windows server 2008 本地用户和组重点.ppt

任务3 设置本地安全策略 1）密码必须符合复杂性要求 对于工作组环境的Windows系统，默认密码没有设置复杂性要求，用户可以使用空密码或简单密码，如“123”、“abc”等，这样黑客很容易通过一些扫描工具得到系统管理员的密码。但是对于域环境的Windows Server 2008，默认即启用了密码复杂性要求。要使本地计算机启用密码复杂性要求，只要在“本地安全设置”控制台中选择“账户策略”下的“密码策略”，双击右边的“密码必须符合复杂性要求”，选择“已启用”单选按钮即可，如图2.20所示。 任务3 设置本地安全策略 图2.20 启用密码复杂性要求 任务3 设置本地安全策略 启用密码复杂性要求后，则所有用户设置的密码，必须包含字母、数字和标点符号等才能符合要求。例如，密码“ab%3D59”符合要求，而密码“kadfjks”不符合要求。 2）密码长度最小值 默认密码长度最小值为0个字符。在设置密码复杂性要求之前，系统允许用户不设置密码。但为了系统的安全，最好设置最小长度密码值为6或更多的字符，如图2.21所示设置的密码长度最小值为8个字符。 任务3 设置本地安全策略 图2.21 设置密码长度最小值 任务3 设置本地安全策略 3）密码最长使用期限 默认密码的最长有效期为42天，用户账户的密码必须在42天之后修改，也就是说密码在42天之后会过期。默认密码的最短有效期为0天，即用户账户的密码可以立即修改。与前面类似可以修改默认的密码最长有效期和最短有效期。 4）强制密码历史 默认强制密码历史为0个。如果将“保留密码历史”改为“3”个记住的密码，即系统会记住最后3个用户设置过的密码，当用户修改密码时，如果为最后3个密码之一，系统将拒绝用户的要求，这样可以防止用户重复使用相同的字符来组成密码。强制密码历史的设置如图2.22所示。 任务3 设置本地安全策略 图2.22 设置强制密码历史为“3” 任务3 设置本地安全策略 2．账户锁定策略 Windows Server 2008在默认情况下，没有对账户锁定进行设定，此时，对黑客的攻击没有任何限制。这样，黑客可以通过自动登录工具和密码猜解字典进行攻击，甚至可以进行暴力模式的攻击。因此，为了保证系统的安全，最好设置账户锁定策略。账户锁定原则包括如下设置：账户锁定阈值、账户锁定时间和复位账户锁定计数器。 默认账户锁定阈值为“0”次无效登录，可以设置为5次或更多的次数以确保系统安全，如图2.23所示。 任务3 设置本地安全策略 图2.23 账户锁定阈值 任务3 设置本地安全策略 如果将账户锁定阈值设置为0次，则不可以设置账户锁定时间。在修改账户锁定阈值后，可将账户锁定时间设置为30分钟。就是当账户被系统锁定后，在30分钟之内会自动解锁。这个值的设置可以延迟它们继续尝试登录系统。如果将账户锁定时间设定为0分钟，则表示账户将被自动锁定，直到系统管理员解除锁定。 复位账户锁定计数器设定在登录尝试失败计数器被复位为0（0次失败登录尝试）之前，尝试登录失败之后所需的分钟数。有效范围为1～99 999分钟。如果定义了账户锁定阈值，则该复位时间必须小于或等于账户锁定时间。 任务3 设置本地安全策略 3．用户权限分配 Windows Server 2008将计算机管理各项任务设定为默认的权限，例如，允许在本地登录系统、更改系统时间、从网络访问此计算机、关闭系统等。系统管理员在新增了用户账户和组账户后，如果需要指派这些账户管理计算机的某项任务，可以将这些账户加入到内置组，但这种方式不够灵活。系统管理员可以单独为用户或组指派权限，这种方式提供了更好的灵活性。 任务3 设置本地安全策略 用户权限的分配在“本地安全设置”控制台的“本地策略”下设置，如图2.24所示。下面举几个例子来说明如何配置用户权限。 （1）从网络访问此计算机。从网络访问此计算机是指允许哪些用户及组可以通过网络连接到该计算机，如图2.25所示。默认为Administrators、Backup Operators、Power Users、Users和Everyone组。由于Everyone组允许通过网络连接到此计算机，所以网络中的所有用户，默认都可以访问这台计算机。从安全角度考虑，建议将Everyone组删除，这样网络用户连接到这台计算机时，就会提示输入用户名和密码，而不是直接连接并访问此计算机。 任务3 设置本地安全策略 图2.24 用户权限分配 任务3 设置本地安全策略 图2.25 设置从网络访问此计算机 任务3 设置本地安全策略 与该设置相反的是“拒绝从网络访问这台计算机”，该安全设置决定哪些用户被明确禁止通过网络访问计算机。如果某用户账户同时符合此项设置和“从网络访问此计算机”，那么禁止访问优先于允