配置本地安全策略

1、BENETIma«a第六章配置本地安全策略一、实验目的1 .熟悉账户策略配置（密码策略和账户锁定策略）2 .了解并会配置审核策略3 .会给用户配置一些特殊的权限（如：关闭系统）4 .开启Telnet会使用防火墙策略二、实验拓扑无三、实验步骤1）密码策略（设置密码复杂性、最长使用期限和最短使用期1.选择“开始”菜单一“管理工具”f打开“本地安全策略”TBENET41II2.打开“账户策略”下的“密码策略”选项fENtTV3.03.选择“密码必须符合复杂性要求”根据自己的要求选择启动或禁用(密码复杂性要求是指密码必须符合英文大写、英文小写、十个基本数字、特殊符号，这四项中三项)吗安全设羌

2、B：i帐户量略王口密玛茎略引名帏户曲走锥略>&本地盖部尼融安生Yindwm昉火窗襁列表售E察策潞SJ公钥策监E二软件限制第啕.+再疗安全荒略，在本地计算机第潞击毗顿符合龄性要求密码长度最小值二摩加他司旦牌电.雷网一鬻本帼全强置弼安全设置在用字禁干已&密用用领胃合七条廿心米Eft义区密利必须存言豆杂也要求P己觐间已藤用1期消|应用阂TBGNET14G垦.立芹的操作如查看翱助如-，|匕苗X匚）B国4.“密码最长使用期限”系统默认为42天。设置范围为099如果设置为0,表示密码永不过期3.“密码最短使用期限”此安全设置确定用户更改某个密码之前至少使用的天数。系统默认为0,也就表

3、示用户可以随时更改。2）在“本地安全策略”中打开“账户锁定策略”北大胃乡1.“账户锁定阈值”指用户输入错误密码的次数达到一个值时，就将此账户锁定。系统默认为0,表示不锁定账户BENETI.TV3,02.将账户锁定阈值可以设置为一个099之间的数值，例如:3.复位账户锁定计数器和账户锁定时间系统默认为30分钟，意思是说30分钟（账户锁定计数器）之内用户输错3次（账户锁定阈值）锁定30分钟（账户锁定时间）1本地安全第嚼文件巧操作如查看M祭助的EKq.1安全妞复位帐户维计数器帐吨图寸间30分钟之后30分钟【帏户iiMl值一FWT之百IX臼日国1亳玄至错置La株户箫酩41_.3密码就略司曰株户通定策能

4、出口本地第略F高级安全tiaioM防火墙河甯”未曾理曹萧潞ra.二公朝第爵*,二软忤限制箫解田同需支全策略，在本地计苴机3)本地策略|(BENET»j-<<1 .在“安全选项”中选择“交互式登陆：无需按Ctrl+Alt+Delete选择“已启用”S£N£T2 .选择“用户权限分配”中的“关闭系统”%玲,F匕麟户铺串A密码茶圈.为帐户锁虚牖Ea击般昭庄.高扬麦至HiMm：防火脩网络利康管理簿说昭庄一世踊暗EJ软件限制族明国量口安至黄陶，在本地讨算机*，1力而|*回昌国国文件仃）操作亘音的帮助如是木挂安华笛南e移户全市用安-11x融1史主设置普伊文件和目录

5、充当强作系统蛇遍Adninistrat.QrsJ.创建符号耨接Adninistretors创建至冷对监创建一个金牌对桑L0C<皿VZUEj乩创建一个页面友件创建永女共享对象Adniihistratojrs现犷展呜上取下计算机Adjiini£ti"atorsM网络访问1的十箕机EerycmAdfnini.加远程系统强制关机Adniihistratojrs更战时区LOCALSERVICE,k.更改系虢时间UICM,皿皿簿配.口+在正Administrators,.1售理审核和安至日志Adniihiitr4tajrs还原文件和目录Adumix£i"

6、71;i-tors?.加载和卸氧设管跑动程算将工作自占涛加到城将页制定在内存拒附本地登录拒绝从网络访问这白计算机拒绝作为朋务登录拒绝作为批处理作业登录Adninistsratcrs理置交件单个迸程Adnmistretors出置文件系统!能AdjiiniEtrAtors取得文件或甘崛1条的斯有权Adninistrators境过遍田拓直Everyftiift,LOCAL._1县格岭小后相加寿H发Tnr：fcT.RKmEm二J系统默认administration和backupoperators为可以关闭系统的用户和组BENETill3V3.0Administratio嚅要给哪个用户分配关机的权限，将

