一、本地安全策略

1. 概述

对登陆到计算机上的账号定义一些安全设置，在没有活动目录集中管理的情况下，本地管理员必须为计算机进行设置以确保其安全。

2. 打开方式

点击开始菜单 → Windows 管理工具 → 本地安全策略
使用命令打开：

# 在 Windows 运行窗口输入命令
secpol.msc

也可以在本地组策略中查看（本地组策略包含本地安全策略）

# 在 Windows 运行窗口输入命令
gpedit.msc

二、帐户策略

1. 密码策略

• 密码必须符合复杂性要求：
  • 对于 Windows server 操作系统，默认是启用状态。
  • 不能包含用户的帐户名，不能包含用户姓名中超过两个连续字符的部分。
  • 至少有六个字符长。
  • 包含以下四类字符中的三类字符:
    • 英文大写字母(A 到 Z)。
    • 英文小写字母(a 到 z)。
    • 10 个基本数字(0 到 9)。
    • 非字母字符(例如 !、$、#、%)。
• 密码长度最小值：
  • 设置密码的长度，默认为0表示不需要密码，设置的区间是1~14。当开启了复杂性要求，此设置如果小于6将不再有意义。
• 密码最短使用期限：
  • 密码最短使用的时间默认为0，允许立即更改密码。
• 密码最长使用期限：
  • 密码最长使用的时间默认为42天，当到期后，系统会自动提醒更改密码。
• 强制密码历史：
  • 设置确定再次使用某个旧密码之前必须与某个用户帐户关联的唯一新密码数。该值必须介于 0 个和 24 个密码之间。

2. 帐户锁定策略

• 帐户锁定时间
  • 此安全设置确定锁定帐户在自动解锁之前保持锁定的分钟数。可用范围从 0 到 99,999 分钟。如果将帐户锁定时间设置为 0，帐户将一直被锁定直到管理员明确解除对它的锁定。
  • 如果定义了帐户锁定阈值，则帐户锁定时间必须大于或等于重置时间。
• 帐户锁定阈值
  • 此安全设置确定导致用户帐户被锁定的登录尝试失败的次数。
  • 在管理员重置锁定帐户或帐户锁定时间期满之前，无法使用该锁定帐户。
  • 可以将登录尝试失败次数设置为介于 0 和 999 之间的值。如果将值设置为 0，则永远不会锁定帐户。
• 重置帐户锁定计数器
  • 此安全设置确定在某次登录尝试失败之后将登录尝试失败计数器重置为 0 次错误登录尝试之前需要的时间。可用范围是 1 到 99,999 分钟。
  • 如果定义了帐户锁定阈值，此重置时间必须小于或等于帐户锁定时间。

三、本地策略

1. 审核策略

描述了如何设置应用于审核的各种设置。本模块还提供了由几个常见任务创建的审核事件示例。每当用户执行了指定的某些操作，审核日志就会记录一个审核项。您可以审核操作中的成功尝试和失败尝试。安全审核对于任何企业系统来说都极其重要，因为只能使用审核日志来说明是否发生了违反安全的事件。如果通过其他某种方式检测到入侵，正确的审核设置所生成的审核日志将包含有关此次入侵的重要信息。

2. 用户权限分配

通过用户权限分配，可以为某些用户和组授予或拒绝一些特殊的权限，如更改系统时间，拒绝本地登录等。

3. 安全选项

通过本地策略中的安全选项，可以控制一些和操作系统安全相关的设置，安全选项中的策略。

四、本地安全策略应用

1. 案例一

设置帐户策略（计算机账户密码长度最少要有8个字符，用户连续3次输错密码，该账户会被锁定）。

• 本地安全策略 → 帐户策略 → 密码策略 → 密码长度最小值设置为 8。
  
  本地安全策略 → 帐户策略 → 帐户锁定策略 → 帐户锁定阈值设置为 3，设置了帐户锁定阈值，帐户锁定时间和重置帐户锁定计数器默认会开始，默认为 30 分钟，保持默认就 OK。
  

2. 案例二

为了保证服务器资源的安全性，针对对象访问情况进行审计，并添加到日志中，作为后期找出问题的凭证。

• 本地安全策略 → 本地策略 → 审核策略 → 审核对象访问设置为成功、失败都进行审核，这样就可以看到哪些用户访问成功了哪些对象，哪些想要进行非法访问。
  

3. 案例三

为了保证服务器的安全性，一般服务器允许管理员本地进行登录，对于普通用户不允许进行本地登录，设置用户权限分配。

• 本地安全策略 → 本地策略 → 用户权限分配 → 拒绝本地登录，将users（普通用户组）添加进去。
  

4. 更新策略

策略设置完成后需要更新策略才能生效。

• 重启计算机。
• 使用命令进行刷新:

  # 在 cmd 窗口输入命令进行刷新策略
  gpupdate
  # 当直接刷新不成功可以使用强制刷新命令
  gpupdate /force