本地策略

本地策略（LocalPolicy）2.1.摘要账号策略用于控制登陆过程，要控制用户登录之后的操作，需要使用本地策略。利用本地策略（Localpolicy）可以实现审核，指定用户权利和设置安全选项。（要使用本地策略，首先要把本地计算机策略（LocalComputerPolicy）管理单元添加到MMC中，步骤见本地用户和组（LocalUsersandGroups）管理单元的添加步骤）本地策略有三个子文件夹：审核策略（AuditPolicy）,用户权利策略（UserRightPolicy）,安全选项策略（SecurityOptionsPolicy）2.2.审核策略(AuditPolicy)通过使用审核策略，可以观察用户在干什么，可以审查与用户管理有关的事件，通过跟踪特定事件，可以创建特定任务的历史，如用户的创建以及登陆的成功与失败，还可以标识无权访问的用户访问系统管理任务时造成的安全破坏。定义审核策略时，可以选择审核特定事件的成功或失败，事件成功表示任务顺利完成，任务失败表示任务没有顺利完成。默认情况下，审核并不启用，需要手动配置，配置审核后，可以通过EventViewer工具的Security日志察看审核的结果。策略说明AuditAccountLogonEvents观察用户何时登录，注销和建立网络连接AuditAccountManagement跟踪用户和组账号的创建，删除和管理活动AuditDirectoryServiceAccess跟踪目录服务访问AuditLogonEvents审核与登陆有关的事件，如运行登录脚本或访问漫游配置文件AuditObjectAccess启用对文件，文件夹，打印机访问的审核AuditPolicyChange跟踪审核策略的任何改变AuditPrivilegeUse跟踪能够或不能够定义审核的人员，或者能够或不能够显示审核结果的人员变化AuditProcessTracking跟踪事件，例如激活程序，访问对象，退出程序等AuditSystemEvents跟踪系统事件（如计算机关闭或重新启动等）以及与EventViewer中的Security日志有关的事件2.3.用户权利策略（UserRightPolicies）用户权利策略（UserRightPolicies）确定用户和组队计算机的权利。用户权利被应用到系统，它们不同于权限，权限应用于特定对象。用户权利的一个例子是备份文件和目录（BackUpFilesandDirectories）权利。即使用户没有该文件系统的权限，这个权利也能够使用备份文件和文件夹。其他用户权利也类似，因为它们处理的是系统访问而不是资源访问。权利说明AccessThisComputerfromthenetwork允许用户从网路访问计算机Actaspartoftheoperatingsystem允许低级身份验证服务，以验证用户Addworkstationtodomain允许用户在域中创建计算机账号Adjustmemoryquotasforaprocess允许用户配置特定进程可以使用的内存Allowlogonthroughterminalservices为用户提供通过终端服务（TerminalServices）登录的权限Backupfilesanddirectories允许用户备份所有文件和目录，不管文件和目录的权限设置如何Bypasstraversechecking允许用户通过和便历目录结构，即使用户没有权限列出目录内容Changethesystemtime允许用户改变计算机内部时间Createapagefile允许用户创建或更改页文件长度Createatokenobject允许使用NtCreateTokenAPI的进程创建令牌Createpermanentsharedobject允许进程通过WindowsXPObjectManagement创建目录对象Debugprograms允许用户将调试程序连接到任何进程Denyaccesstothiscomputerfromthenetwork允许拒绝特定用户或组从网络上访问这台计算机Denylogonasabatchfile允许特定用户或组作为批处理文件登录Denylogonasaservice允许拒绝特定用户或组作为服务登录Denylogonlocally允许拒绝特定用户或组本地访问这台计算机Denylogonthroughterminalservices指定用户不能通过TerminalServices登录Enablecomputeranduseraccountstobetrustedfordelegation允许用户或组对用户或计算机对象设置受信任以便委派（Trustedfordelegation）设置Forceshutdownfromaremotesystem允许用户在网络上的远程位置关闭系统Generatesecurityaudits允许用户，组或进程在Security日志中建立项目Increaseschedulingpriority指定一个进程可以增加或减少另一个进程的优先级Loadandunloaddevicedrivers允许用户动态加载或卸载即插即用设备驱动程序LockpagesinmemoryWindowsXP中不再使用（原先用于强迫数据保存在物理内存中，不让数据分页岛页文件中）Logonasabatchjob允许进程登录到系统并运行包含一个或几个操作系统命令的文件Logonasaservice允许作为服务登录，以便运行特定的服务Logonlocally允许用户登录在机器内定义了用户账号的计算机Manageauditingandsecuritylog允许用户管理Security日志Modifyfirmwareenvironmentvariables允许用户或进程修改系统环紧变量Performvolumemaintenancetasks允许用户指定容量维护任务，例如运行DiskCleanup和DishDefragmenterProfilesingleprocess允许用户通过工具（如PerformanceLogsandAlerts）监视非系统进程Profilesystemperformance允许用户使用PerformanceLogsandAlerts之类的工具监视系统进程Removecomputerfromdockingstation允许用户通过WindowsXP用户界面将便携式计算机从插接站脱离Replaceaprocessleveltoken允许进程将子进程创建的默认令牌替换成进程指定的令牌Restorefilesanddirectories允许用户恢复文件和目录，不管文件和目录的权限是什么Shundownthesystem允许用户关闭本地WindowsXP计算机Synchronizedirectoryservicedata允许用户同步与目录服务相关联的数据Takeownershipoffilesorotherobjects允许用户取得系统对象的所有权2.4.安全选项策略（SecurityOptionsPolicies）安全选项策略（SecurityOptionsPolicies）用户对计算机配置安全措施，与用户权利策略不同的是，用户权利应用于用户或组，而安全选项策略应用于计算机。选项说明默认值Accounts:Administrator指在正常操作下，Administartor账号是启用还是禁用，不管设置如何，当在安全模式下启动时，Administrator账号将被启用已启用Accountstatus决定Guest账号是否被启用已禁用Accounts:limitlocalaccountuseofblankpasswordstoconsolelogononly如果一个用户的密码是空的，并且这个选项被启用，用户将无法适用空的密码从网络登录，这个设置并不应用到域登录账号已启用Accounts:renameadministratoraccount允许Administrator账号被重命名没有定义Accounts:renameguestaccounts允许Guest账号被重命名没有定义Audit:audittheaccessofglobalsystemobjects允许对全局系统对象的访问进行审核已禁用Audit:shutdownsystemimmediatelyifunabletologsecurityaudits如果无法登录安全审核，指定系统立即关闭已禁用Devices:allowundockwithouthavingtologon允许在不登录的情况下，通过按下便携式计算机的退出按钮，将计算机从插接站上脱离已启用Devices:allowedtoformatandejectremovablemedia指定谁能够格式化和退出可移动NTFS媒介AdministratorsDevices:preventusersfrominstallingprinterdrivers如果启用，只有Administrator和PowerUser可以安装网络打印机在工作站上禁用在服务器上启用Devices:restrictCD-ROMaccesstolocallylogged-onuseronly指定本地用户和网络用户是否能够访问CD-ROM已禁用Devices:restrictfloopyaccesstolocallylogged-onuseronly指定本地用户和网络用户是否可以访问软盘已禁用Devices:unsigneddriverinstallationbehavior控制未签名的驱动程序的安装行为警告但允许安装Domaincontroller:allowserveroperatorstoscheduletasks允许服务器操作员在特定的时间或以特定的时间间隔计划执行特定的任务。此安全选项仅仅影响AT计划功能，TaskScheduler功能不受影响没有定义Domaincontroller:LDAPserversigningrequirements指定域控制器对于服务器签名应当使用Lightweightdirectoryaccessprotocol没有定义Domaincontroller:refusemachineaccountpassword指定域控制器是否接受计算机账号密码的更改已禁用Domainmember:digitallyencryptorsignsecurechanneldate(always)指定在安全通道通信产生前，安全通道是否必须和域控制器一起被创建已禁用Domainmember:digitallyencryptsecurechanneldata(whenpossible)指定在域控制器和伙伴域控制器之间是否能够创建安全通道已启用Domainmember:digitallysignsecurechanneldata（whenpossible）如果传输数据的伙伴域控制器都能够接受签名的加密数据，则指定所有的安全通道通信被签名已启用Domainmember:disablemachineaccountpasswordchanges指定域成员是否必须定期更改它在DomainMember:maximummachineaccountpasswordage中定义的计算机账号密码已禁用Domainmember:maximummachineaccountpasswordage指定计算机账号密码最长的存留期30天Domainmember:requirestrong(Windows2000orlater)sessionkey如果启用，域控制器必须使用128位的会话密匙加密数据；如果未启用，可以使用64位的会话密匙已禁用Interactivelogon:donotdisplaylastusername防止登录屏幕的上一个用户名被显示已禁用Interactivelogon:donotrequireCTRL+ALT+DEL在登录时不需要按CT