‎e st帐‎户: 重命‎名系统管理‎员帐户u‎s er‎。

教程--本地安全策略设置第一篇：了解本地安全策略在信息化时代，互联网已经成为人们工作、学习、生活的必要工具。

但是，与此同时，网络攻击也愈发猖獗。

为了保护计算机安全，防范网络攻击，我们需要学会如何设置本地安全策略。

本地安全策略是指计算机上用来管理安全性的一系列设置。

这些设置可以限制用户拥有的权限，确保只有授权用户才能对计算机进行更改。

本地安全策略分为计算机和用户两种。

计算机安全策略包括密码策略、账户锁定策略和安全选项等。

用户安全策略包括最小密码长度和最短密码使用期限等。

这些设置可以保护计算机不被未经授权的人员访问、操作，防范黑客攻击等威胁。

接下来，我们将介绍如何设置本地安全策略。

第二篇：如何设置本地安全策略1.打开本地安全策略首先，我们需要在Windows系统中打开本地安全策略。

具体方法是：打开“开始菜单”，在搜索栏中输入“secpol.msc”，然后点击“本地安全策略”。

2.设置计算机安全策略在本地安全策略中，我们可以看到“计算机策略”和“用户策略”两个选项。

首先，我们要设置计算机的安全策略。

计算机策略包括安全选项、账户策略和本地策略等。

我们可以具体根据实际情况进行设置。

比如，我们可以选择“安全选项”，然后在右侧窗口中找到“防止访问此计算机网络共享的本地帐户为空的共享”选项，将其设置为“启用”。

3.设置用户安全策略接下来，我们需要设置用户的安全策略。

在本地安全策略中，找到“用户策略”选项。

我们可以选择“密码策略”，然后在右侧窗口中调整密码相关的设置。

例如，最小密码长度、最短密码使用期限、密码必须符合复杂性要求等。

这些设置可以有效提高密码的安全性，防止密码被猜测、劫持。

第三篇：本地安全策略设置的注意事项在设置本地安全策略时，我们需要注意一些关键点，以避免出现问题。

1.谨慎设置权限权限设置是本地安全策略的重中之重。

我们需要谨慎设置，避免给未经授权的人员开放计算机的访问、操作权限。

通常情况下，我们可以将管理员权限授予特定的用户或用户组，控制用户的操作范围。

本地安全策略怎么打开本地安全策略是指在计算机系统中对本地资源进行管理和保护的一种策略，通过设置本地安全策略可以有效地保护计算机系统的安全性。

那么，接下来我们就来看一下如何打开本地安全策略。

首先，我们需要打开计算机的控制面板。

在Windows操作系统中，可以通过点击“开始”菜单，然后选择“控制面板”来打开控制面板界面。

在控制面板界面中，我们可以看到各种系统和安全相关的选项，其中包括“管理工具”选项。

我们需要点击“管理工具”选项，然后在其中找到“本地安全策略”这一项。

点击“本地安全策略”后，会弹出一个新的窗口，这个窗口就是本地安全策略的设置界面。

在这个界面中，我们可以对本地安全策略进行各种设置和配置。

在本地安全策略的设置界面中，我们可以看到左侧是各种安全设置的分类，包括账户政策、密码策略、账户锁定策略、用户权限分配等等。

我们可以根据自己的需求，点击相应的分类，然后在右侧进行具体的设置和配置。

比如，如果我们需要设置密码策略，可以点击左侧的“密码策略”，然后在右侧可以看到包括密码长度、密码复杂性、密码历史等各种设置选项。

我们可以根据实际情况，对这些选项进行设置和调整。

除了密码策略之外，还可以对账户政策进行设置，包括密码最长使用期限、密码最短使用期限、强制密码历史等等。

另外，还可以对用户权限进行分配，包括用户的登录权限、文件和打印机的访问权限等等。

在进行设置和配置时，需要注意的是，一些设置可能会对系统的正常使用产生影响，因此需要根据实际情况进行谨慎调整。

在设置完成后，需要点击“应用”或“确定”按钮，使设置生效。

通过以上步骤，我们就可以打开并进行本地安全策略的设置和配置。

通过合理的设置和配置，可以有效地提高计算机系统的安全性，保护本地资源不受未经授权的访问和使用。

总的来说，本地安全策略的设置和配置对于计算机系统的安全至关重要，希望大家能够认真对待，并根据实际需求进行合理的设置，以保护计算机系统和本地资源的安全。

本地安全策略命令⾏secedit设置本地账户安全策略
我们⽇常运⾏的控制台程序secpol.msc⾥⾯的内容，实质可以通过命令⾏完成，下⾯演⽰通过secedit命令来设置本地账号密码策略，启⽤密码复杂性和强制长度⾄少8位操作办法。

l 新建⽂本⽂档，扩展名为inf，⽐如：gp.inf，内容如下：
[version]
signature="$CHICAGO$"
[System Access]
PasswordComplexity = 0
MinimumPasswordLength = 0
l 执⾏命令导⼊这个配置，让他⽣效
secedit /configure /db C:\WINDOWS\security\Database\custom.sdb /cfg gp.inf
最后的gp.inf，如果你运⾏命令的时候不在他的⽬录下，需要指明全路径；倒数第⼆个参数custom.sdb这个名字随意写，但是扩展名不能变，执⾏完成后，⽴刻⽣效。

如果你不但要改启⽤密码复杂性，还要改其他的很多配置，那么参数的常数详见⽬录：C:\WINDOWS\security\templates，⾥⾯涵盖了所有的配置常数。