简介
随着网络应用的持续深入,网络安全问题日益突出。为了强化单台计算机和整个网络的安全,通常要进行一些安全设置,在WindowsServer2016系统中,可以通过设置安全策略来强化系统的安全性。本章将介绍Windows Server 2016安全策略的配置和应用。
1. 本地安全策略概述
本地安全策略会影响本地计算机的安全设置,当用户登录到某台Windows Server 2016 计算机上时,就会受到此台计算机的本地安全策略的影响。
要管理本地安全策略,可以单击“开始”按钮,在右侧选择“Windows管理工具”,双击“本地
安全策略”,打开如图所示的窗口。
如果你想玩点不一样的,也可以通过执行“secpol.msc”命令来打开“本地安全策略”窗口。
下面将分别介绍账户策略和本地策略。
2. 账户策略
在网络中,用户名和密码过干简单导致的安全性问题比较突出,黑客在攻击网络系统时也把破解管理员密码作为一个主要的攻击方式,账户策略可以通过设置密码策略和账户锁定策略来提高账户密码的安全级别。
2.1 密码策略
密码策略中包含以下具体策略:
密码必须符合复杂性要求:启用此策略后,用户账户使用的密码必须符合复杂性的要求。
密码复杂性是指密码中必须包含以下四类字符中的三类字符。
英文大写字母(从A到Z)。
英文小写字母(从a到z)。
10个基本数字(从0到9)。
特殊符号(如“!”“@”“$”“#”等)。
双击该策略图标后弹出的设置对话框如图所示。
密码长度最小值:该项策略用于设置用户账户的密码包含的最少字符个数。设置范围 0~
14,将字符数设置为 0,表示不要求密码最小值。双击该策略图标后弹出的设詈对话框如
图所示。
密码最长使用期限:密码可以使用的最长时间,单位为天。设置范围为0~999,默认设置为42天,如果设置为0,表示密码永不过期。双击该策略后弹出的设置对话框如图所示。
密码最短使用期限:此项策略用干设置在用户更改某个密码之前至少使用该密码的天数。可以设置一个介干1~998天的值或者将天数设置为0 表示可以随时更改密码,密码最短使用期限必须小干密码最长使用期限,除非密码最长使用期限设置为0。如果密码最长使用期限设置为0,那么密码最短使用期限可以设置为0~998天的任意值,
强制密码历史,用干设置最近使用过的密码不允许再使用,设置范围为0~24,默认值为0.代表可以随意使用过去使用的密码,双击该策略后弹出的设詈对话框如图所示,
用可还原的加密来储存密码,用干设置密码的存储方式是否用可以还原的加密方式存储,默认情况下,存储的密码只有操作系统能够访问,如果某些应用程序需要直接访问某个账户的密码,则必须将此策略启用。应用此策略会使安全性降低,所以一般不启用该策略。
下面是一些用户设置安全密码时推荐的操作。
长度最少7个字符,这要比短密码安全。
包含英文大小写字母,数字及特殊符号。
不包括用户的账户名,姓名或公司及其部门的名称。
不使用完整的单词或词组,但可以是一些不规则的组合。
尽量使用与过去不同的密码。
2.2 账户锁定策略
账户锁定策略是指当用户输入错误密码的次数达到一个设定值时,就将此账户锁定。锁定的账户暂时不能登录,只有等到超过指定时间后系统自动解除锁定或由管理员手动解除锁定才可再次登录,
账户锁定策略包括下面三个设置,如图所示。
账户锁定时间:当用户账户被锁定后,多长时间后自动解锁,单位为分钟,设置范围为 0~
99999,0代表必须由管理员手动解锁,如图所示。
账户锁定阈值:用户输入几次错误的密码后,将用户账户锁定,设置范围为 0~999,如图所示,默认值为0,代表不锁定账户。对于使用Ctrl+Alt+Del组合键或带有密码保护的屏幕保护程序锁定的工作站或成员服务器,失败的密码尝试将计入失败的登录尝试次数中。
重詈账户锁定计数器:用干设置用户输入密码错误开始计数时,计数器保持的时间,当该时间过后,计数器将重置为0,如图所示,如果定义了账户锁定阈值,则该重置时间必须小于或等于账户锁定时间。
账户锁定策略对本地管理员账户Administrator无效。
案例4.1 有一台安装Windows Server 2016的计算机,为了提高系统的安全性,要求该计算机
上的账户密码长度最少为8个字符,如果用户在1天内连续3次输错密码,就锁定该账户。
实现上述要求的操作步骤如下。
Step1 展开密码策略”。
