Windows Server 2008配置系统安全策略

下面学习Windows Server 2008配置系统安全策略 在工作组中的计算机本地安全策略有 用户策略,密码策略,密码过期默认42天 服务账户设置成永不过期,帐户锁定策略,本地策略,审核策略,计算机记录哪些安全事件  最后在域环境中使用组策略配置计算机安全。

1.在工作组中的安全策略,打开本地安全策略。

2.打开本地安全策略之后选择密码策略,可以看到有很多的策略,先看第一个密码复杂性要求。

3.打开密码必须符合复杂性要求,默认是打开的,我们在设置密码的时候,不能设置纯数字或者纯字母,必须要有数字加大小写。

4.密码长度最小值,这个是设置密码最低小于几位数,默认是0,这里修改为6位,在设置密码的时候必须满足6位,包括数字字母大小写或者特殊符号。

5.密码最短使用期限,默认是0天这里设置为30天,在30天不会提示你修改密码,必须要使用30天才能改密码。

6.密码最长使用期限,默认是42天,这里修改为60天超过60天之后会提示让你修改密码。

7.强制密码历史,这个选项是你修改密码时不能一样,默认是0,这里设置为3次,修改3次密码之后才能修改回第一次使用的密码。

8.打开账户锁定策略,账户锁定值默认是0次,可以设置5次超过5次就会把这个账户锁定,为了防止别人入侵你的电脑,等待半个小时之后就会自动解锁,或者联系管理员自动解锁。

9.账号锁定时间,默认是30分钟自动解锁,也可以自己修改,这里修改为3分钟自动解锁。

10.现在lisi这个用户输错五次密码,就算输入正确的密码,提示账户已锁定,无法登录。

11.打开服务器管理器,选择本地用户和组,可以查看lisi这个用户,输错5次密码之后账户已锁定,管理员可以手动把这个勾去掉,然后确定就能登入了,或者lisi这个用户等待3分钟之后账户会自动解锁。

12.打开本地策略,选择审核登录事件,默认是无审核,这里我勾选成功跟失败,然后确定。

13.打开事件查看器,选择安全把里面的事件先全部删除,然后使用lisi远程登录到这台计算机。

14.清除完之后,使用lisi这个用户远程登入到这台电脑,第一次我密码输入错了,会有一个审核失败,然后输入正确密码,显示审核成功,打开一个审核成功,登录的事件。

15.双击打开之后,可以查看用户名,任务类别是登录,是审核成功。

16.打开审核对象访问,然后我们勾先失败,点击确定,然后在C盘创建一个李四文件夹,拒绝李四这个用户访问。

17.在C盘创建一个李四文件夹,然后右键属性选择安全,点击高级打开审核把lisi这个用户添加进去,然后选择失败,然后确定。

18.然后点击添加,把lisi这个用户添加进来,lisi这个用户的权限都是拒绝,使用lisi远程登录这台电脑,访问C盘下面的李四文件夹。

19.现在lisi这个用户远程登录到这台电脑,然后打开C盘李四这个文件夹,提示拒绝访问。

20.打开事件查看器,可以看到审核失败,随便打开一个,可以看到账户名是lisi这个用户,访问对象是C盘根目录下面的李四文件夹,任务类型是文件系统,关键字是审核失败,谁登录过这台电脑,做了什么操作,在事件里面都有记录信息。

21.用户权限分配,这里选择从网络访问此计算机,打开之后能看到那些用户可以通过网络访问这台电脑。

22.从远程系统强制关机,默认只有管理员administrator,使用lisi这个用户远程登录测试。

23.现在使用lisi这个用户远程登录到这台电脑,想强制关机可以看到是灰色的,没有权限,使用管理员在用户权限分配里面把lisi这个用户添加进去。

24.现在管理员把lisi这个用户添加到从远程系统强制关机,然后把关闭系统也添加一下。

25.把关闭系统,也添加一下lisi这个用户,然后进行测试。

26.现在lisi再次远程登录这台计算机,可以查看已经有权限重启电脑跟关闭计算机了。

27.拒绝本地登入,现在把lisi这个用户添加进去,然后点击切换用户,使用lisi这个用户登录到这台计算机。

28.现在就没有lisi这个用户了,只有一个本地管理员用户。

29.现在把lisi从拒绝本地登入删除,然后再试一次。

30.现在管理员跟lisi这个用户都能登录到这台电脑。

31.安全选项,这里选择不显示最后的用户名,默认是禁言这里选择启动,然后确定。

32.打开用户登录之前的消息标题,还有消息文本。

33.登录的用户信息文本,然后点击确定,进行切换用户测试。

34.在用户登录之前,会提示你不要随便删除里面的资料。

35.启用了不显示最后的用户名,就是这样什么都不显示,不知道之前登录的是哪个用户,这样也比较安全。

36.软件限制策略,打开其他规则右键新建哈希规则,现在是能够打开记事本的,新建一个规则不允许打开记事本。

37.打开记事本然后右键,复制目标然后打开浏览,粘贴进去点击确定,会自动算出哈希值,安全级别选择不允许,然后确定。

38.右键在创建一个路径规则,不允许C盘下面lisi文件夹里面的应用程序允许,然后确定需要重启电脑才能生效。

39.重启电脑之后记事本已经打不开了,提示被组策略阻止。

40.选择打开C盘里面的李四文件夹,里面有两个应用程序,双击打开提示此程序被组策略阻止,无法打开。

41.使用组策略,管理下面的计算机,打开活动目录,销售部有一台FTPServer计算机,现在使用组策略来管理他。

42.打开组策略管理,选择销售部然后右键在这个域中创建GPO,然后点击编辑。

43.打开编辑,这里面的策略比本地的多。

44.打开FTPServer计算机本地策略,可以看到密码策略里面的策略是不能修改的,使用的是域组策略。

45.在Server服务器上面修改密码策略,最短要求两位,添加右键受限制的组,添加管理员,在添加domain admins成员确定。

46.在活动目录修改密码策略为两位,现在FTPServer计算机中查看也只有两位不能修改,现在创建一个用户为xiaoli,密码满足三位加大小写就可以创建成功。

47.上面使用命令行创建了一个xiaoli用户,现在把他添加到管理员组。

48.添加到管理员组,刷新一下策略或者重启一下电脑xiaoli这个用户就会自动从管理员组里面删除。

49.刷新成功之后,xiaoli这个用户就没有管理员权限了,是因为在Server服务器配置了受限制的组。

posted @ 2019-08-20 22:00  小-周  阅读(8117)  评论(0编辑  收藏  举报