本地安全策略

本地安全策略 任务: 基于服务器安全要求,做为网络管理员,进行安全策略设置。 任务目的: 1( 掌握Windows Server 2003账户策略使用方法。 2( 掌握Windows Server 2003审核策略的使用方法。 3( 掌握本地策略的使用方法。 任务要求: 根据安全策略特性,制定本地安全策略, 写出,并进行实施,实施步骤进行抓屏做为作业上交。 任务具体内容: 一、 备份本地安全策略 依次打开“开始”、“程序”、“管理工具”、“本地安全策略”， 右键“安全设置”，“导出策略”，输入文件名bak.inf，确定。文件 名可以任选，只要你知道是它是最原始的安全策略便可。 二、恢复本地安全策略 1( 在做恢复本地安全策略以前，先建立一个用户，不给口令， 应该顺利建成。 2( 进入本地安全策略，右键“安全设置”，“导入策略”可以看 到许多安全模板，包括你上面备份的那一个，这些安全模板是 Server 2003自带的几套，系统管理员可以不作任何更改将其 应用到系统中来，不同模板安全级别不同，作用网管员应该熟 悉这些模板，在具体工作时，你可以在这些模板的基础上，自 定义出适合具体工作场合的模板。 ( 导入hisecde.inf策略，重新建一个用户，如同(1)一样，3 不给口令，结果,不能建用户，原因:因为本地安全策略与原 来的不同了，它使用了另外一个系统已经设置好的要求用户口 令的安全策略。 4( 导入备份的本地安全策略bak.inf，导入结束后，你再从新建 一个用户，结果,说明了什么, 三、帐户策略 1. 用管理员登录，新建一个user1用户，不输入密码，是否能建成,进入本地安全策略，再进入帐户策略，再进入密码策略，双击密码长度最小值，输入4，退出。这时新建一个用户user2，不输入密码，是否能建成,有什么提示,输入3位密码，结果如何,输入4位密码，结果如何,再进入本地策略中的帐户策略，双击密码必须符合复杂性要求，先已启用，退出。这时再新建一个用户user3，输入密码abcd，1234，a1b2，a1b:，哪个能建成用户,从而说明密码必须符合复杂性要求是指:该密码必须由字母、数字、符号三种组成，缺一不可。最后复原:取消密码必须符合复杂性要求和把密码长度最小值设为0。 2. 用管理员登录，新建一个user4用户，只选下次登录时改变密码，再建一个用户user5，输入密码:user5，只选用户不能修改密码。分别用user4和user5登录，是否都能登录,用管理员登录，进入安全策略，再进入密码策略，把密码最长保存期改为30天，再修改系统时间，向后延长30天，分别用user4和user5登录，有什么提示,能否登录,为什么,用user4用户登录，能否自己修改密码,用管理员登录，进入安全策略，再进入密码策略，把密码最短存留期改为60天，用user4用户登录，能否自己修改密码,用管 理员登录，把系统时间向后延长60天，用user4用户登录，能否自己修改密码,恢复设置值，把上面修改的数据包括系统时间都恢复到原来系统默认值。 用管理员登录，新建一个用户user6，只选下次登录时改变密码，3. 再进入本地安全策略，再进入密码策略，把强制密码历史改为5，用该用户登录，输入密码:111，再用管理员登录，把系统时间向后延长2个月，再用user6登录，有何提示,修改为密码:222，再用管理员登录，把系统时间向后延长2个月，再用user6登录，修改密码，选输入111，有什么提示，再输入222，有什么提示，最后输入333，有什么提示,说明什么, 4. 用管理员登录，新建一个用户user7，选用户不允许更改密码，密码永不过期，输入用户密码:user7。进入本地安全策略，进入账户策略，进入账户锁定策略，把复位账户锁定计数器定为3分钟，把账户锁定时间这为2分钟，把账户锁定阀值设为3次。用user7登录，输入不正确的密码3次，看屏幕提示，再输入正确的密码，能否进入，换一个用户能否登录。