Windows Server 2008配置系统安全策略

时间 2019-11-07

标签 windows server 配置系统安全策略栏目 Windows 繁體版

原文原文链接

下面学习Windows Server 2008配置系统安全策略在工做组中的计算机本地安全策略有用户策略，密码策略，密码过时默认42天服务帐户设置成永不过时，账户锁定策略，本地策略，审核策略，计算机记录哪些安全事件最后在域环境中使用组策略配置计算机安全。安全

1.在工做组中的安全策略，打开本地安全策略。服务器

2.打开本地安全策略以后选择密码策略，能够看到有不少的策略，先看第一个密码复杂性要求。网络

3.打开密码必须符合复杂性要求，默认是打开的，咱们在设置密码的时候，不能设置纯数字或者纯字母，必需要有数字加大小写。dom

4.密码长度最小值，这个是设置密码最低小于几位数，默认是0，这里修改成6位，在设置密码的时候必须知足6位，包括数字字母大小写或者特殊符号。学习

5.密码最短使用期限，默认是0天这里设置为30天，在30天不会提示你修改密码，必需要使用30天才能改密码。测试

6.密码最长使用期限，默认是42天，这里修改成60天超过60天以后会提示让你修改密码。命令行

7.强制密码历史，这个选项是你修改密码时不能同样，默认是0，这里设置为3次，修改3次密码以后才能修改回第一次使用的密码。3d

8.打开帐户锁定策略，帐户锁定值默认是0次，能够设置5次超过5次就会把这个帐户锁定，为了防止别人入侵你的电脑，等待半个小时以后就会自动解锁，或者联系管理员自动解锁。对象

9.帐号锁定时间，默认是30分钟自动解锁，也能够本身修改，这里修改成3分钟自动解锁。blog

10.如今lisi这个用户输错五次密码，就算输入正确的密码，提示帐户已锁定，没法登陆。

11.打开服务器管理器，选择本地用户和组，能够查看lisi这个用户，输错5次密码以后帐户已锁定，管理员能够手动把这个勾去掉，而后肯定就能登入了，或者lisi这个用户等待3分钟以后帐户会自动解锁。

12.打开本地策略，选择审核登陆事件，默认是无审核，这里我勾选成功跟失败，而后肯定。

13.打开事件查看器，选择安全把里面的事件先所有删除，而后使用lisi远程登陆到这台计算机。

14.清除完以后，使用lisi这个用户远程登入到这台电脑，第一次我密码输入错了，会有一个审核失败，而后输入正确密码，显示审核成功，打开一个审核成功，登陆的事件。

15.双击打开以后，能够查看用户名，任务类别是登陆，是审核成功。

16.打开审核对象访问，而后咱们勾先失败，点击肯定，而后在C盘建立一个李四文件夹，拒绝李四这个用户访问。

17.在C盘建立一个李四文件夹，而后右键属性选择安全，点击高级打开审核把lisi这个用户添加进去，而后选择失败，而后肯定。

18.而后点击添加，把lisi这个用户添加进来，lisi这个用户的权限都是拒绝，使用lisi远程登陆这台电脑，访问C盘下面的李四文件夹。

19.如今lisi这个用户远程登陆到这台电脑，而后打开C盘李四这个文件夹，提示拒绝访问。

20.打开事件查看器，能够看到审核失败，随便打开一个，能够看到帐户名是lisi这个用户，访问对象是C盘根目录下面的李四文件夹，任务类型是文件系统，关键字是审核失败，谁登陆过这台电脑，作了什么操做，在事件里面都有记录信息。

21.用户权限分配，这里选择从网络访问此计算机，打开以后能看到那些用户能够经过网络访问这台电脑。

22.从远程系统强制关机，默认只有管理员administrator，使用lisi这个用户远程登陆测试。

23.如今使用lisi这个用户远程登陆到这台电脑，想强制关机能够看到是灰色的，没有权限，使用管理员在用户权限分配里面把lisi这个用户添加进去。

24.如今管理员把lisi这个用户添加到从远程系统强制关机，而后把关闭系统也添加一下。

25.把关闭系统，也添加一下lisi这个用户，而后进行测试。

26.如今lisi再次远程登陆这台计算机，能够查看已经有权限重启电脑跟关闭计算机了。

27.拒绝本地登入，如今把lisi这个用户添加进去，而后点击切换用户，使用lisi这个用户登陆到这台计算机。

28.如今就没有lisi这个用户了，只有一个本地管理员用户。

29.如今把lisi从拒绝本地登入删除，而后再试一次。

30.如今管理员跟lisi这个用户都能登陆到这台电脑。

31.安全选项，这里选择不显示最后的用户名，默认是禁言这里选择启动，而后肯定。

32.打开用户登陆以前的消息标题，还有消息文本。

33.登陆的用户信息文本，而后点击肯定，进行切换用户测试。

34.在用户登陆以前，会提示你不要随便删除里面的资料。

35.启用了不显示最后的用户名，就是这样什么都不显示，不知道以前登陆的是哪一个用户，这样也比较安全。

36.软件限制策略，打开其余规则右键新建哈希规则，如今是可以打开记事本的，新建一个规则不容许打开记事本。

37.打开记事本而后右键，复制目标而后打开浏览，粘贴进去点击肯定，会自动算出哈希值，安全级别选择不容许，而后肯定。

38.右键在建立一个路径规则，不容许C盘下面lisi文件夹里面的应用程序容许，而后肯定须要重启电脑才能生效。

39.重启电脑以后记事本已经打不开了，提示被组策略阻止。

40.选择打开C盘里面的李四文件夹，里面有两个应用程序，双击打开提示此程序被组策略阻止，没法打开。

41.使用组策略，管理下面的计算机，打开活动目录，销售部有一台FTPServer计算机，如今使用组策略来管理他。

42.打开组策略管理，选择销售部而后右键在这个域中建立GPO，而后点击编辑。

43.打开编辑，这里面的策略比本地的多。

44.打开FTPServer计算机本地策略，能够看到密码策略里面的策略是不能修改的，使用的是域组策略。

45.在Server服务器上面修改密码策略，最短要求两位，添加右键受限制的组，添加管理员，在添加domain admins成员肯定。

46.在活动目录修改密码策略为两位，如今FTPServer计算机中查看也只有两位不能修改，如今建立一个用户为xiaoli，密码知足三位加大小写就能够建立成功。

47.上面使用命令行建立了一个xiaoli用户，如今把他添加到管理员组。

48.添加到管理员组，刷新一下策略或者重启一下电脑xiaoli这个用户就会自动从管理员组里面删除。

49.刷新成功以后，xiaoli这个用户就没有管理员权限了，是由于在Server服务器配置了受限制的组。