本地安全策略及其使用培訓講義

1、本地安全策略本地安全策略及其使用及其使用 運行 secpol.msc 可直接進入本地安全策略 “開始” “控制面板” “管理工具” “本地安全設置”如何啟動本地安全策略？如何啟動本地安全策略？本地本地安全策略安全策略帳戶策略帳戶策略公鑰策略公鑰策略密碼策略密碼策略賬戶鎖定策略賬戶鎖定策略正在加密文件系統(tǒng)正在加密文件系統(tǒng)軟件限制策略軟件限制策略本地策略本地策略審核策略審核策略用戶權利指派用戶權利指派安全選項安全選項IP安全策略安全策略，在本地計算機，在本地計算機1、賬戶策略、賬戶策略1.1密碼策略密碼策略1.2賬戶鎖定策略賬戶鎖定策略 作用就是管理員可以把系統(tǒng)中的一些帳戶鎖定，使這些帳戶不能登錄

2、系統(tǒng)，而且還可以來設置鎖定的時間長短。 賬戶鎖定閾值：指用戶輸入幾次錯誤的密碼后，將用戶帳戶鎖定，設置范圍0999之間，默認值為0，代表不鎖定帳戶。 賬戶鎖定時間：指當用戶帳戶被鎖定后，經(jīng)過多長時間就會自動解鎖。設置范圍099999，0代表必須由管理員手動解鎖。 復位賬戶鎖定計數(shù)器：指用戶由于輸入密碼錯誤開始計數(shù)時，計數(shù)器保持的時間，當時間過后，計數(shù)器將復位為0。 比如：帳戶鎖定閾值為5，帳戶鎖定時間設為30，復位帳戶鎖定計數(shù)器設為10，則表示：10分鐘之內，有連續(xù)5次登錄沒有成功，則鎖定該帳戶30分鐘。而如果10分鐘內，只有4次登錄沒有成功，那么10分鐘后，這4次未成功登錄將不計。2、本地策

3、略、本地策略審核策略：是用來設置一些審核系統(tǒng)的內容，如審核登錄帳戶、審核系統(tǒng)事件、審核策略更改等，一般用戶不用進行設置，只要按照默認配置即可。 “安全選項安全選項”：是用來設置一些系統(tǒng)安全方面的策略內容。我們可以在這里設置策略的“啟用”或“停用”。用戶權利指派用戶權利指派：是起到設置系統(tǒng)的策略內容有哪些帳戶可以用的作用的。用戶權利指派控制一些和操作系統(tǒng)安全相關的設置控制一些和操作系統(tǒng)安全相關的設置3.公鑰策略公鑰策略 公鑰策略：可以讓電腦自動向企業(yè)證書頒發(fā)機構提交證書申請并安裝頒發(fā)的證書，這樣有助于電腦能獲得在組織內執(zhí)行公鑰加密操作。4.軟件限制策略軟件限制策略 簡單地說，就是設置哪些軟件可以

4、用，哪些軟件不可以用。 默認情況下是關閉的 如果要設某軟件不可用，可以用右鍵單擊“軟件限制策略”選項并選擇其中的“建立新的策略”選項，接著單擊 “其他規(guī)則” ，并在右框中選擇“新路徑規(guī)則” 選項，接下來單擊 “瀏覽” 來選擇相應程序，最后在安全級別中選擇 “不允許”并單擊 確定 按鈕即可完成。5.IP安全策略安全策略 “IP安全策略”：是起到 IP 地址的安全保護設置作用的，用它可以防止別人ping我們的電腦，而且還可以來關閉一些危險的端口，但是操作起來有一定的難度且麻煩，這里就暫先不講。“本地安全策略” 的妙用 1.禁止枚舉賬號 2.賬戶管理 3.指派本地用戶權利1.禁止枚舉賬號 某些具有黑

5、客行為的蠕蟲病毒可以通過掃描Windows XP系統(tǒng)的指定端口，然后通過共享會話猜測管理員系統(tǒng)密碼，因此，我們需要通過在“本地安全策略”中設置禁止枚舉帳號，從而抵御此類入侵行為 。（啟用 不允許SAM帳戶和共享的匿名枚舉 ，再重命名系統(tǒng)管理員帳戶 ）2.賬戶管理 為了防止入侵者利用漏洞登錄機器，我們要在此設置重命名系統(tǒng)管理員賬戶名稱及禁用來賓賬戶。 （停用 賬戶：來賓賬戶狀態(tài) ； 更改 賬戶：重命名系統(tǒng)管理員賬戶 ）3.指派本地用戶權利 如果你是系統(tǒng)管理員身份，那么就可以指派特定權利給組賬戶或單個用戶賬戶。在“安全設置”中，定位于“本地策略”|“用戶權利指派”，而后在其右側的設置視圖中，可針對其下的各項策略分別進行安全設置 。 例如，若是希望允許某用戶獲得系統(tǒng)中任何可得到的對象的所有權：包括注冊表項、進程和線程以及NTFS文件和文件夾對象等（該策略的默認設置僅為管理員），首先應找到列表中“