目录

一：本地安全策略概述

1、本地安全策略的概念

2、打开本地安全策略界面的方式

二、账户策略

1、密码策略

2、账户锁定策略

3、设置账户策略

三、本地策略

1、审核策略

2、用户权限分配

3、安全选项

四、本地组策略

1、本地组策略简介

2、打开本地组策略的方式

3、本地组策略的简单应用

五、总结

---

一：本地安全策略概述

1、本地安全策略的概念

主要是对登陆到计算机上的账号定义一些安全设置，本地管理员为计算机进行设置以确保其安全。例如，限制用户如何设置密码、通过账户策略设置账户安全性、通过锁定账户策略避免他人登陆计算机、指派用户权限等。这些安全设置分组管理，就组成了的本地安全策略。

主要影响的是本地计算机的安全设置

2、打开本地安全策略界面的方式

2.1win+r打开运行窗口，输入“secpol.msc”，就能打开本地安全策略界面

2.2在服务器管理器界面，选择工具，点击本地安全策略，即可

二、账户策略

1、密码策略

• 密码必须符合复杂性要求：不能包含用户的帐户名，不能包含用户姓名中超过两个连续字符的部分；至少有六个字符长；包含以下四类字符中的三类字符：英文大写字母(A 到Z)、英文小写字母(a到z)10个基本数字(0到9)、非字母字符(例如!、$、#、%)，在更改或创建密码时执行复杂性要求
• 密码长度最小值：此安全设置确定用户帐户密码包含的最少字符数，可以将值设置为介于1和14个字符之间，或者将字符数设置为О以确定不需要密码
• 密码最长使用期限：此安全设置确定在系统要求用户更改某个密码之前可以使用该密码的期间(以天为单位)；可以将密码设置为在某些天数(介于1到999之间)后到期，或者将天数设置为0，指定密码永不过期；如果密码最长使用期限介于1和999天之间，密码最短使用期限必须小于密码最长使用期限；如果将密码最长使用期限设置为0，则可以将密码最短使用期限设置为介于0和998天之间的任何值
• 密码最短使用期限：此安全设置确定在用户更改某个密码之前必须使用该密码一段时间(以天为单位)。可以设置一个介于1和998天之间的值，或者将天数设置为0，允许立即更改密码；密码最短使用期限必须小于密码最长使用期限，除非将密码最长使用期限设置为0，指明密码永不过期；如果将密码最长使用期限设置为0，则可以将密码最短使用期限设置为介于0和998之间的任何值；如果希望“强制密码历史"有效，则需要将密码最短使用期限设置为大于О的值；如果没有设置密码最短使用期限，用户则可以循环选择密码，直到获得期望的旧密码。默认设置没有遵从此建议，以便管理员能够为用户指定密码，然后要求用户在登录时更改管理员定义的密码；如果将密码历史设置为0，用户将不必选择新密码。因此，默认情况下将“强制密码历史"设置为1
  强制密码历史：此安全设置确定再次使用某个旧密码之前必须与某个用户帐户关联的唯—新密码数；该值必须介于0个和24个密码之间；此策略使管理员能够通过确保旧密码不被连续重新使用来增强安全性
• 用可还原的加密来储存密码：用可还原的加密来储存密码，此安全设置确定操作系统是否使用可还原的加密来储存密码；此策略为某些应用程序提供支持，这些应用程序使用的协议需要用户密码来进行身份验证；使用可还原的加密储存密码与储存纯文本密码在本质上是相同的；因此，除非应用程序需求比保护密码信息更重要，否则绝不要启用此策略；通过远程访问或 Internet身份验证服务(IAS)使用质询握手身份验证协议(CHAP)验证时需要设置此策略；在Internet信息服务(IlS)中使用摘要式身份验证时也需要设置此策略

