本地安全策略（NETBASE第十课）

本地安全策略

1）权限累加

Administrator用户创建文件夹E:\NTD，Administrator用户在NTD的文件夹中创建02.txt，在02.txt的文件中输入“22222”

右击02.txt-属性-安全-编辑-添加普通用户-勾选读取权限-添加用户所属组-仅勾选写入权限

普通用户登录双击02.txt可以打开此文件，可以更改文件内容。

注：用户与用户所属组权限不冲突，权限累加

用户 读

用户所属组 写

用户权限=读+写

用户所属组1 读

用户所属组2 写

用户权限=读+写

2)权限的拒绝（拒绝大于一切、拒绝优先）

Administrator用户在NTD的文件夹中创建03.txt，在03.txt的文件中输入“33333”

右击03.txt-属性-安全-编辑-添加普通用户-勾选读取权限-添加用户所属组-仅勾选拒绝读取权限

普通用户登录双击03.txt拒绝访问。

右击03.txt-属性-安全-编辑-添加普通用户-勾选拒绝读取权限-添加用户所属组-仅勾选允许读取权限

普通用户登录双击03.txt拒绝访问

用户 读

用户所属组拒绝读

用户权限=拒绝读

用户 拒绝读

用户所属组读

用户权限=拒绝读

用户所属组1 读

用户所属组2 拒绝读

用户权限=拒绝读

用户所属组1 读

用户所属组2 读

……

用户所属组99 读

用户所属组100 拒绝读

用户权限=拒绝读

3）权限继承

继承：默认下级继承上级目录的权限

Administrator用户创建文件夹tedu-右击tedu的文件夹-属性-安全-编辑-添加普通用户完全控制权限

在tedu的目录中创建01.txt，右击01.txt-属性-安全-查看是否有普通用户的完全控制权限

取消继承

右击01.txt-属性-安全-高级-禁用继承-在弹出的提示中选择第一个-确定-编辑-选择普通用户-取消完全控制的勾选仅留读权限-确定

强制继承

右击tedu的目录-属性-安全-高级-勾选禁用继承下的复选框-是-确定

 

注：下级取消继承后上级目录可以强制继承，上级目录强制继承后下级目录还可以再次取消继承

一、服务器安全基线

1.为了满足安全规范要求，服务器必须要达到的最低安全标准

2.参考《GBT22239-2019信息安全技术网络安全等级保护基本要求》

3.操作系统安全基线

1） 作用

设置口令复杂策略，防止暴力破解密码

控制用户的文件权限，减少被攻击后的影响

最小化安装操作系统，防止不必要的服务带来的安全问题

2） 安全配置

用户管理

密码策略

共享管理

文件权限管理

用户权限管理

日志审核管理

远程管理

二.本地安全策略

1.本地安全策略：为保护计算机资源而配置的规则

2.打开本地安全策略

开始菜单-windows管理工具-本地安全策略

控制面板-管理工具-本地安全策略

运行-secpol.msc

3.本地安全策略主要包含

1）帐户策略：

密码策略

帐户锁定策略

2）本地策略：

审核策略

用户权限分配

安全选项

4.密码策略

密码必须符合复杂性要求：复杂密码满足条件，英文小写、大写、数字、特殊符号，四个条件取其三。

密码长度最小值：取值范围0-14，0表示长度无限

密码最长使用期限：默认42天，取值范围0-999，0表示永不过期

密码最短使用期限：取值范围0-998，默认0表示无限制，随时可更改密码

强制密码历史：默认0表示历史曾经用过的密码可以随便使用，取值范围0-24

测试密码破解的网址：How Secure Is My Password? | Password Strength Checker

验证

Win2016主机用户密码可以配置为123456

win10主机用户密码不允许使用123456

5.帐户锁定策略

帐户锁定阈值：配置用户输入错误密码的次数，取值范围0-999，默认0表示不锁定帐户

帐户锁定时间：帐户锁定多长时间自动解锁，单位分钟，取值范围0-99999，0表示管理员手解锁

重置帐户锁定计数器：清除所输入的错误密码的次数（用户输入错误密码开始计时，当该时间超时，计数器重置为0）

1）验证

配置帐户锁定阈值为3，注销普通用户登录，输入3次错误密码，第4次输入正确的密码看提示。

验证锁定时间为1，等待1分钟自动解

验证锁定时间为0，如何解锁？

Administrator登录用户登录，手动解锁

注：administrator管理员帐户不受此策略的限制

内置帐户可以禁用，但不可以删除

2）验证：

帐户锁定阈值 5

帐户锁定时间 30

重置帐户锁定计数器 1

注销普通用户登录，输入4次错误密码，等1分钟再尝试输入错误密码

6.审核策略

启用审核策略=安监控

事件查看器 监控服务器存数据

验证：审核帐户管理

清除日志：控制面板-管理工具-事件查看器-windows日志-右击安全-清除日志

启用审核帐户管理：

本地安策略-本地策略-审核策略

双击审核帐户管理-勾选成功与失败

Administrator修改普通用户名

控制面板-管理工具-事件查看器-windows日志-安全-查看钥匙图标的事件内容

7.用户权限分配

1）更改系统时间

普通用户注销登录更改系统时间提示输入administrator密码

本地安全策略-本地策略-用户权限分配-双击更改系统时间添加普用户

2）关闭系统

3）允许本地登录

验证：允许本地登录删除users

本地安全策略-本地策略-用户权限分配

双击允许本地登录-删除users

注销验证普通用户本地登录

验证允许普通用户本地登录（双击本地登录-对象类型勾选组-添加users）

4）拒绝本地登录

5）拒绝从网络访问这台计算机

8.安全选项

交互式登录：试图登录的用户消息标题

交互式登录：试图登录的用户消息文本

交互式登录：不显示最后的用户名

交互式登录：无须按ctrl+alt+delete

交互式登录：提示用户过期之前更改密码（默认5天）

网络访问：本地帐户的共享安全模式

帐户：使用空密码的本地帐户仅允许控制台登录

关机：允许系统在未登录的情况下关闭

三、Windows帐户加固

1.Windows帐户加固方法

定期检查可疑用户，尤其是administrators成员

Administrator改名，设置复杂密码

Administrator禁用，新建用户加入管理员组

不显示最后用户名（本地安全策略-本地策略-安全选项）

2.查看windows用户

1）命令行查看用户 net user

2）注册表查看用户

运行- regedit（打开注册表）

HKEY_LOCAL_MACHINE\SAM\SAM\右击SAM-权限-添加administrator完全控制，F5刷新。

HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names查看帐户名

2.查看windows用户

1）命令行查看用户 net user

2）注册表查看用户

运行- regedit（打开注册表）

HKEY_LOCAL_MACHINE\SAM\SAM\右击SAM-权限-添加administrator完全控制，F5刷新。

HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names查看帐户名