這一章關注的是系統的安全<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

對于整個域環境，有3種策略，每臺成員計算機有自己的安全策略，域環境有域的安全策略，DC有DC的安全策略

1、?本地安全策略：影響本地計算機的安全設置，與其他計算機無關，主要包括帳戶策略和本地策略

A帳戶策略：有2部分，密碼策略和帳戶鎖定策略，與用戶帳戶相關的安全策略

a?密碼策略

密碼必須符合復雜性要求：啟用后，密碼必須由大小寫字母、數字、特殊符號4種之中的3種組合

密碼長度最小值：用戶密碼的最少使用的字符數，如果是“0”，代表可以不設密碼

密碼最長使用期限：密碼最長的使用時間，范圍0-999，單位是天，默認42天，“0”代表永不過期

密碼最短使用期限：從設置密碼到能夠修改密碼的最短時間，在此期限內，用戶不能修改密碼，范圍0-998，單位是天，默認是0，代表用戶可以隨時修改密碼

強制密碼歷史：指多少個最近使用的密碼不能再使用，設置范圍0-24，默認是“0”，代表隨時可以使用過去的密碼（主要從安全性考慮）

用可還原的加密來存儲密碼：密碼的存儲方式。默認為禁用，密碼加密后不能被還原，可提高系統安全性，如果需要應用程序能夠訪問密碼，則必須啟用

b?帳戶鎖定策略

帳戶鎖定閾值：用戶輸入幾次錯誤的密碼后，帳戶被鎖定。范圍0-999，默認是0，代表不鎖定帳戶。

帳戶鎖定時間：當用戶帳戶被鎖定后，多少分鐘后自動解鎖，范圍0-99999，0代表必須手動解鎖（必須管理員才可以做），默認30分鐘

復位帳戶鎖定計時器：用戶第一次輸入錯誤密碼開始計時，此時間到后，帳戶自動解鎖

B?本地策略，包括3部分，審核策略、用戶權限分配和安全選項，這是與計算機相關的策略

a?審核策略：確定是否將計算機中關于安全的事件記錄到安全日志里

b?用戶權限（權利）分配：是可以為用戶和組授予或拒絕一些特殊的權限。也就是用戶能夠做什么，不能夠做什么。針對用戶的是權利，針對計算機中對象的是權限

常用的有：從網絡訪問此計算機、從遠程系統關機、更改系統時間、關閉系統、管理和審核安全日志、還原文件和目錄、拒絕本地登錄、拒絕從網絡訪問這臺計算機、通過終端服務拒絕（允許）登錄、域中添加工作站、允許在本地登錄、裝載和卸載設備驅動程序等

如果拒絕本地登錄和允許本地登錄都設置，誰生效？拒絕生效

c?安全選項：控制一些和操作系統安全相關的設置

常用的有：交互式登錄（不顯示上次用戶名，不需要按CTRL+ALT+DEL，消息標題，消息文字，提前幾天提醒用戶更改密碼），關機（允許用戶在未登錄前關機），帳戶（使用空白密碼的本地帳戶只允許進行控制臺登錄）等

2、?DC安全策略

DC安全策略影響域中的所有DC。一臺獨立的計算機升級為DC后，本地安全策略就升級為DC安全策略，所以DC安全策略和本地安全策略不會重復或者沖突（在一臺計算機上不會同時出現）

與本地安全策略相比，在帳戶策略中多出了Kerberos策略，與域用戶帳戶的登錄有關。

3、?域安全策略

域安全策略是影響整個域的安全設置，所有項目和DC安全策略一樣

4、3種安全策略之間的關系

成員計算機的安全策略和域安全策略有沖突，則域安全策略生效

域安全策略與DC安全策略有沖突，則DC安全策略生效

特例：

在一個域中，只執行一種帳戶策略，那就是域安全策略中的帳戶策略，本地的帳戶策略和DC的帳戶策略如果和域的帳戶策略有沖突，都是域的帳戶安全策略生效

補充：Kerberos協議

在Windows?Server?2003中。Kerberos?V5身份驗證協議提供默認的身份驗證服務機制，以及用戶訪問資源并在該資源上執行任務所必需的身份驗證數據。通過縮短Kerberos票證的壽命，可降低***者竊取并成功使用合法用戶憑據的風險。但這會增加授權開銷。在大多數環境中都不需要更改這些設置

5、?審核策略

可以審核用戶登錄信息（包括域用戶和本地用戶），對象訪問，目錄服務訪問，系統事件等

審核文件或文件夾

步驟：

A啟用域或者本機的審核策略中的審核對象訪問策略，并刷新

B在文件或文件夾的“安全”屬性-高級-審核中，添加要審核的用戶帳戶及詳細的審核項目

C使用用戶訪問該文件夾或者文件

D使用“事件查看器”的“安全性”日志查看

事件查看器：

一般有3項內容，DC上有5項（多了“目錄服務”和“文件復制服務”兩項）

應用程序日志：包含由應用程序或系統程序記錄的事件

安全性日志：記錄有效和無效的登錄嘗試事件，以及記錄與資源使用相關的事件

系統日志：包含Windows系統組件記錄的事件

補充：

A兩臺機器A和B組成LAN，A為DC，B為加入A的客戶機，啟用域策略的審核對象訪問的策略后，如果要審核主機B上的文件夾，則需要啟用B上的本地審核策略，使用B上的事件查看器來查看訪問的情況，而不是在A上

B使用MMC添加“安全模板”和“安全配置和分析”兩個單元

安全模板：

系統已經預定義了幾個安全模板以幫助加強系統安全，在默認情況下，這些模板存儲在"%Systemroot%\SecurityTemplates\"目錄下。它們分別是：

Compatws：提供基本的安全策略，執行具有較低級別的安全性但兼容性更好的環境

hisecdc:配置高安全的DC模板，默認具有一定的安全性能

hisecws:提供高安全的客戶端策略模板

rootsec:將默認的根目錄權限運用于OS磁盤分區并將此權限傳播到從根目錄繼承的子對象

securedc:安全的策略模板,提供了較高的安全策略給DC，提供增強的域賬戶策略，限制LanManager身份驗證的使用，對匿名用戶提供進一步的限制

securews:提供安全的策略給客戶機,提供增強的本地賬戶策略，限制LanMan身份驗證的使用，啟用服務器端SMB簽字，對匿名用戶提供進一步的限制

setupsecurity:默認提供的安全策略，全新安裝系統的默認安全設置

安全配置和分析：

首先是分析。在“打開數據庫”對話框，隨便輸入個名字，然后選擇一個安全模板，右鍵點擊“安全配置和分析”，選擇“立即分析計算機”，分析完成后，打開顯示的安全策略各項，會看到本機設置和模板設置符合的，其前面的項目打勾，不符合的是個紅X，可以修改，按照自己的方式修改完成安全策略后，郵件點擊“安全配置和分析”，選擇立即“配置計算機”，這樣選擇的模板就配置到本機了

轉載于:https://blog.51cto.com/hanbaiwangzi/190187

總結

以上是生活随笔為你收集整理的6.win03安全策略的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。