6.5.15. 安全策略

6.5.15.1. 本地安全策略

6.5.15.1.1. 账户策略

账户策略仅涉及和用户账户的凭据相关的设置。通过设置账户策略、可以让所有本地账户更加安全，同时要破解账户密码所需的时间更长，所需技术更高。

• 账户策略的种类

  • 密码策略

  • 账户锁定策略

6.5.15.1.2. 密码策略

• 密码必须符合复杂性要求

  • 建议设置为”启用”

• 密码长度最小值

  • 建议设置为“14”

• 密码最短使用期限

  • 建议设置为“5天”

• 密码最长使用期限

  • 建议设置为“30天”

• 强制密码历史

  • 建议设置为“10个”

• 用可还原的加密来存储密码

  • 建议设置为“禁用”

6.5.15.1.3. 账户锁定策略

• 账户锁定阈值

  • 建议设置为“3次”

• 账户锁定时间

  • 建议设置为“30分钟”，可根据实际需要更改

• 复位账户锁定计数器

  • 建议设置为“30分钟”，可根据实际需要更改

6.5.15.1.4. 本地策略

本地策略中包含的全部是和账户无关的安全设置。通过设置本地策略，可以让Windows实现更严格的安全性，或者实现其他和安全有关的功能

本地策略的种类分为审核策略、用户权限分配、安全选项。

6.5.15.1.5. 审核策略

• 审核策略更改

• 审核登录事件

• 审核对象访问

• 审核进程跟踪

• 审核目录服务访问

• 审核特权使用

• 审核系统事件

• 审核账户登录事件

• 审核账户管理

6.5.15.2. 组策略

通过组策略(Group Policy)可以设置整个组织的集中化策略或分散式策略。

6.5.15.2.1. 组策略对象

• 组策略对象(Group Policy Object, GPO)

  • 组策略对象实际上就是组策略设置的集合。

• 组策略对象包含：

  • 针对计算机的组策略设置

    • 应用在操作系统初始化和周期性更新循环过程中

    • 指定操作系统行为、桌面行为、安全性设置、计算机启动和关机指令、计算机赋予的应用程序选项以及应用程序设置

  • 针对用户的组策略设置

    • 应用在用户登录计算机和周期性更新循环的过程中

    • 指定操作系统行为、桌面行为、安全性设置、赋予和公布的应用程序选项、应用程序设置、文件夹的重定向选项以及用户登录和注销指令。

6.5.15.2.2. 组策略对象与活动目录

组策略对象与活动目录的联合使用实现了策略的集中与分散管理，适应从小到大的各种网络规模。

• 组策略对象能够链接到站点、域和组织单元，影响其中的用户和计算机。

• 应用组策略对象的顺序和级别决定了用户和计算机实际所采用的组策略设置。

6.5.15.2.3. 组策略对象的管理单元

• 根节点

  • <组策略对象名称> [<域名称>]策略

    • 如：Default Domain Policy [SjtuInfosec.net] 策略

  • “本地计算机”策略

• 第二层节点

  • 计算机配置

  • 用户配置

• 第三层节点

  • 软件设置

  • Windows设置

  • 管理模板