本地安全策略

本地安全策略及其使用•运行secpol.msc可直接进入本地安全策略•“开始”“控制面板”“管理工具”“本地安全设置”如何启动本地安全策略？本地安全策略帐户策略公钥策略密码策略账户锁定策略正在加密文件系统软件限制策略本地策略审核策略用户权利指派安全选项IP安全策略，在本地计算机1、账户策略1.1密码策略主要作用是对系统登录密码的一些安全进行相应的设置。1.2账户锁定策略作用就是管理员可以把系统中的一些帐户锁定，使这些帐户不能登录系统，而且还可以来设置锁定的时间长短。•账户锁定阈值：指用户输入几次错误的密码后，将用户帐户锁定，设置范围0~999之间，默认值为0，代表不锁定帐户。•账户锁定时间：指当用户帐户被锁定后，经过多长时间就会自动解锁。设置范围0~99999，0代表必须由管理员手动解锁。•复位账户锁定计数器：指用户由于输入密码错误开始计数时，计数器保持的时间，当时间过后，计数器将复位为0。•比如：帐户锁定阈值为5，帐户锁定时间设为30，复位帐户锁定计数器设为10，则表示：10分钟之内，有连续5次登录没有成功，则锁定该帐户30分钟。而如果10分钟内，只有4次登录没有成功，那么10分钟后，这4次未成功登录将不计。2、本地策略审核策略：是用来设置一些审核系统的内容，如审核登录帐户、审核系统事件、审核策略更改等，一般用户不用进行设置，只要按照默认配置即可。“安全选项”：是用来设置一些系统安全方面的策略内容。我们可以在这里设置策略的“启用”或“停用”。用户权利指派：是起到设置系统的策略内容有哪些帐户可以用的作用的。用户权利指派控制一些和操作系统安全相关的设置3.公钥策略•公钥策略：可以让电脑自动向企业证书颁发机构提交证书申请并安装颁发的证书，这样有助于电脑能获得在组织内执行公钥加密操作。4.软件限制策略•简单地说，就是设置哪些软件可以用，哪些软件不可以用。•默认情况下是关闭的•如果要设某软件不可用，可以用右键单击“软件限制策略”选项并选择其中的“建立新的策略”选项，接着单击“其他规则”，并在右框中选择“新路径规则”选项，接下来单击“浏览”来选择相应程序，最后在安全级别中选择“不允许”并单击确定按钮即可完成。5.IP安全策略•“IP安全策略”：是起到IP地址的安全保护设置作用的，用它可以防止别人ping我们的电脑，而且还可以来关闭一些危险的端口，但是操作起来有一定的难度且麻烦，这里就暂先不讲。“本地安全策略”的妙用•1.禁止枚举账号•2.账户管理•3.指派本地用户权利1.禁止枚举账号•某些具有黑客行为的蠕虫病毒可以通过扫描WindowsXP系统的指定端口，然后通过共享会话猜测管理员系统密码，因此，我们需要通过在“本地安全策略”中设置禁止枚举帐号，从而抵御此类入侵行为。（启用不允许SAM帐户和共享的匿名枚举，再重命名系统管理员帐户）2.账户管理•为了防止入侵者利用漏洞登录机器，我们要在此设置重命名系统管理员账户名称及禁用来宾账户。（停用账户：来宾账户状态；更改账户：重命名系统管理员账户）3.指派本地用户权利•如果你是系统管理员身份，那么就可以指派特定权利给组账户或单个用户账户。在“安全设置”中，定位于“本地策略”|“用户权利指派”，而后在其右侧的设置视图中，可针对其下的各项策略分别进行安全设置。•例如，若是希望允许某用户获得系统中任何可得到的对象的所有权：包括注册表项、进程和线程以及NTFS文件和文件夹对象等（该策略的默认设置仅为管理员），首先应找到列表中“取得文件或其他对象的所有权”策略，用鼠标右键单击，在弹出菜单中选择“属性”，在此点击“添加用户或组”按钮，在弹出对话框中输入对象名称，并确认操作即可。谢谢大家