Windows Server 2008配置系统安全策略

下面学习windows server 2008配置系统安全策略 在工作组中的计算机本地安全策略有 用户策略，密码策略，密码过期默认42天 服务账户设置成永不过期，帐户锁定策略，本地策略，审核策略，计算机记录哪些安全事件  最后在域环境中使用组策略配置计算机安全。

1.在工作组中的安全策略，打开本地安全策略。

2.打开本地安全策略之后选择密码策略，可以看到有很多的策略，先看第一个密码复杂性要求。

3.打开密码必须符合复杂性要求，默认是打开的，我们在设置密码的时候，不能设置纯数字或者纯字母，必须要有数字加大小写。

4.密码长度最小值，这个是设置密码最低小于几位数，默认是0，这里修改为6位，在设置密码的时候必须满足6位，包括数字字母大小写或者特殊符号。

5.密码最短使用期限，默认是0天这里设置为30天，在30天不会提示你修改密码，必须要使用30天才能改密码。

6.密码最长使用期限，默认是42天，这里修改为60天超过60天之后会提示让你修改密码。

7.强制密码历史，这个选项是你修改密码时不能一样，默认是0，这里设置为3次，修改3次密码之后才能修改回第一次使用的密码。

8.打开账户锁定策略，账户锁定值默认是0次，可以设置5次超过5次就会把这个账户锁定，为了防止别人入侵你的电脑，等待半个小时之后就会自动解锁，或者联系管理员自动解锁。

9.账号锁定时间，默认是30分钟自动解锁，也可以自己修改，这里修改为3分钟自动解锁。

10.现在lisi这个用户输错五次密码，就算输入正确的密码，提示账户已锁定，无法登录。

11.打开服务器管理器，选择本地用户和组，可以查看lisi这个用户，输错5次密码之后账户已锁定，管理员可以手动把这个勾去掉，然后确定就能登入了，或者lisi这个用户等待3分钟之后账户会自动解锁。

12.打开本地策略，选择审核登录事件，默认是无审核，这里我勾选成功跟失败，然后确定。

13.打开事件查看器，选择安全把里面的事件先全部删除，然后使用lisi远程登录到这台计算机。

14.清除完之后，使用lisi这个用户远程登入到这台电脑，第一次我密码输入错了，会有一个审核失败，然后输入正确密码，显示审核成功，打开一个审核成功，登录的事件。

15.双击打开之后，可以查看用户名，任务类别是登录，是审核成功。

16.打开审核对象访问，然后我们勾先失败，点击确定，然后在c盘创建一个李四文件夹，拒绝李四这个用户访问。

17.在c盘创建一个李四文件夹，然后右键属性选择安全，点击高级打开审核把lisi这个用户添加进去，然后选择失败，然后确定。

18.然后点击添加，把lisi这个用户添加进来，lisi这个用户的权限都是拒绝，使用lisi远程登录这台电脑，访问c盘下面的李四文件夹。

19.现在lisi这个用户远程登录到这台电脑，然后打开c盘李四这个文件夹，提示拒绝访问。

20.打开事件查看器，可以看到审核失败，随便打开一个，可以看到账户名是lisi这个用户，访问对象是c盘根目录下面的李四文件夹，任务类型是文件系统，关键字是审核失败，谁登录过这台电脑，做了什么操作，在事件里面都有记录信息。

21.用户权限分配，这里选择从网络访问此计算机，打开之后能看到那些用户可以通过网络访问这台电脑。

22.从远程系统强制关机，默认只有管理员administrator，使用lisi这个用户远程登录测试。

23.现在使用lisi这个用户远程登录到这台电脑，想强制关机可以看到是灰色的，没有权限，使用管理员在用户权限分配里面把lisi这个用户添加进去。

24.现在管理员把lisi这个用户添加到从远程系统强制关机，然后把关闭系统也添加一下。

25.把关闭系统，也添加一下lisi这个用户，然后进行测试。

26.现在lisi再次远程登录这台计算机，可以查看已经有权限重启电脑跟关闭计算机了。

27.拒绝本地登入，现在把lisi这个用户添加进去，然后点击切换用户，使用lisi这个用户登录到这台计算机。

28.现在就没有lisi这个用户了，只有一个本地管理员用户。

29.现在把lisi从拒绝本地登入删除，然后再试一次。

30.现在管理员跟lisi这个用户都能登录到这台电脑。

31.安全选项，这里选择不显示最后的用户名，默认是禁言这里选择启动，然后确定。

32.打开用户登录之前的消息标题，还有消息文本。

33.登录的用户信息文本，然后点击确定，进行切换用户测试。

34.在用户登录之前，会提示你不要随便删除里面的资料。

35.启用了不显示最后的用户名，就是这样什么都不显示，不知道之前登录的是哪个用户，这样也比较安全。

36.软件限制策略，打开其他规则右键新建哈希规则，现在是能够打开记事本的，新建一个规则不允许打开记事本。

37.打开记事本然后右键，复制目标然后打开浏览，粘贴进去点击确定，会自动算出哈希值，安全级别选择不允许，然后确定。

38.右键在创建一个路径规则，不允许c盘下面lisi文件夹里面的应用程序允许，然后确定需要重启电脑才能生效。

39.重启电脑之后记事本已经打不开了，提示被组策略阻止。

40.选择打开c盘里面的李四文件夹，里面有两个应用程序，双击打开提示此程序被组策略阻止，无法打开。

41.使用组策略，管理下面的计算机，打开活动目录，销售部有一台ftpserver计算机，现在使用组策略来管理他。

42.打开组策略管理，选择销售部然后右键在这个域中创建gpo，然后点击编辑。

43.打开编辑，这里面的策略比本地的多。

44.打开ftpserver计算机本地策略，可以看到密码策略里面的策略是不能修改的，使用的是域组策略。

45.在server服务器上面修改密码策略，最短要求两位，添加右键受限制的组，添加管理员，在添加domain admins成员确定。

46.在活动目录修改密码策略为两位，现在ftpserver计算机中查看也只有两位不能修改，现在创建一个用户为xiaoli，密码满足三位加大小写就可以创建成功。

47.上面使用命令行创建了一个xiaoli用户，现在把他添加到管理员组。

48.添加到管理员组，刷新一下策略或者重启一下电脑xiaoli这个用户就会自动从管理员组里面删除。

49.刷新成功之后，xiaoli这个用户就没有管理员权限了，是因为在server服务器配置了受限制的组。