7、他添加进来就可以了S£NETV3.0选择用户或组,istratorsoi吃Administrators,SERVICE,.I.SERVICE.istratorsiistratorsistrators三，2-iprsiX|对象类型口）二查找范围选择此对象类型（S）：I用户或用贵安全主体查找位置CF）：町H-FGAQXgMTEF输入对象名称来选择缶例）更）:检查名称|?rs：AL审楂策略更改审核登呆事件南将对鱼访问审核进程跟踪审核目录符访问甫核特权使用审核系统事件,审懒户啜录事件审楼帐户管理核核核楂核核梭核核审雨市市审审市审审无无无无无无无无无3 .在“审核策略”本地安全策文性的力作查看

8、犁助值，|为而iXqlll豆3安全设置日下帐户箫略巴密码策略4帐户读定策略后本地箫略由桂茹暗国d用户权限分配+口安全选项0_.高级安全Windom防比高F1。高舞安全Tinlws昉火睹本推口入站则K3曲占版4工违搐安全机则二网络列表管理器箫略固_公钥策略国软件f艮制箫略+Sf】F安全策略，在本地计算机1.选择“审核对象访问”勾选审核所有操作（确定是否访问某个对象如文件、文件夹、注册表项、打印机的事件）文件tn操作壹百需助冲不有I/商XS&lE市本地安至设置I说明I审核对象谛问，安全谀岩匕i帐户统密科第圈1A戟户改定融0l太bffl第潞口审核策晤03用户权限拈窗i*i3安全选项F.高姮安

9、全Wind。”防火后H0高级安全Windowi防火墙-$itEJ人沾规则S3出去损则连槎安全想刚就列表管理罟第晤H公朗铸酬H软件限制策略MIF安全牖在本地计算机策略上安全设用串核策昭更改审核登录事件否审核对象访问南横沿程跟踪无审檎甫桂目录而翁让同王申楼甫穆特权使用无审核审垓系统事件无审核审核帐户赞录事件天审核审楼帏户堂+里无审核1串被现装访问属柱审核摘磔揭但P财的P失臆通悔Iff早制*茜略以首代类别级别甫桂德潞叫可有环玄I流|取消I应用?）在桌面建一个文件夹。在文件夹上单击右键“属性”f“安全”一“高级”“审核”添加需要审核的用户或组新建文件夹的高夔安全设置I送择用户或组选择此对象类型CS）:

10、I用户、组或向式安全主体对象类型）.I查找位蚤Q）：|乔丽丽而查找范国工）一输入要选择的对象名称也!1如）5：检查名称一）|选择之后选择添加审核项目新建文件夹的审核项目对象I名称国）：|-FGAQXG5KTZPAimstrator）更改心），应用到心）|该文件夹，子文件夹及文件可访问：成功失败口口口口匚叼口目口口口|_口口口口回口口【兀王十工科I遍旧文件夹/执行文件列出文件夹/读即敷据读取属性濡即犷展属胜创建文件/写入数据创建文件夹/附加数据写入属性删除子文件夹及文件删除出闲I-你将里里按项目应用到此容器中的对全部清除0J1家和/或咨装0管理审核确定|取消|对文件夹做一些操作（如：新建文本文档

11、、删除文档）在“开始”菜单一“控制面板”“事件查看器”中查看审核记录-IDlx文件注）操作hi直看的帮助00$It后闺凝口|聿件蜜看若辱地JFt自定义视图£1、Wirkdows日志Z应用程序Etftvpi*至彝口转发的事件*学应用程序和咨日志；1订阅熨全629个睾件审申甲审审审审审审本审审42011/IS/2S16:21:58Micrci.2011/12/26&；26：53Micr«20II/I2/2&16：2S：S3Hicre.2DII/I2/2S16:25:53Miere_.2011/12/26坛:2S:53Micrc.2011/12/2616；26；4

12、5Mid即11/12/年16：空：45Iflicre.2DII/I2/2&16:空：强Micrc_.2DLI/l£/£61S:2S：45Micrc.ZQII/IZ/2616；24；53MiCT4.wufiva16：2电解Miere.2DI1/I2/2&16:17:32Iflicrc.20LI/IE/2616:17:32iMicrc.B片s56544so6so6&5Q-555-S55666B6G6B4q44444学转视I洋安信息|已通求到沃泉的句柄,Til1clpdjVj操作安至4打开保存的日志.Y宫|隆自定义视图导人自定义视圉.清除日志.Y筛选当前日

13、志.二I®l±触我一U将事件另存为胡镑附加到此日Q恒Q都助卜事件465shMicrosof.一事件霭住将任翎1加到此事南复制用保在选桂的事件3）windows高级防火墙设置1.开启Telnet使用防火墙策略（添加Telnet功能）单击“计算机”右键“管理”在“添加功能”中勾选添加Telnet服务器和Telnet客户端文件叫播怅闵查香旧薪助CHJ在eKltfs仲都角*|.配存席予-国AJJ1身A田国田3田-功课摘爰员择功能送杼野支蟹在士哥兽上的一个期多个组能*琉的tnLaN存砧病名服劳器l_m塞t打印客.fiLlfr通口监袒器匚5心仔。管理钙MTP雕哲法T-IMPBi叁a照寿

