下面學習Windows Server 2008配置系統安全策略 在工作組中的計算機本地安全策略有 用戶策略,密碼策略,密碼過期默認42天 服務賬戶設置成永不過期,帳戶鎖定策略,本地策略,審核策略,計算機記錄哪些安全事件 最后在域環境中使用組策略配置計算機安全。
1.在工作組中的安全策略,打開本地安全策略。
2.打開本地安全策略之后選擇密碼策略,可以看到有很多的策略,先看第一個密碼復雜性要求。
3.打開密碼必須符合復雜性要求,默認是打開的,我們在設置密碼的時候,不能設置純數字或者純字母,必須要有數字加大小寫。
4.密碼長度最小值,這個是設置密碼最低小於幾位數,默認是0,這里修改為6位,在設置密碼的時候必須滿足6位,包括數字字母大小寫或者特殊符號。
5.密碼最短使用期限,默認是0天這里設置為30天,在30天不會提示你修改密碼,必須要使用30天才能改密碼。
6.密碼最長使用期限,默認是42天,這里修改為60天超過60天之后會提示讓你修改密碼。
7.強制密碼歷史,這個選項是你修改密碼時不能一樣,默認是0,這里設置為3次,修改3次密碼之后才能修改回第一次使用的密碼。
8.打開賬戶鎖定策略,賬戶鎖定值默認是0次,可以設置5次超過5次就會把這個賬戶鎖定,為了防止別人入侵你的電腦,等待半個小時之后就會自動解鎖,或者聯系管理員自動解鎖。
9.賬號鎖定時間,默認是30分鍾自動解鎖,也可以自己修改,這里修改為3分鍾自動解鎖。
10.現在lisi這個用戶輸錯五次密碼,就算輸入正確的密碼,提示賬戶已鎖定,無法登錄。
11.打開服務器管理器,選擇本地用戶和組,可以查看lisi這個用戶,輸錯5次密碼之后賬戶已鎖定,管理員可以手動把這個勾去掉,然后確定就能登入了,或者lisi這個用戶等待3分鍾之后賬戶會自動解鎖。
12.打開本地策略,選擇審核登錄事件,默認是無審核,這里我勾選成功跟失敗,然后確定。
13.打開事件查看器,選擇安全把里面的事件先全部刪除,然后使用lisi遠程登錄到這台計算機。
14.清除完之后,使用lisi這個用戶遠程登入到這台電腦,第一次我密碼輸入錯了,會有一個審核失敗,然后輸入正確密碼,顯示審核成功,打開一個審核成功,登錄的事件。
15.雙擊打開之后,可以查看用戶名,任務類別是登錄,是審核成功。
16.打開審核對象訪問,然后我們勾先失敗,點擊確定,然后在C盤創建一個李四文件夾,拒絕李四這個用戶訪問。
17.在C盤創建一個李四文件夾,然后右鍵屬性選擇安全,點擊高級打開審核把lisi這個用戶添加進去,然后選擇失敗,然后確定。
18.然后點擊添加,把lisi這個用戶添加進來,lisi這個用戶的權限都是拒絕,使用lisi遠程登錄這台電腦,訪問C盤下面的李四文件夾。
19.現在lisi這個用戶遠程登錄到這台電腦,然后打開C盤李四這個文件夾,提示拒絕訪問。
20.打開事件查看器,可以看到審核失敗,隨便打開一個,可以看到賬戶名是lisi這個用戶,訪問對象是C盤根目錄下面的李四文件夾,任務類型是文件系統,關鍵字是審核失敗,誰登錄過這台電腦,做了什么操作,在事件里面都有記錄信息。
21.用戶權限分配,這里選擇從網絡訪問此計算機,打開之后能看到那些用戶可以通過網絡訪問這台電腦。
22.從遠程系統強制關機,默認只有管理員administrator,使用lisi這個用戶遠程登錄測試。
23.現在使用lisi這個用戶遠程登錄到這台電腦,想強制關機可以看到是灰色的,沒有權限,使用管理員在用戶權限分配里面把lisi這個用戶添加進去。
24.現在管理員把lisi這個用戶添加到從遠程系統強制關機,然后把關閉系統也添加一下。
25.把關閉系統,也添加一下lisi這個用戶,然后進行測試。
26.現在lisi再次遠程登錄這台計算機,可以查看已經有權限重啟電腦跟關閉計算機了。
27.拒絕本地登入,現在把lisi這個用戶添加進去,然后點擊切換用戶,使用lisi這個用戶登錄到這台計算機。
28.現在就沒有lisi這個用戶了,只有一個本地管理員用戶。
29.現在把lisi從拒絕本地登入刪除,然后再試一次。
30.現在管理員跟lisi這個用戶都能登錄到這台電腦。
31.安全選項,這里選擇不顯示最后的用戶名,默認是禁言這里選擇啟動,然后確定。
32.打開用戶登錄之前的消息標題,還有消息文本。
33.登錄的用戶信息文本,然后點擊確定,進行切換用戶測試。
34.在用戶登錄之前,會提示你不要隨便刪除里面的資料。
35.啟用了不顯示最后的用戶名,就是這樣什么都不顯示,不知道之前登錄的是哪個用戶,這樣也比較安全。
36.軟件限制策略,打開其他規則右鍵新建哈希規則,現在是能夠打開記事本的,新建一個規則不允許打開記事本。
37.打開記事本然后右鍵,復制目標然后打開瀏覽,粘貼進去點擊確定,會自動算出哈希值,安全級別選擇不允許,然后確定。
38.右鍵在創建一個路徑規則,不允許C盤下面lisi文件夾里面的應用程序允許,然后確定需要重啟電腦才能生效。
39.重啟電腦之后記事本已經打不開了,提示被組策略阻止。
40.選擇打開C盤里面的李四文件夾,里面有兩個應用程序,雙擊打開提示此程序被組策略阻止,無法打開。
41.使用組策略,管理下面的計算機,打開活動目錄,銷售部有一台FTPServer計算機,現在使用組策略來管理他。
42.打開組策略管理,選擇銷售部然后右鍵在這個域中創建GPO,然后點擊編輯。
43.打開編輯,這里面的策略比本地的多。
44.打開FTPServer計算機本地策略,可以看到密碼策略里面的策略是不能修改的,使用的是域組策略。
45.在Server服務器上面修改密碼策略,最短要求兩位,添加右鍵受限制的組,添加管理員,在添加domain admins成員確定。
46.在活動目錄修改密碼策略為兩位,現在FTPServer計算機中查看也只有兩位不能修改,現在創建一個用戶為xiaoli,密碼滿足三位加大小寫就可以創建成功。
47.上面使用命令行創建了一個xiaoli用戶,現在把他添加到管理員組。
48.添加到管理員組,刷新一下策略或者重啟一下電腦xiaoli這個用戶就會自動從管理員組里面刪除。
49.刷新成功之后,xiaoli這個用戶就沒有管理員權限了,是因為在Server服務器配置了受限制的組。