这项设置主要是为了防止别人反复试你密码。 四、审核策略 用管理员登录，进入事件查看器。把所有日志全部清空，进入本地安全策略，进入审核策略，双击登录事件，选成功，新建用户user8，用它登录，进入事件查看器，结果,用管理员登录，进入事件查看器，进入安全日志，查看结果。 五、 用户权利指派 1. 用管理员登录，新建一个用户user9，用user9登录，看能否关机，用管理员登录，进入本地安全策略，进入用户权利指派，双击关闭系统，添加，选user9用户，再用user9登录，看能否关机。 2. 用临近的计算机访问自己的计算机(用网上邻居)，看双方是否 能互相访问，设置自己的计算机，进入本地安全策略，进入用户权 利指派，双击拒绝从网络访问这台计算机，选everyone。临近计算 机一定注销，双击网上邻居，能否访问这台计算机，这台计算机能 否访问这台临近的计算机。 3. 用管理员登录，自己试一下拒绝本地登录和更改系统时间。 六、 安全选项 1. 双击“登录屏幕上不要显示上次登录的用户名”，注销，登录，看是否在上次登录的用户名。这样做比较安全。 2. 用管理员登录，进入本地安全策略，进入安全选项，双击“用户 试图登录时消息标题”输入“特别注意”四个字。再双击“用户试 图登录时消息文字”，输入“修改完各项设置后请恢复到修改前状 态”。注销，重新登录，看是否有屏幕提示。 3. 自己试一下允许在未登录前关机和重命名系统管理员账户。 七、安全模板的使用 1( 将“安全模板”和“安全配置和”添加到控制台 , 依次单击“开始”、“运行”，键入 mmc，然后单击“确定”。 , 在“文件”菜单上，单击“添加/删除管理单元”，然后单击 “添加/删除管理单元”中的“添加”。 , 依次单击“安全模板”、“添加”、“安全配置和分析”、 “关闭”，然后单击“确定”。 , 在“文件”菜单上，保存，输入“我的安全模板”文件名， 该名称可以是任意的，只是标识一下你自己定义的安全模板。 2( 使用安全模板 依次单击“开始”、“所有程序”，“管理工具”，“我的安全模板”(上面建立的)，双击“安全模板”，双击“模板存放目录”，可以看到系统已经存在的模板，双击“hisecdc”，双击“账户策略”，再双击“密码策略”，看右侧可以发现它要求用户密码必须是8个等。 大家要仔细看，知道这些模板的具体要求，以备工作中灵活使用。 3( 为了使安全性设置生效，必须对安全性模板进行配置和分析， 4( 右击“安全配置和分析”，“打开数据库”，输入一个名称(任 意，最好标识一下，如普通级、高级限制等)，如putong，xianzhi 等。再选择一个内置安全模板，如hisecde.inf，右键“安全 配置和分析”，“立即分析计算机”这时，可以看到分析结果， 在右侧。如果想使这些配置生效，右键“安全配置和分析”， “立即配置计算机”。 5( 这时再新建一个用户，不给口令，结果,说明了什么, 6( 重复(3)，“打开数据库”时，输入上面备份的最原始的安全设 置bak.inf，其它与(3)相同，结束后，再建一个用户，不给 口令，结果,说明了什么, 7( 自定义模板，如果自带的模板不能满足用户安全需要，则要创建 自定义模板，进入“我的安全模板控制台”，打开已经存在的 模板，右键某一个模板(你自己定义的模板要在它的基础上改 变)，另存为，输入一个你容量记的名子，如test1.inf，右 键该模板，设置描述，可以输入你对这个模板的说明。双击 test1.inf，你可以根据需要自己修改。修改完成以后，右击“安 全配置和分析”，选择“导入模板”将它导入，再次进行分析、 配置。这样才能生效。 最后，恢复课前备份的最原始的本地安全配置设置值。 思考题: 1( Windows Server 2003安全性可以通过哪些设置来简单地实 现, 2( 如何才能发现用户是否访问我的文件, 最后检查一下，一定把自己所做的一切改变全都恢复成系统默认值，特别是管理员administrator。