14、界i.V&ndwsPwifer?htElEISwvsrBAckuj）犯整HI愀间打进狸痂舌服劳C4-f内都J!4萌L而哈源E理理匚¥IH5蹒涔I时等在陶用护肉位口多潞传V0口也单弱挈;I济1_基于VHIX的应用程序子半缓匚百单TCT/I?抿毋匚可修珈Y帖管I里苦n:*悻瞽1田*1田tdk完成添加之后单击进行“安装”他:加Telnet服务描述.fiuL京FS停闻悔谢厘持划阮辑hlMt眼需将#运行诿雄麟25上船应用程序。用能刘要正明在“开始”菜单“管理工具”-“服务”中开启Telnet服务ijnjmJq*若（本地服务i本出）TeJ.ik.et羽品混国户竞录到此计算机算运行1S五.

15、三不把各同TTF/TF-Tn5忘.TaskScltAdular餐TCghtMOS.TelephonyIrlnrl的尾性t本地H耳机1常规|登录I恢夏|依存关系|图若名称TlntSvr吊示总舐（X）,TEngt碑Q储彝嚅鹊肥辘雷港引可枕行文件的够径比：C%11k泡3:1«（瑰，匕1口4工合.工卡启动类X旗：|蔡助我配岩眼莽巨进过;币&晦势状於已侬选择于助或自动.动的|停止5|普停的二|嫡而j当,此处启动留用小您可招定所适用的后功鳏N网算如：r省klc尤此“箍幽.应用I选择“应用”一“启动”“确定”烧I官让类型!登录为上本地系黑本地豚降网络嬲本地联号网络邮本地系籁本地系本地系续本

16、地用彩本地系统本地躺舟本地需再本地服养本地输本地系本地系线本地薇4本地系籁本地系本地需等本地亲我本地被_本地系本地舞4网络邮,在“网络和共享中心”中查看是哪种配置文件臭网络和其至中心屋怕W磁网络和共享中心依麻文件如调辑查看叼工具m帮助四任劳查看计苴机和谭管隹接到网鳏设置连捶或网务省理网络连捶沙舒和隹豆网罄却共学中心查看克整融酎Htf-PGASKcEMTZP毗讲算机】IntsrMt.L*识别的网绪|您用网络）自日访问r次地本埔隹推直看状态理共享和友理网络拄现7关闭文件月生7启用怂用文件夹共京Q关闭%阐其享Q关闭坏安装打印机密码保沪的其拿一启用商弟爵Int«rn«t选项Find

17、oivx防火墙显示我正在其享的所有文件和文件夹显示这白计售机上所有共享佳网络文件夹在windows2008高级防火墙中配置公用网络的windows防火墙属性选用“公用配置文件”启用防火墙皖北大胃乡BENET<*-*<*V3.0高级安全WindowS防火塔-本地组策对象城配置文件|专用配置文件公用比量文件|IFSec设置|指定将计算机连接到公用网络位置的行为。防火墙状态伊）：1启用推荐）zJ入站连接：|阻止联认值zl出站连接CD:|未配置2dHindo心防火痼行为的状态制控0i自定义比）指定用于靛难解答的日志设置。自定义CU）.1胡议哒青詈的在细信用确定I取消应用®I查看“

18、入站规则"Telnet服务器是否启用口北大胃名cc-rwuiBENET-ill3,嘉毋泰全Tindnw防火墙文件切操作查看叫我助第安吟I为丽|国|日面检聿坨计算机上融费金丫皿入站观明13沙蛾rai江福安全颇1+七监州，1±1缩;0DF5窗里CiGF-ln）过口冏gliffur-rti）STS眼羌（TCP-H，gKerb础叱密相发行中心-FCEEP-In），也值Fb.r”密钥版行中心-FCROnw-In），Kerb一心密铝发行中心门的口）尊如htTUM密钥点行中心CUDP-IiO，WLtlcgon朋务Off-Ea）M脚F陷阴期旁MJF加I阿P略阳昭苓（UDPIQ 7«

19、;lt远理智理耻7命Tvln9说程岩理网EPHAPJTcluE远程管理面:-占）YindjcsM回aganmtInslirunetitu.ticrt. vg*FM涉a绊n面tImlrs¥Fh，qti4m.TimrLtnrmMutaUEe"t.Ici3lrweato.ti-oh.sew远程访问时火而航则-配的h.snr近程访i破火1酬贝I-SchLj*.sew国i诗i硼*1觎则-勒曲婚匕.TimdEM防火痂运程岂理政门Tindows昉光痂远程管理侬r-EFUAF）左口也门远程管理（HTTFIiO安至营捏字催通心政心知广工启好布式半苔姓哩拉彳瞄tKKJ君席式事瞽处理由*璃诉-氏

