8.1通过本地计算机策略配置加强系统安全管理.pptx

企业的企业的SOLOGENSOLOGENL0GO项项目八目八组组策略与安全策略与安全设设置置主讲人：陈永企业的企业的SOLOGENSOLOGENL0GO学习目标学习目标能够在能够在Windows server 2012Windows server 2012中使用本地计算机组策略进行安全管理；中使用本地计算机组策略进行安全管理；能够在能够在Windows server 2012Windows server 2012中使用域组策略进行安全管理。中使用域组策略进行安全管理。企业的企业的SOLOGENSOLOGENL0GO 简单地说，组策略设置就是在修改注册表中的配置。当然，组策略使用了简单地说，组策略设置就是在修改注册表中的配置。当然，组策略使用了更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。修改注册表方便、灵活，功能也更加强大。项目介绍项目介绍（1 1）通过本地计算机策略配置，加强系统安全管理；）通过本地计算机策略配置，加强系统安全管理；（2 2）通过域组）通过域组策略配置，加强系统安全管理；策略配置，加强系统安全管理；（3 3）通过本地安全策略，加强系统）通过本地安全策略，加强系统安全管理；安全管理；（4 4）通过域与域控制器安全策略，加强系统安全管理；）通过域与域控制器安全策略，加强系统安全管理；（5 5）审核资源的使用；）审核资源的使用；企业的企业的SOLOGENSOLOGENL0GO8.1 通过本地计算机策略配置，加强系统安全管理通过本地计算机策略配置，加强系统安全管理1.11.1任务实施任务实施1.1.11.1.1通过本地计算机策略来限制用户工作环境通过本地计算机策略来限制用户工作环境删除客户端浏览器删除客户端浏览器IEIE内内“InternetInternet选项选项”的的“安全安全”和和“连接连接”标签，如图标签，如图8-18-1所示。所示。互联网是一个危险的温床，黑客，病毒，间谍软件和其他类型的恶意互联网是一个危险的温床，黑客，病毒，间谍软件和其他类型的恶意代码和程序盛行不断。在使用代码和程序盛行不断。在使用Internet ExplorerInternet Explorer的过程中，可以使用的过程中，可以使用IEIE被称被称为为“安全区安全区”功能。功能。通常情况下，这些都是自动以最佳化的方式，来设置保通常情况下，这些都是自动以最佳化的方式，来设置保护级别的，让你免受可能发生的危害。护级别的，让你免受可能发生的危害。企业的企业的SOLOGENSOLOGENL0GO按按WindowWindow键键+R+R键，输入键，输入“gpedit.msc”gpedit.msc”，打开本地计算机组策略编辑器，如图，打开本地计算机组策略编辑器，如图8-28-2所示，单击所示，单击“用户配置用户配置”-“-“管理模板管理模板”-“Windows-“Windows组件组件”-“InternetExplorer”-“Internet“InternetExplorer”-“Internet控制面板控制面板”-将将“禁用连接页禁用连接页”与与“禁用禁用安全页安全页”设置为设置为“己启用己启用”，此设置会立即应用到所有用户：打开，此设置会立即应用到所有用户：打开“Internet Internet Explorer”Explorer”，按，按“AltAlt键键”，选择，选择“工具工具”-“Internet-“Internet选项选项”如图如图8-38-3所示，所示，可以看到可以看到“安全安全”与与“连接连接”标签消失了。标签消失了。