本地安全策略基本内容

概念

对登陆到计算机上的账号定义一些安全设置，在没有活动目录集中管理的情况下，本地管理员必须为计算机进行设置以确保其安全。

• 主要是对登录到计算机得账户进行一些安全设置
• 主要影响是本地计算机安全设置

打开方式

三种方式：

• 开始菜单–>管理工具–>本地安全策略
• 使用命令

secpol.msc

• 从本地组策略进去

gpedit.msc

本地组策略包括本地安全策略，如图：（组策略安的全设置其实就是本地安全策略）

账户策略

密码策略

• 密码必须符合复杂性要求（默认情况下，Windows Server操作系统是开启）

不能包含用户的帐户名，不能包含用户姓名中超过两个连续字符的部分
至少有六个字符长
包含以下四类字符中的三类字符:
    英文大写字母(A 到 Z)
    英文小写字母(a 到 z)
    10 个基本数字(0 到 9)
非字母字符(例如 !、$、#、%)
在更改或创建密码时执行复杂性要求。

• 密码长度最小值

设置密码的长度，默认为0表示不需要密码，设置的区间是1~14。
当开启了复杂性要求，此设置如果小于6将不再有意义。

• 密码最短使用期限

密码最短使用的时间默认为0，允许立即更改密码。

• 密码最长使用期限

密码最长使用的时间默认为42天，当到期后，系统会自动提醒更改密码。

• 强制密码历史

设置确定再次使用某个旧密码之前必须与某个用户帐户关联的唯一新密码数。
该值必须介于 0 个和 24 个密码之间。

账户锁定策略

帐户锁定时间

此安全设置确定锁定帐户在自动解锁之前保持锁定的分钟数。可用范围从 0 到 99,999 分钟。
如果将帐户锁定时间设置为 0，帐户将一直被锁定直到管理员明确解除对它的锁定。
如果定义了帐户锁定阈值，则帐户锁定时间必须大于或等于重置时间。

帐户锁定阈值

此安全设置确定导致用户帐户被锁定的登录尝试失败的次数。
在管理员重置锁定帐户或帐户锁定时间期满之前，无法使用该锁定帐户。
可以将登录尝试失败次数设置为介于 0 和 999 之间的值。如果将值设置为 0，则永远不会锁定帐户。

重置帐户锁定计数器

此安全设置确定在某次登录尝试失败之后将登录尝试失败计数器重置为 0 次错误登录尝试之前需要的时间。
可用范围是 1 到 99,999 分钟。
如果定义了帐户锁定阈值，此重置时间必须小于或等于帐户锁定时间。

注意事项：

• 必须先进行账户锁定阈值设置，才能设置其他的。
• 重置账户锁定计数器指的是在达到锁定阈值前，等待一定时间，恢复锁定次数。
• 账户锁定时间一般要长于重置账户锁定计数器时间，参考银行取款设置。
• 管理员不受限制。

由于管理员不受账户锁定策略的限制，管理员的用户名又是固定的，很容易遭受骇客的爆破攻击，从而使服务器沦陷，用什么办法将管理员藏起来，使骇客无法找到管理员用户，从而无法实施爆破。（Windows加固的其中一个环节 ）

本地策略

审核策略

描述了如何设置应用于审核的各种设置。

本模块还提供了由几个常见任务创建的审核事件示例。每当用户执行了指定的某些操作，审核日志就会记录一个审核项。您可以审核操作中的成功尝试和失败尝试。安全审核对于任何企业系统来说都极其重要，因为只能使用审核日志来说明是否发生了违反安全的事件。如果通过其他某种方式检测到入侵，正确的审核设置所生成的审核日志将包含有关此次入侵的重要信息。

用户权限分配

通过用户权限分配，可以为某些用户和组授予或拒绝一些特殊的权限，如更改系统时间，拒绝本地登录等。

安全选项

通过本地策略中的安全选项，可以控制一些和操作系统安全相关的设置，安全选项中的策略。

注意：策略设置完成后需要更新策略才能生效。一般可以重启计算机，或者输入以下命令更新策略

gpupdate /force  # 强制刷新命令

远程桌面命令

mstsc