在“运行”窗口中执行“secpolmsc”命令,打开“本地安全策略”窗口,在弹出的“本地安全策略”窗口中展开“账户策略”→“密码策略”文件夹。
Step2 设置“密码长度最小值”。
双击“密码长度最小值”策略,弹出如图4.4所示的对话框,在该对话框的文本框中输入“8”,单击“确定”按钮。
Step3 展开“账户锁定策略”。
在“本地安全策略”窗口中,展开“账户策略”→“账户锁定策略”文件夹。
Step4 设置“账户锁定策略”。
(1)双击“账户锁定阈值”策略弹出如图所示的对话框 在该对话框的文本框中输入“3”
(2)双击“账户锁定时间”策略,弹出如图所示的对话框,在该对话框的文本框中输入“0”。
(3)双击“重置账户锁定计数器”策略,弹出如图所示的对话框,在该对话框的文本框中输“1440”(将一天换算成分钟)。
Step5 刷新策略。
单击“开始”按钮,在弹出的菜单中的“搜索程序和文件”文本框中输入“gpupdate/force”.按Enter键,即可刷新计算机的本地安全策略(或者重启计算机)。
Step6 验证结果。
更改管理员账户Administrator的密码,检验能否将密码设置成长度小于8位的密码。以普通用户账户robin登录,故意输错密码三次,该账户会被锁定,结果如图所示。
3 本地策略
本地策略主要涉及是否在安全日志中记录登录用户的操作事件,用户能否交互式登录此计算
机,用户能否从网络上访问此计算机等。本地策略主要包括三部分:审核策略、用户权限分配和安
全选项。
3.1 审核策略·
1. 审核策略简介
建立审核跟踪是系统安全的重要内容。通过设置审核策略可以确定是否将计算机中与安全有关
的事件记录到安全日志中。另外,也可以将用户登录成功或者失败的信息记录在日志中,方便以后
查看。审核策略中包括的内容如图所示。
审核策略指定了要审核的安全事件的类别,因此在完成审核之前,必须先确定审核策略,详细
的审核策略条目如表所示。
2. 审核策略的配置
审核策略的安全设置选项包括以下几方面。
成功:请求的操作执行成功时会生成一个审核项。
失败:请求的操作执行失败时会生成一个审核项。
无审核:相关操作不会生成审核项。
例如,要审核对象登录成功和失败的事件,首先需要双击审核策略中的“审核账户登录事件”
策略,然后在弹出的对话框中选中“成功”和“失败”复选框,如图所示
。
通常,失败日志比成功日志更有意义,因为失败说明有错误发生。例如,用户成功登录到计算机通常被视为正常,但如果有人多次尝试登录到此计算机都未能成功,则说明可能有攻击者在尝试使用他人的账户入侵此计算机。
3. 事件查看器
事件日志用于记录计算机上发生的事件,事件查看器可用干浏览和管理事件日志,Windows
Server2016包括以下两类的事件日志,Windows日志应用程序和服务日志如图414事件查看器”窗口的左侧部分所示。本章主要介绍和使用Windows日志中的安全性日志。
Windows日志包括以下日志:应用程序,安全,设置,系统,已转发事件。其中安全性日志记
录包括有效和无效的登录尝试等事件,以及与资源使用相关的事件,如创建、打开或删除文件或者
其他对象等。例如,如果已启用登录审核,登录系统的尝试事件将记录在安全日志中,
在“事件查看器”窗口中,事件分为以下几种级别。
“错误”:重要的问题,如数据丢失或功能丧失。例如,在启动过程中某个服务加载失败,将会记录“错误”。
“警告”:虽然不一定很重要,但是将来有可能出现问题的事件。例如,当磁盘空间不足时,
将会记录“警告”。
“信息”:描述了应用程序、驱动程序或服务成功操作的事件。例如,当网络驱动程序加载
成功时,将会记录一个“信息”事件。
“审核成功”;任何成功的已审核的安全事件。例如,用户成功登录系统会被作为“审核成功”事件记录下来。
“审核失败”:任何失败的已审核的安全事件。例如,用户试图访问网络驱动器但失败了,该尝试将会作为“审核失败”事件被记录下来,
安全日志是日志中比较重要的日志,主要记录用户登录和对象访问的信息。要查看安全日志,需要单击“开始”按钮,在右侧选择“事件查看器”,在弹出的“事件查看器”窗口中展开“Window:
日志”→“安全”。在安全日志中,可以看到审核成功和审核失败两种事件,如图所示。
双击某个事件,查看事件属性中的相关信息,如图所示,
如果日志数量过多,可以利用“操作”菜单中的“清除日志”命令将日志清除,但在清除之前
可以利用“将所有事件另存为”命令将日志保存,如图所示。