如图如图8-18-1所示所示如图如图8-18-1所示所示企业的企业的SOLOGENSOLOGENL0GO图图8-2 8-2 组策略配置组策略配置图图8-3 Internet8-3 Internet选项选项企业的企业的SOLOGENSOLOGENL0GO1.1.21.1.2用户权限分配与安全选项策略用户权限分配与安全选项策略（1 1）通过如图）通过如图8-48-4所示，要分配图中右所示，要分配图中右方任何一个权限给用户或组时，只要双击该权限，然后将用户或组加入即方任何一个权限给用户或组时，只要双击该权限，然后将用户或组加入即可。可。图图8-4 8-4 用户权限设置用户权限设置企业的企业的SOLOGENSOLOGENL0GO允许本地登录：允许用户直接在本台计算机上按Ctrl+Alt+Del键登录拒绝本地登：拒绝用户直接在本台计算机上按Ctrl+Alt+Del键登录。这个权限优先于允许本地登录的权限。将工作站添加到域:允许用户将计算机加入域。关闭系统:允许用户将此计算机关机。从网络访问这台计算：允许用户通过网络与其他计算机进行连接，并访问此计算机内的资源。拒绝从网络访问这台计算机：拒绝用户通过网络与其他计算机进行连接计算机内的资源，这个权限优先于从网络访问这台计算机的权限.从远程系统强制关闭：允许用户从远程计算机将此台计算机关机。备份文件和目录：允许用户备份硬盘内的文件与文件夹。还原文件和目录：允许用户还原备份的文件与文件夹.企业的企业的SOLOGENSOLOGENL0GO 管理审核和安全日志：允许用户指定要审核的事侏也允许用管理审核和安全日志：允许用户指定要审核的事侏也允许用户查询与清除安全日志。户查询与清除安全日志。更改系统时间：允许用户更改计算机的系统日期与时间。更改系统时间：允许用户更改计算机的系统日期与时间。加载和卸载设备驱动器：允许用户加载与卸载设备的驱动程加载和卸载设备驱动器：允许用户加载与卸载设备的驱动程序。序。取得文件或其他对象的所有权取得文件或其他对象的所有权:允许夺取其他用户所拥有的文允许夺取其他用户所拥有的文件、文件夹或其他对象的所有权。件、文件夹或其他对象的所有权。图图8-5 8-5 安全选项设置安全选项设置（2 2）通过如图）通过如图8-58-5所示，安全选项来启用一些安全设置。所示，安全选项来启用一些安全设置。图图8-5 8-5 安全选项设置安全选项设置企业的企业的SOLOGENSOLOGENL0GO交互式登录：提示用户在过期之前更改密码用来设置在用户的密码过期前几天，提示用户更改密码交互式登录：之前登录到缓存的次数(城控制器不可用时)域用户登录成功后，其账户信息会被保存到用户计算机的缓存区，如果以后此计算机因故无法与域控制器连接，该用户还可以通过缓冲区的账户数据来验证身份与登录，可以通过此策略设置缓冲区内账户数据的数量，默认为记录10个登录用户的账户数据(WindowsServer2008为25个).交互式登录：无须按Ctrl+Alt+Del让登录界面不要再显示类似按下Ctrl+Alt+Del登录的信息(这是Windows8、Windows7等客户端的默认值)。交互式登录：不显示最后的用户名登录界面上会自动显示上一次登录者的用户名，然而通过此选项可以让其不显示。企业的企业的SOLOGENSOLOGENL0GO 交互式登录：试图登录的用户消息文本、试图登录的用户消息标题交互式登录：试图登录的用户消息文本、试图登录的用户消息标题如果用户在登录时按如果用户在登录时按Ctrl+Alt+Del健后，界面上能够显示你希望用户看健后，界面上能够显示你希望用户看到的消息，请通讨这两个选项进行设置，其中一个用来设置消息标题文到的消息，请通讨这两个选项进行设置，其中一个用来设置消息标题文字，一个用来设置消息文本。字，一个用来设置消息文本。关机：允许系统在未登录的情况下关闭关机：允许系统在未登录的情况下关闭让登录界面的右下角能够显示关机图标，以便在不需要登录的情况下就让登录界面的右下角能够显示关机图标，以便在不需要登录的情况下就可以直接通过此图标关闭计算机可以直接通过此图标关闭计算机(这是这是Windows8、Windows7等客户端等客户端的默认值）的默认值）1.1.3 1.1.3 密码的使用策略与账户锁定的方式。