Windows Server 2008配置系統安全策略

下面學習Windows Server 2008配置系統安全策略 在工作組中的計算機本地安全策略有 用戶策略，密碼策略，密碼過期默認42天 服務賬戶設置成永不過期，帳戶鎖定策略，本地策略，審覈策略，計算機記錄哪些安全事件  最後在域環境中使用組策略配置計算機安全。

1.在工作組中的安全策略，打開本地安全策略。

2.打開本地安全策略之後選擇密碼策略，可以看到有很多的策略，先看第一個密碼複雜性要求。

3.打開密碼必須符合複雜性要求，默認是打開的，我們在設置密碼的時候，不能設置純數字或者純字母，必須要有數字加大小寫。

4.密碼長度最小值，這個是設置密碼最低小於幾位數，默認是0，這裏修改爲6位，在設置密碼的時候必須滿足6位，包括數字字母大小寫或者特殊符號。

5.密碼最短使用期限，默認是0天這裏設置爲30天，在30天不會提示你修改密碼，必須要使用30天才能改密碼。

6.密碼最長使用期限，默認是42天，這裏修改爲60天超過60天之後會提示讓你修改密碼。

7.強制密碼歷史，這個選項是你修改密碼時不能一樣，默認是0，這裏設置爲3次，修改3次密碼之後才能修改回第一次使用的密碼。

8.打開賬戶鎖定策略，賬戶鎖定值默認是0次，可以設置5次超過5次就會把這個賬戶鎖定，爲了防止別人入侵你的電腦，等待半個小時之後就會自動解鎖，或者聯繫管理員自動解鎖。

9.賬號鎖定時間，默認是30分鐘自動解鎖，也可以自己修改，這裏修改爲3分鐘自動解鎖。

10.現在lisi這個用戶輸錯五次密碼，就算輸入正確的密碼，提示賬戶已鎖定，無法登錄。

11.打開服務器管理器，選擇本地用戶和組，可以查看lisi這個用戶，輸錯5次密碼之後賬戶已鎖定，管理員可以手動把這個勾去掉，然後確定就能登入了，或者lisi這個用戶等待3分鐘之後賬戶會自動解鎖。

12.打開本地策略，選擇審覈登錄事件，默認是無審覈，這裏我勾選成功跟失敗，然後確定。

13.打開事件查看器，選擇安全把裏面的事件先全部刪除，然後使用lisi遠程登錄到這臺計算機。

14.清除完之後，使用lisi這個用戶遠程登入到這臺電腦，第一次我密碼輸入錯了，會有一個審覈失敗，然後輸入正確密碼，顯示審覈成功，打開一個審覈成功，登錄的事件。

15.雙擊打開之後，可以查看用戶名，任務類別是登錄，是審覈成功。

16.打開審覈對象訪問，然後我們勾先失敗，點擊確定，然後在C盤創建一個李四文件夾，拒絕李四這個用戶訪問。

17.在C盤創建一個李四文件夾，然後右鍵屬性選擇安全，點擊高級打開審覈把lisi這個用戶添加進去，然後選擇失敗，然後確定。

18.然後點擊添加，把lisi這個用戶添加進來，lisi這個用戶的權限都是拒絕，使用lisi遠程登錄這臺電腦，訪問C盤下面的李四文件夾。

19.現在lisi這個用戶遠程登錄到這臺電腦，然後打開C盤李四這個文件夾，提示拒絕訪問。

20.打開事件查看器，可以看到審覈失敗，隨便打開一個，可以看到賬戶名是lisi這個用戶，訪問對象是C盤根目錄下面的李四文件夾，任務類型是文件系統，關鍵字是審覈失敗，誰登錄過這臺電腦，做了什麼操作，在事件裏面都有記錄信息。

21.用戶權限分配，這裏選擇從網絡訪問此計算機，打開之後能看到那些用戶可以通過網絡訪問這臺電腦。

22.從遠程系統強制關機，默認只有管理員administrator，使用lisi這個用戶遠程登錄測試。

23.現在使用lisi這個用戶遠程登錄到這臺電腦，想強制關機可以看到是灰色的，沒有權限，使用管理員在用戶權限分配裏面把lisi這個用戶添加進去。

24.現在管理員把lisi這個用戶添加到從遠程系統強制關機，然後把關閉系統也添加一下。

25.把關閉系統，也添加一下lisi這個用戶，然後進行測試。

26.現在lisi再次遠程登錄這臺計算機，可以查看已經有權限重啓電腦跟關閉計算機了。

27.拒絕本地登入，現在把lisi這個用戶添加進去，然後點擊切換用戶，使用lisi這個用戶登錄到這臺計算機。

28.現在就沒有lisi這個用戶了，只有一個本地管理員用戶。

29.現在把lisi從拒絕本地登入刪除，然後再試一次。

30.現在管理員跟lisi這個用戶都能登錄到這臺電腦。

31.安全選項，這裏選擇不顯示最後的用戶名，默認是禁言這裏選擇啓動，然後確定。

32.打開用戶登錄之前的消息標題，還有消息文本。

33.登錄的用戶信息文本，然後點擊確定，進行切換用戶測試。

34.在用戶登錄之前，會提示你不要隨便刪除裏面的資料。

35.啓用了不顯示最後的用戶名，就是這樣什麼都不顯示，不知道之前登錄的是哪個用戶，這樣也比較安全。

36.軟件限制策略，打開其他規則右鍵新建哈希規則，現在是能夠打開記事本的，新建一個規則不允許打開記事本。

37.打開記事本然後右鍵，複製目標然後打開瀏覽，粘貼進去點擊確定，會自動算出哈希值，安全級別選擇不允許，然後確定。

38.右鍵在創建一個路徑規則，不允許C盤下面lisi文件夾裏面的應用程序允許，然後確定需要重啓電腦才能生效。

39.重啓電腦之後記事本已經打不開了，提示被組策略阻止。

40.選擇打開C盤裏面的李四文件夾，裏面有兩個應用程序，雙擊打開提示此程序被組策略阻止，無法打開。

41.使用組策略，管理下面的計算機，打開活動目錄，銷售部有一臺FTPServer計算機，現在使用組策略來管理他。

42.打開組策略管理，選擇銷售部然後右鍵在這個域中創建GPO，然後點擊編輯。

43.打開編輯，這裏面的策略比本地的多。

44.打開FTPServer計算機本地策略，可以看到密碼策略裏面的策略是不能修改的，使用的是域組策略。

45.在Server服務器上面修改密碼策略，最短要求兩位，添加右鍵受限制的組，添加管理員，在添加domain admins成員確定。

46.在活動目錄修改密碼策略爲兩位，現在FTPServer計算機中查看也只有兩位不能修改，現在創建一個用戶爲xiaoli，密碼滿足三位加大小寫就可以創建成功。

47.上面使用命令行創建了一個xiaoli用戶，現在把他添加到管理員組。

48.添加到管理員組，刷新一下策略或者重啓一下電腦xiaoli這個用戶就會自動從管理員組裏面刪除。

49.刷新成功之後，xiaoli這個用戶就沒有管理員權限了，是因爲在Server服務器配置了受限制的組。