20、N通）分布式事劳it理心调器门匚户12，营俵心颜-丁池”酊*1组菅悭办设口明核心网络"UrfCD令In）福心-T«r*d.D（UnP-In）1森核心谶-独氟问题（KHF-工砧，俵心版-超时rmr碉-皿）心核心网络-幼态主机够也设mucp-niJ通核心确-承结他听程序报告/cc.森核心谶-步第傲听程序报告红加话.占核心陞&-缪筠质听理与查词（ICWifl.绢-置蛋文件DFS管理任闰日期DFS管悭任问B期iSCSI明铸任何日期Kirbsros密矩分斐中心任何日期rtrlwti更朝分发而心任何日期KerberdS密钥分发中心任何日期Kerberos强楣纣发申心姓何日期N&

21、#171;tlcigon雷劈任何日期SNFFTrip回删Fn即专用.心隹Telriet仔河日期口:Lm匕服若施拉管理E旧日期1ml阳务器近程菅理任问曰期Telml眠否常日程孟理任何日期Teiml服莞器远程管即任何日期WiiLdowsFluLancsThtInst.任何日期Wi词Q”色罐电m型Tnfti任问日期WindlovlManafcnientIii3t.任同臼期WTLd0¥3安全比孟向导任何日期制版”工交全耻勤司导任何日搦熊曲”f友全配式向舁任闷日期格通”昉K横也徨罡国任何日期WlJlda¥3哨火情彳亏程量作任何日即Wiitdavs远程置理任国日期理全套接手隆迪协说任何

22、日期分布式圣务母调涔工1任何日期分布式主轴调器工，4f何日期分布式率号出调器sro任何日期核七铜绢任何日期核心网箔任何日期梭心网络任何日期核心伺络任何日期核心网络任何日期核心网箔任何日期梭心网络任何日期横心轲描E同日期核心网络任国日期测试网络连通性，在DOS命令行中使用“Ping”测试是是否是是王总否否否耳害香舌舌舌舌舌舌舌舌舌舌舌舌舌舌否是是是是是是是是是一而许许许注许许许许许许许许许许汴许许许许许许许许许许：而兄元允允长先允允兄元兄兄兄兄兄兄兄兄孔兄兄兄兄允允.乂否告舌舌舌告舌舌1tli否通过Telnet连接windowsserver2008在DOS命令行下输入“TelnetIP地址”Mi

23、crosoftTelnetSeruerC：MIserisMidniinistpator>结果可以连通Q£NET4»将Telnet服务器阻止连接”高投安皇防火IB文件口梯作g查看帮助第*匕扁Iml国获本地计苴机上幽高期安全2R一规则P出站规则土建瞧全腼住,嚼祖入站羯则蟒&DPS苣埋CSRBrG心DPStTCP-Ih)0BFS言理WNI-IaJlEcsi眼劳小:卜工加窗)Cerkerw峦留城行中心-FCR(TCT-IOJfterkrom密甥发行中心-PCR(WlF-lii-j©K-rUroj密利发行市心Ef-LOi5JK*rb«ro=密阴发行中

24、心(UDF-lrJJTZ11酒服务和-12的”醐照务物F=n)沏FP醐眠哥如F1GISflI配黑文件已启用摩:I函+.*EPS苣理EPS管理EFS言磔.SCSI%智Xkers击朝分龙中心K*rlero=*胡分发中心K*r'b*ro=密楣分发中心K*r'b4roi密阴分发申心Bitl»fcai照劳StfH?Trtp£01?T4任何日期田叫I期任伺日期住伺日期在伺日圜倬何日期任何日期任何日期任何日期出专用，公用S者普否否否否舌舌舌舌舞鬻辔渝鬻舞是是是否是是是是舌舌舌flBSST*hiS园是首崖：ON-IMrtintIQffF-raiTltiH近程兰理CKPC-E

25、WAHTelnul远程官理映C-IEVindoYSHajLaceien.1:LnstrunentB.tion.YmdovsHui匕£5悭蛇±Lustrunent&.tion.YindavsHankemeEitLustrun&ntk.tion.SO远程访何昉火棺蹶-5"huft口远程语阿防火情也则"M"h”t阿远程访阿防火情也则-S«ho=tVindo«防火燃近底笥里柒邙髀词”,EfijffiinfFga(KFC-&PHAT)Yi泡应税管理(KH7r，J安全苣接;隧方故说ISSmH)学分叔韦劳处哩防调52（KPCJ分布贰事有姓国故四52®PC-EMftP）分布就军者处理协调能（TCT-I既根心阚络-Literal相管E甲饰依口倒|&梭心网笳-Lfi6QF内