WSA 第六章 知识点.docVIP

第六章　安全策略 知识点 Edit by LCHSH 1. 什么是安全？ 安全就是保护计算机系统中的硬件和软件资源不被未经授权的非法用户盗取和利用。 2. 什么是本地安全策略？ 本地安全策略影响本计算机的安全设置，当用户登录到某台Windows Server 2003的计算机上时，就会受到此台计算机的本地安全策略的影响。影响的范围包括：哪些用户具有访问此计算机的权限；授权登录用户在本地计算机上可以访问的资源和一些特殊权限；是否在安全日志中记录登录用户的操作事件；控制用户使用的密码策略和帐户锁定策略。 本地安全策略的内容如下： 帐户策略 密码策略 ――――复杂性、长度、使用期限、密码历史、是否可还原存储 帐户锁定策略――――锁定阈值、锁定时间、锁定计数器 本地策略 审核策略――――――策略更改、登录时间、对象访问、过程跟踪、目录访问、特权使用、系统事件、登录事件、帐户管理 用户权限分配――――是否允许网络访问此计算机、更改系统时间、拒绝本地登录、取得所有权、关闭系统 安全选项――――――允许系统在未登录前关机、使用空白密码、帐户是否只允许控制台登录 3. 密码策略主要包含哪些具体策略，各有什么作用？ 　 ① 密码必须符合复杂性要求：启用此策略后，用户帐户使用的密码必须符合复杂性的要求。复杂性是指密码中必须包含大写字母、小写字母、数字和特殊符号四个类别中的三类字符。 ② 密码长度最小值：该安全设置确定用户帐户的密码可以包含的最少字符个数。设置范围0～14，如果设置为0，则表示不需要密码。 ③ 密码最长使用期限：指密码使用的最长时间，单位为天。设置范围0～999，默认设置为42天，即，42天后，系统将强制该帐户修改密码。如果设置为0天，则代表密码永不过期。 ④ 密码最短使用期限：指应用密码后，到再一次更改密码的最短时间，单位为天。设置范围0～998，默认值为0，代表可以随时更改密码。比如，此值设为3，则代表应用密码后，3天之内不能修改密码。 ⑤ 强制密码历史：指多少个最近使用过的密码不允许再使用。设置范围在0～24之间，默认值为0，代表可以随意使用过去使用的密码。 ⑥ 用可还原的加密来存储密码：指密码的存储方式，是否用可以还原的加密方式存储。只用于某些特殊的身份验证，此策略的应用会使安全性降低，所以一般不必启用。 4. 帐户锁定策略包含哪些具体策略，各有什么作用？ 　　① 帐户锁定阈值：指用户输入几次错误的密码后，将用户帐户锁定。设置范围0～999之间，默认值为0，代表不锁定帐户。 　　② 帐户锁定时间：指当用户帐户被锁定后，多少分钟后自动解锁。设置范围0～99999分钟，0代表必须由管理员手动解锁。 　　③ 复位帐户锁定计数器：指用户由于输入密码错误开始计数时，计数器保持的时间，当时间过后，计数器将复位为0。 例：帐户锁定阈值设为5，帐户锁定时间设为30，复位帐户锁定计数器设为10，则表示：10分钟之内，有连续5次登录没有成功，则锁定该帐户30分钟。如果10分钟内，只有4次登录没有成功，10分钟以后，这4次未成功登录将不计。 5. 审核策略的功能是什么？ 通过设置审核策略可以确定是否将计算机中关于安全的事件记录到安全日志里，也可以将用户登录成功或者失败的信息记录在日志中，以方便后期查看。 　　通过事件查看器查看记录的事件信息。 6. 域控制器的安全策略与本地安全策略有什么区别？ 　　如果一台独立的计算机或者成员计算机升级成域控制器，本地安全策略就升级成域控制器安全策略。 ① 影响的计算机不同：域控制器安全策略影响的是DC；本地安全策略影响的是非DC。 ② 打开方式不同：设置域控制器安全策略时，选择“管理工具”中的【域控制器安全策略】；设置本地安全策略时，选择“管理工具”中的【本地安全策略】。 ③ 策略的内容不同：域控制器安全策略中多了Kerberos策略，此策略主要与域用户帐户的登录有关。 7. 域安全策略包括哪些内容？ 帐户策略――――密码策略、帐户锁定策略、Kerveros策略 本地策略――――审核策略、用户权限分配、安全日志 8. 什么时候应用域安全策略？ 　　本地安全策略需要在每台计算机上进行设置，如果域中有多台计算机，则设置安全策略的工作量就会很大，应用域安全策略就可以解决这个问题。 　　域安全策略影响着域中的每台计算机的安全设置。 9. 三种安全策略的关系如何？ 　　本地安全策略和域安全策略冲突时，域安全策略生效。 　　域控制器安全策略和域安全策略冲突时，域控制器安全策略生效。