本地安全策略
Windows 本地安全策略是一组在本地计算机上配置的安全设置,用于管理计算机的安全性和访问控制。这些策略是针对单个计算机的,与域策略不同,本地安全策略不通过域控制器进行集中管理。本地安全策略通过本地组策略编辑器进行配置,提供一些基本的安全设置,用于保护计算机免受潜在的威胁。
域策略(Group Policy)包含对本地安全策略的配置项。在 Windows 活动目录中,域策略提供种集中管理和配置整个域中计算机的安全设置的方式。域策略通过 Group Policy Objects(GPOs)进行配置,可以应用于域中的计算机和用户。
在域环境中,域策略仍然可以通过域控制器进行管理,并且可以覆盖部分本地安全策略。但在 DMZ 或其他需要时,本地安全策略通常是与域策略共同使用,用于提供额外的安全配置,以满足特定的需求。
策略配置
1. 帐户策略
密码策略:
- 最小密码长度: Password must meet complexity requirements.
- 密码历史: Enforce password history.
- 最短密码长度: Minimum password age.
- 密码复杂性要求: Store passwords using reversible encryption.
帐户锁定策略:
- 账户锁定阈值: Account lockout threshold.
- 重置账户锁定计数器: Reset account lockout counter after.
- 锁定持续时间: Account lockout duration.
Kerberos 策略:
- 允许服务票据: Enforce user logon restrictions.
2. 本地策略
- 控制面板安全: Disable Control Panel.
- 用户权利分配: User Rights Assignment (例如 Shut down the system, Change the system time).
3. 安全选项
网络安全:
- LAN Manager 验证级别: Network security: LAN Manager authentication level.
- 最小会话安全: Network security: Minimum session security for NTLM SSP based clients.
用户帐户控制(UAC):
- 运行所有管理员: User Account Control: Admin Approval Mode for the Built-in Administrator account.
- 虚拟化文件和注册表写入: User Account Control: Virtualize file and registry write failures to per-user locations.
4. 应用程序
- 设备驱动程序的安装: Prevent installation of devices not described by other policy settings.
5. 用户配置
- 脚本启动: Run logon scripts synchronously.
6. 文件系统
NTFS 文件系统权限:
- 控制台访问权限: Access this computer from the network.
- 拒绝控制台访问权限: Deny access to this computer from the network.
- 允许在 NTFS 卷上为所有用户创建可写文件的权限: Allow write access to removable storage devices.
加密文件系统(EFS):
- Always Encrypt Offline Files.
7. 安全服务
- IP 安全策略: Secure server.
- 审核策略: Audit object access.
8. 高级审核配置
“高级审核策略配置”涉及到 Windows 操作系统中更细粒度的审计设置。设置在本地安全策略中的“高级审核策略配置”中。
登录/注销:
- 审核网络登录的成功和失败: Audit logon events.
- 审核帐户的成功和失败的登录: Audit account logon events.
- 审核专用登录的成功和失败: Audit logoff events.
对象访问:
- 审核对象访问的成功和失败: Audit object access.
- 审核修改对象的成功和失败: Audit detailed tracking.
策略更改:
- 审核创建、更改、删除用户账户的成功和失败: Audit account management.
- 审核创建、更改、删除计算机帐户的成功和失败: Audit computer account management.
- 审核安全组成员身份的更改: Audit security group management.
- 审核策略更改的成功和失败: Audit policy change.
- 审核帐户密码策略的更改: Audit account password policy.
目录服务访问:
- 审核目录服务访问的成功和失败: Audit directory service access.
提升的权限:
- 审核使用权限提升的成功和失败: Audit privilege use.
过程追踪:
- 审核进程创建: Audit process tracking.
系统事件:
- 审核系统事件的成功和失败: Audit system events.
匿名访问:
- 审核匿名用户的成功和失败的请求: Audit logon events.
网络策略和NPS:
- 审核Network Policy Server的成功和失败的请求: Audit network policy server.
特权的使用:
- 审核使用特权的成功和失败: Audit privilege use.
系统:
- 审核系统事件的成功和失败: Audit system events.
其他:
- 审核远程事件日志管理: Audit log management.
启用这些审核设置时,系统会记录相关事件,以便进行审计和安全分析。
以上是一些本地安全策略的常见配置项。
Ending
