配置本地安全策略

网络工程师[BG1Q11011班实验报告]1第六章配置本地安全策略一、实验目的１.熟悉账户策略配置（密码策略和账户锁定策略）２.了解并会配置审核策略３.会给用户配置一些特殊的权限（如：关闭系统）４.开启Telnet,会使用防火墙策略二、实验拓扑无三、实验步骤1）密码策略(设置密码复杂性、最长使用期限和最短使用期限)1.选择“开始”菜单“管理工具”打开“本地安全策略”网络工程师[BG1Q11011班实验报告]22.打开“账户策略”下的“密码策略”选项网络工程师[BG1Q11011班实验报告]33.选择“密码必须符合复杂性要求”根据自己的要求选择启动或禁用(密码复杂性要求是指密码必须符合英文大写、英文小写、十个基本数字、特殊符号，这四项中三项)网络工程师[BG1Q11011班实验报告]44.“密码最长使用期限”系统默认为42天。设置范围为0~99网络工程师[BG1Q11011班实验报告]5如果设置为0，表示密码永不过期网络工程师[BG1Q11011班实验报告]63.“密码最短使用期限”此安全设置确定用户更改某个密码之前至少使用的天数。系统默认为0，也就表示用户可以随时更改。网络工程师[BG1Q11011班实验报告]72）在“本地安全策略”中打开“账户锁定策略”网络工程师[BG1Q11011班实验报告]81.“账户锁定阈值”指用户输入错误密码的次数达到一个值时，就将此账户锁定。系统默认为0，表示不锁定账户网络工程师[BG1Q11011班实验报告]92.将账户锁定阈值可以设置为一个0~99之间的数值，例如：3网络工程师[BG1Q11011班实验报告]10网络工程师[BG1Q11011班实验报告]113.复位账户锁定计数器和账户锁定时间系统默认为30分钟，意思是说30分钟（账户锁定计数器）之内用户输错3次（账户锁定阈值）锁定30分钟（账户锁定时间）网络工程师[BG1Q11011班实验报告]123）本地策略（网络工程师[BG1Q11011班实验报告]131.在“安全选项”中选择“交互式登陆：无需按Ctrl+Alt+Delete”选择“已启用”网络工程师[BG1Q11011班实验报告]142．选择“用户权限分配”中的“关闭系统”网络工程师[BG1Q11011班实验报告]15系统默认administration和backupoperators为可以关闭系统的用户和组网络工程师[BG1Q11011班实验报告]16Administration需要给哪个用户分配关机的权限，将他添加进来就可以了。网络工程师[BG1Q11011班实验报告]173.在“审核策略”网络工程师[BG1Q11011班实验报告]181.选择“审核对象访问”勾选审核所有操作（确定是否访问某个对象如文件、文件夹、注册表项、打印机的事件）○1在桌面建一个文件夹。在文件夹上单击右键“属性”“安全”“高级”“审核”添加需要审核的用户或组网络工程师[BG1Q11011班实验报告]19○2选择之后选择添加审核项目○3对文件夹做一些操作（如：新建文本文档、删除文档）○4在“开始”菜单“控制面板”“事件查看器”中查看审核记录网络工程师[BG1Q11011班实验报告]203）windows高级防火墙设置１.开启Telnet，使用防火墙策略（添加Telnet功能）○1单击“计算机”右键“管理”网络工程师[BG1Q11011班实验报告]21○2在“添加功能”中勾选添加Telnet服务器和Telnet客户端网络工程师[BG1Q11011班实验报告]22○3完成添加之后单击进行“安装”网络工程师[BG1Q11011班实验报告]23○4在“开始”菜单“管理工具”“服务”中开启Telnet服务选择“应用”“启动”“确定”网络工程师[BG1Q11011班实验报告]24○5在“网络和共享中心”中查看是哪种配置文件○6在windows2008高级防火墙中配置公用网络的windows防火墙属性选用“公用配置文件”启用防火墙网络工程师[BG1Q11011班实验报告]25○7查看“入站规则”Telnet服务器是否启用网络工程师[BG1Q11011班实验报告]26○8测试网络连通性，在DOS命令行中使用“Ping”测试网络工程师[BG1Q11011班实验报告]27○9通过Telnet连接windowsserver2008在DOS命令行下输入“TelnetIP地址”结果可以连通网络工程师[BG1Q11011班实验报告]28○10将Telnet服务器阻止连接○11再通过Telnet连接windosserver2008网络工程师[BG1Q11011班实验报告]29结果不能连接结论：1.账户策略可以通过设置密码策略和账户锁定策略来提高账户密码的安全级别（账户锁定策略对本地管理员账户administration无效）２.通过审核策略可以确定是否将计算机与安全有关的事件记录到安全日志里３.通过用户权限分配，可以为某些用户和组授予或拒绝一些特殊权限４.Windowsserver2008中的高级安全windows防火墙它支持双向保护，可以对入站、出站信息进行过滤。网络工程师[BG1Q11011班实验报告]30