计算机网络技术基础-王立征-项目17 本地安全策略.pptxVIP

项目17 本地安全策略;服务器的安全威胁主要来自本地登录访问和通过网络的远程访问，为此，Windows Server 2016 系统通过内置一系列的安全策略和软件防火墙来监管和防范访问者。虽然Windows Server 2016 进行了初始的安全策略设置，但与实际的防范要求相比还有较大差距。 为了降低网络攻击的威胁，保障服务器的安全，我们可以通过以下措施来加固服务器：对 Windows Server 2016 系统安装最新的补丁程序，以修复系统自身的漏洞和错误；设置账户策略以防止密码被盗；添加审核策略来跟踪资源访问者；启动并配置 Windows Server 2016 自带的防火墙，对进、出服务器的数据包进行筛选。;掌握账户策略、审核策略的安全设置。 掌握用户权限分配、安全选项的设置。 掌握 Windows 防火墙入站和出站规则的配置。;账户策略 审核策略 用户权限分配的设置 安全选项的设置 高级安全Windows防火墙的设置;账户策略;入侵者最基本的攻击方式就是破解系统的密码，Windows Server 可通过密码策略来提高密码破解的难度。 1.密码策略的设置 主要包括提高密码复杂性、增加密码长度、增加密码更换频率等。 提示：密码复杂性包含了一下三个方面的要求：密码中的符号不能包含用户名中超过两个以上的连续字符；密码长度至少为6个字符；密码中至少包含A~Z、a~z、0~9、特殊字符（如！、$、、#、%）四类字符中的三类。;密码策略设置步骤如下： 步骤一：按下“WIN+R”组合键，打开“运行”命令窗口，输入gpedit.msc，进入组策略设置。 步骤二：依次选择【计算机配置】-【Windows设置】-【安全设置】-【账户策略】对话框。 步骤三：展开“账户策略”下的“密码策略”窗口，双击“密码必须符合复杂性要求”，打开“密码必须符合复杂性要求 属性”对话框，选择“已启用”单选按钮，启动密码复杂性策略，单击“确定”按钮;步骤四：双击“密码长度最小值”，在打开的属性对话框中设置密码必须至少包含多少个字符。此处可为0~14，0（默认值）表示用户可以没有密码. 步骤五：双击“密码最短使用期限”，在打开的属性对话框中设置密码自从上次应用后距离下次更改密码的最短时间（可为0~998天），期限未到前，用户不得变更密码。0（默认值）表示用户可随时变更密码。;步骤六：双击“密码最长使用期限”，在打开的属性对话框中设置密码使用的最长时间（可为0~999天），默认值为0天，表示密码永不过期。最佳设置范围为30~90天。用户在登录时，若密码最长使用期限已到，则系统会要求用户更改密码，如图17-3所示。 步骤七：双击“强制密码历史”，在打开的属性对话框中设置是否要保存用户以前使用过的旧密码，以便决定用户在更改密码时是否可以重复使用旧密码（可为0~24）。0（默认值）表示不保存密码历史记录，用户在更改密码时，可以将其设置为以前使用过的任何一个旧密码。如设置为3，表示保存密码记录，且用户的新密码不可与前三次使用过的旧密码相同。;提示：密码最短使用期限必须小于密码最长使用期限。除非密码最长使用期限设置为0，那么密码最短使用期限可设置为0~998的任意值。 步骤八：双击“用可还原的加密来储存密码”，打开属性对话框，在“已禁用”情况下，存储的用户密码只有操作系统能够读取，如果允许某些应用程度也能读取用户的密码，以便验证用户身份，则该项策略需要重启，但是系统的安全性将大大降低。;2.账户锁定策略的设置 账户锁定是指在某些情况下（如账户受到采用密码词典或暴力破解方式等），为保护该账户的安全而将此账户进行锁定，使其在一定时间内不能再次使用，从而使破解失败。Windows Server 2016系统在默认情况下，为方便用户，没有启用账户锁定策略。;设置账户锁定策略的步骤如下： 步骤一：按下“WIN+R”组合键，打开“运行”命令窗口，输入gpedit.msc，进入组策略设置。 步骤二：依次选择【计算机配置】-【Windows设置】-【安全设置】-【账户策略】对话框。 步骤三：展开“账户策略”下的“账户锁定策略”窗口，双击“账户锁定阈值”，在打开的属性对话框中设置用户输入几次错误密码后将被系统自动锁定。设置范围为0~999。默认为0，表示不锁定账户。如果设置5次，单击确定按钮后弹出“建议的数值改动”提示框，单击“确定”按钮。 步骤四：在“账户锁定阈值”设置完毕后，“账户锁定时间”“重置账户锁定计数器”都会被激活（此前，这两项均不能设置）。双击“账户锁定时间”，在打开的属性对话框中设置账户被锁定多少分钟后将自动解锁。设置范围为0~99999，单位为分钟，若设置为0分钟，代表永久锁定，不能自动解锁，必须由系统管理员手动解锁。 步骤五：双击“重置账户锁定计数器”，在打开的属性