在本地安全策略的界面上，点开账户策略，点击密码策略，能够查看到这些密码的策略，根据对账户的密码要求设置密码策略就行

点击放宽最小密码长度限制的密码策略，选择已启用，点击确定，然后点击是

2、账户锁定策略

• 帐户锁定时间：此安全设置确定锁定帐户在自动解锁之前保持锁定的分钟数。可用范围从О到99999分钟。如果将帐户锁定时间设置为0，帐户将一直被锁定直到管理员明确解除对它的锁定；如果定义了帐户锁定阈值，则帐户锁定时间必须大于或等于重置时间
• 帐户锁定阈值：此安全设置确定导致用户帐户被锁定的登录尝试失败的次数。在管理员重置锁定帐户或帐户锁定时间期满之前，无法使用该锁定帐户。可以将登录尝试失败次数设置为介于0和999之间的值。如果将值设置为0，则永远不会锁定帐户。在使用Ctrl+Alt+Del或密码保护的屏幕保护程序锁定的工作站或成员服务器上的密码尝试失败将计作登录尝试失败
• 重置帐户锁定计数器：此安全设置确定在某次登录尝试失败之后将登录尝试失败计数器重置为0次错误登录尝试之前需要的时间。可用范围是1到99,999分钟。如果定义了帐户锁定阈值，此重置时间必须小于或等于帐户锁定时间

在本地安全策略的界面上，点开账户策略，点击账户锁定策略，能够查看到这些账户锁定的策略，根据对账户的密码要求设置账户锁定策略就行

3、设置账户策略

需求描述：

• 计算机账户密码长度最少要有8个字符
• 用户连续3次输错密码，该账户会被锁定

3.1在administrators账户下，设置密码长度最小值为8个字符，点击确定

3.2在administrators账户下，点击账户锁定阈值，选择3次无效登录后账户被锁定，点击确定

3.3在administrators账户下，点击账户锁定时间，根据需要设置账户锁定的时间即可，点击确定

3.4win+r进入运行窗口，输入“cmd”进入命令窗口，输入“gpupdate /force”刷新计算机的本地安全策略

3.5在administrators账户下，修改用户xiao的密码，这里我设置的是5个字符的密码，点击确定

3.6更改的新密码5个字符不符合刚设置的密码策略要求的八个字符，所以不能改更密码

3.7以用户xiao的账户登录，该用户密码输入错误3次，超过账户设定的锁定阈值，该用户的账户已被锁定，且无法登录

3.8在administrators账户下，可以查看到用户xiao的账户已被锁定

三、本地策略

1、审核策略

• 审核策略更改
• 审核登录事件
• 审核对象访问
• 审核账户登录事件
• 审核账户管理
• 审核目录服务访问
• 审核系统事件

1.1点击本地策略，选择审核策略，能够查看到这些具体的审核策略

选中审核策略更改，鼠标右击选择属性，点击说明可以查看审核策略更改的解释说明，查看其他的审核策略的说明也如此操作

1.2查看事件

在服务器管理器的界面，点击工具，选择事件查看器

点开Windows日志，点击应用程序，可以查看计算机所有与应用程序相关审核的事件；选中其中一条事件，鼠标右击选择属性，可查看该事件的详细信息，在这里事件审核失败的原因是许可证激活失败

点开Windows日志，点击安全，可以查看计算机所有与安全相关审核的事件；选中其中一条事件，鼠标右击选择属性，可查看该事件的详细信息，在这里事件审核失败的原因是账户登录失败

点开Windows日志，点击系统，可以查看计算机所有与系统相关操作的事件；选中其中一条事件，鼠标右击选择属性，可查看该事件的详细信息，在这里事件操作失败的原因是应用程序特定权限设置并向在应用程序容器不可用SID

注：

信息：表示该事件操作成功

警告：表示该事件的操作有风险，很大可能以后会失败

错误：表示该事件操作失败

1.3清除日志

2、用户权限分配

可为某些用户和组授予拒绝特殊的权限

在administrators账户下，选择本地策略下的用户权限分配，可根据需要对其他用户授权，这里我选择授权用户xiao更改系统时间的权限

在用户xiao的账户下，可以更改日期和时间，说明设置成功

3、安全选项

可控制与操作系统安全相关的设置

在administrators账户下，选择本地策略下的安全选项，选中关机：允许系统在未登录的情况下关闭，鼠标右击选择属性，可以设置是否启用该安全选项

四、本地组策略

1、本地组策略简介

• 一组策略的集合
• 控制程序、网络资源及操作系统行为

2、打开本地组策略的方式

win+r打开运行窗口，输入“gpedit.msc”，打开本地组策略

3、本地组策略的简单应用

需求描述：
提高计算机的安全性，禁用光驱的自动播放功能

路径：计算机配置->Windows组件->关闭自动播放

五、总结