下麵學習Windows Server 2008配置系統安全策略 在工作組中的電腦本地安全策略有 用戶策略,密碼策略,密碼過期預設42天 服務賬戶設置成永不過期,帳戶鎖定策略,本地策略,審核策略,電腦記錄哪些安全事件 最後在域環境中使用組策略配置電腦安全。 1.在工作組中的安全策略,打開本地安全 ...
下麵學習Windows Server 2008配置系統安全策略 在工作組中的電腦本地安全策略有 用戶策略,密碼策略,密碼過期預設42天 服務賬戶設置成永不過期,帳戶鎖定策略,本地策略,審核策略,電腦記錄哪些安全事件 最後在域環境中使用組策略配置電腦安全。
1.在工作組中的安全策略,打開本地安全策略。
2.打開本地安全策略之後選擇密碼策略,可以看到有很多的策略,先看第一個密碼複雜性要求。
3.打開密碼必須符合複雜性要求,預設是打開的,我們在設置密碼的時候,不能設置純數字或者純字母,必須要有數字加大小寫。
4.密碼長度最小值,這個是設置密碼最低小於幾位數,預設是0,這裡修改為6位,在設置密碼的時候必須滿足6位,包括數字字母大小寫或者特殊符號。
5.密碼最短使用期限,預設是0天這裡設置為30天,在30天不會提示你修改密碼,必須要使用30天才能改密碼。
6.密碼最長使用期限,預設是42天,這裡修改為60天超過60天之後會提示讓你修改密碼。
7.強制密碼歷史,這個選項是你修改密碼時不能一樣,預設是0,這裡設置為3次,修改3次密碼之後才能修改回第一次使用的密碼。
8.打開賬戶鎖定策略,賬戶鎖定值預設是0次,可以設置5次超過5次就會把這個賬戶鎖定,為了防止別人入侵你的電腦,等待半個小時之後就會自動解鎖,或者聯繫管理員自動解鎖。
9.賬號鎖定時間,預設是30分鐘自動解鎖,也可以自己修改,這裡修改為3分鐘自動解鎖。
10.現在lisi這個用戶輸錯五次密碼,就算輸入正確的密碼,提示賬戶已鎖定,無法登錄。
11.打開伺服器管理器,選擇本地用戶和組,可以查看lisi這個用戶,輸錯5次密碼之後賬戶已鎖定,管理員可以手動把這個勾去掉,然後確定就能登入了,或者lisi這個用戶等待3分鐘之後賬戶會自動解鎖。
12.打開本地策略,選擇審核登錄事件,預設是無審核,這裡我勾選成功跟失敗,然後確定。
13.打開事件查看器,選擇安全把裡面的事件先全部刪除,然後使用lisi遠程登錄到這台電腦。
14.清除完之後,使用lisi這個用戶遠程登入到這臺電腦,第一次我密碼輸入錯了,會有一個審核失敗,然後輸入正確密碼,顯示審核成功,打開一個審核成功,登錄的事件。
15.雙擊打開之後,可以查看用戶名,任務類別是登錄,是審核成功。
16.打開審核對象訪問,然後我們勾先失敗,點擊確定,然後在C盤創建一個李四文件夾,拒絕李四這個用戶訪問。
17.在C盤創建一個李四文件夾,然後右鍵屬性選擇安全,點擊高級打開審核把lisi這個用戶添加進去,然後選擇失敗,然後確定。
18.然後點擊添加,把lisi這個用戶添加進來,lisi這個用戶的許可權都是拒絕,使用lisi遠程登錄這臺電腦,訪問C盤下麵的李四文件夾。
19.現在lisi這個用戶遠程登錄到這臺電腦,然後打開C盤李四這個文件夾,提示拒絕訪問。
20.打開事件查看器,可以看到審核失敗,隨便打開一個,可以看到賬戶名是lisi這個用戶,訪問對象是C盤根目錄下麵的李四文件夾,任務類型是文件系統,關鍵字是審核失敗,誰登錄過這臺電腦,做了什麼操作,在事件裡面都有記錄信息。
21.用戶許可權分配,這裡選擇從網路訪問此電腦,打開之後能看到那些用戶可以通過網路訪問這臺電腦。
22.從遠程系統強制關機,預設只有管理員administrator,使用lisi這個用戶遠程登錄測試。
23.現在使用lisi這個用戶遠程登錄到這臺電腦,想強制關機可以看到是灰色的,沒有許可權,使用管理員在用戶許可權分配裡面把lisi這個用戶添加進去。
24.現在管理員把lisi這個用戶添加到從遠程系統強制關機,然後把關閉系統也添加一下。
25.把關閉系統,也添加一下lisi這個用戶,然後進行測試。
26.現在lisi再次遠程登錄這台電腦,可以查看已經有許可權重啟電腦跟關閉電腦了。
27.拒絕本地登入,現在把lisi這個用戶添加進去,然後點擊切換用戶,使用lisi這個用戶登錄到這台電腦。
28.現在就沒有lisi這個用戶了,只有一個本地管理員用戶。
29.現在把lisi從拒絕本地登入刪除,然後再試一次。
30.現在管理員跟lisi這個用戶都能登錄到這臺電腦。
31.安全選項,這裡選擇不顯示最後的用戶名,預設是禁言這裡選擇啟動,然後確定。
32.打開用戶登錄之前的消息標題,還有消息文本。
33.登錄的用戶信息文本,然後點擊確定,進行切換用戶測試。
34.在用戶登錄之前,會提示你不要隨便刪除裡面的資料。
35.啟用了不顯示最後的用戶名,就是這樣什麼都不顯示,不知道之前登錄的是哪個用戶,這樣也比較安全。
36.軟體限制策略,打開其他規則右鍵新建哈希規則,現在是能夠打開記事本的,新建一個規則不允許打開記事本。
37.打開記事本然後右鍵,複製目標然後打開瀏覽,粘貼進去點擊確定,會自動算出哈希值,安全級別選擇不允許,然後確定。
38.右鍵在創建一個路徑規則,不允許C盤下麵lisi文件夾裡面的應用程式允許,然後確定需要重啟電腦才能生效。
39.重啟電腦之後記事本已經打不開了,提示被組策略阻止。
40.選擇打開C盤裡面的李四文件夾,裡面有兩個應用程式,雙擊打開提示此程式被組策略阻止,無法打開。
41.使用組策略,管理下麵的電腦,打開活動目錄,銷售部有一臺FTPServer電腦,現在使用組策略來管理他。
42.打開組策略管理,選擇銷售部然後右鍵在這個域中創建GPO,然後點擊編輯。
43.打開編輯,這裡面的策略比本地的多。
44.打開FTPServer電腦本地策略,可以看到密碼策略裡面的策略是不能修改的,使用的是域組策略。
45.在Server伺服器上面修改密碼策略,最短要求兩位,添加右鍵受限制的組,添加管理員,在添加domain admins成員確定。
46.在活動目錄修改密碼策略為兩位,現在FTPServer電腦中查看也只有兩位不能修改,現在創建一個用戶為xiaoli,密碼滿足三位加大小寫就可以創建成功。
47.上面使用命令行創建了一個xiaoli用戶,現在把他添加到管理員組。
48.添加到管理員組,刷新一下策略或者重啟一下電腦xiaoli這個用戶就會自動從管理員組裡面刪除。
49.刷新成功之後,xiaoli這個用戶就沒有管理員許可權了,是因為在Server伺服器配置了受限制的組。