密码的使用策略与账户锁定的方式。(1)(1)如图如图8-68-6所示所示,单击密码策略单击密码策略 图图8-6 8-6 密码策略密码策略注：在单击图注：在单击图4-64-6中右侧的策略后，如果系统不中右侧的策略后，如果系统不让修改设置值，表示这台计算机已经加入域，并让修改设置值，表示这台计算机已经加入域，并且该策略在域内已经设置了，此时会以域设置为且该策略在域内已经设置了，此时会以域设置为其最后有效设置（未加入域之前，已经在本地设其最后有效设置（未加入域之前，已经在本地设置的相对策略自动无效）。置的相对策略自动无效）。企业的企业的SOLOGENSOLOGENL0GO用可还原的加密来储存密码：如果应用程序需要读取用户的密码，以便验证用户身钪就可以启用此功能。不过，由于它相当于用户密码没有加密，因此不安全，所以建议如非必要，请不要启用此功能。密码必须符合复杂性要求：此时用户的密码必须满足以下要求(这是默认值)。（1）不可包含用户账户名中超过两个以上的连续字符。（2）长度至少需要6个字符。（3）至少包含AZ、az、09、非字母数字(例如!、$、#、%)等4组字符中的3组。密码最长使用期限：用来设置密码最长的使用期限(可为0999天)，用户在登录时，如果密码使用期限已到，系统会要求用户更改密码，O表示密码没有使用期限，默认值是42天。密码最短使用期限：用来设置用户密码最短的使用期限(可为0998天)，期限未到前，用户不得更改密码。O(默认值)表示用户可以随时更改密码，强制密码历史：用来设置是否要保存用户曾经用过的旧密码，以便用来决定用户在更改其密码时，是否可以重复使用旧密码.（1）124表示要保存密码历史记录，例如，如果设置为5，则用户的新密码不可。（2）与前5次使用过的旧密码相同。（3）0(默认值)：表示不保存密码历史记录，因此密码可以重复使用，也就是用户更改密码时，可以将其设置为以前曾经用过的任何一个旧密码。密码长度最小值：用来设置用户的密码最少需要几个字符，此处可为014,0(默认值)表示用户可以没有密码。企业的企业的SOLOGENSOLOGENL0GO2）如图）如图8-7所示，通过账户锁定策略来设置账户锁定的方式。所示，通过账户锁定策略来设置账户锁定的方式。图8-7设置账户锁定账户锁定阈值：用来设置用户登录多次失败(密码输入错误)后，就将该账户锁定，在未被解除锁定之前，用户无法再利用此账户登录，此处可为0-999,0(默认值)。账户锁定时间：用来设置锁定账户的期限，期限过后自动解除锁定。此处可为099999分钟，0分钟表示永久锁定，不会自动解除锁定，此时必须由系统管理员手动来解除锁定。企业的企业的SOLOGENSOLOGENL0GO 重置账户锁定计数器：锁定计数器用来记录用户登录失败的次重置账户锁定计数器：锁定计数器用来记录用户登录失败的次数，其初始值为数，其初始值为0，如果用户登录失败，则锁定计数的值就会加，如果用户登录失败，则锁定计数的值就会加1；如果登录成功，则锁定计数器的值就会归零。如果锁定计数器；如果登录成功，则锁定计数器的值就会归零。如果锁定计数器的值等于账户锁定阈值，该账户就会被锁定。的值等于账户锁定阈值，该账户就会被锁定。如果用户连续两次登录失败的间隔时间超过此处设置值，锁定计如果用户连续两次登录失败的间隔时间超过此处设置值，锁定计数器值就会自动归零。如果用户连续数器值就会自动归零。如果用户连续3次登录失败，其账户就会被次登录失败，其账户就会被锁定。不过，在尚未连续锁定。不过，在尚未连续3次登录失败之前，如果前一次登录失败次登录失败之前，如果前一次登录失败后到此次失败之间的间隔时间已超过后到此次失败之间的间隔时间已超过30分钟，则锁定计数器值就分钟，则锁定计数器值就会从会从0开始计算。开始计算。企业的企业的SOLOGENSOLOGENL0GO谢谢观看谢谢观看