本地安全策略

使用本地安全策略加强windows主机的整体防御
1.1学习目的与要求
1.1.1 学习目的
学生通过该能力模块的学习,能够独立完成和熟练掌握WindowsXP的本地安全策略设置。

1.1.2 学习要求
1.学习重点
✧禁止枚举账号
✧指派本地用户权利
✧设置IP安全策略
✧配置密码安全策略
2.学习难点
IP安全策略：IP安全策略是一个给予通讯分析的策略，它将通讯内容与设定好的规则进行比较以判断通讯是否与预期相吻合，然后决定是允许还是拒绝通讯的传输，它弥补了传统TCP/IP设计上的"随意信任"重大安全漏洞，可以实现更仔细更精确的TCP/IP安全，也就是说，当我们配置好IP安全策略后，就相当于拥有了一个免费，但功能完善的个人防火墙。

1.2 本能力单元涉及的知识组织
1.2.1本能力单元涉及的主要知识点
1.什么是枚举账号
2.什么事本地安全策略
3.什么是密码安全
1.2.2本能力单元需要解决的问题
1.按照项目的需求，重点针对WindowsXP的本地安全策略进行设置，达到对本地安全策略的进行深入的理解。

1.3 知识准备
1.3.1 本地安全策略
安全策略是影响计算机安全性的安全设置的组合。

可以利用本地安全策略来编辑本地计算机上的帐户策略和本地策略。

通过本地安全策略可以控制：
∙访问计算机的用户。

∙授权用户使用计算机上的哪些资源。

∙是否在事件日志中记录用户或组的操作。

1.3.2 枚举账号
禁用枚举账号的意义
一般来说，黑客攻击入侵，大部分利用漏洞，然后提升权限，成为管理员，这一切都跟用户帐号紧密相连。

一般的黑客要攻击Windows 2000/XP等系统，必须要知道账号和密码。

而账号更为关键，那么如何来避免这种情况的发生呢？
我们可以利用禁止枚举帐号来限制黑客攻击我们的账户和密码。

由于Windows 2000/XP的默认安装允许任何用户通过空用户得到系统所有账号和共享列表，但是，任何一个远程用户通过同样的方法都能得到账户列表，使用暴力法破解账户密码后，对我们的电脑进行攻击，所以有必要禁止枚举帐号，我们可以通过修改注册表和设置本地安全策略来禁止。

1.3.3 指派本地用户权利
在本地安全策略中可以指派本地用户的权利，比如说哪些用户组可以登录到此终端，哪些用户组或者用户不能登录到此终端中。

还可以设置哪些用户组或者用户可以关闭此计算机等等。

1.3.4 IP策略
IP安全策略是一个给予通讯分析的策略，它将通讯内容与设定好的规则进行比较以判断通讯是否与预期相吻合，然后决定是允许还是拒绝通讯的传输，它弥补了传统TCP/IP设计上的"随意信任"重大安全漏洞，可以实现更仔细更精确的TCP/IP安全，当我们配置好IP安全策略后，就相当于拥有了一个免费但功能完善的个人防火墙。

1.3.5 密码安全
如何设置密码安全，我们可以利用用户账号的安全策略来进行保护密码，防止密码被破解：
Windows桌面系统中，用户账号的安全策略默认是关闭的。

但要想设定安全的桌面系统，必须开启用户账号的安全策略，以下是用户账号安全策略的解释：
弱口令：在互联网术语中，弱口令我们经常会在一些资料中看到，什么是弱口令，弱口令是指仅包含简单数字和字母的口令，例如“123”、“abc”等。

密码长度：密码字符的长度。

我们推荐密码的长度至少八位。

建议10位以上。

密码复杂性：密码由大小写字母，数字，特殊字符组成。

把他们进行组合的复杂程度我们称为密码复杂性。

我们推荐密码复杂性需求至少组成密码字符应该是大小写字母，数字，特殊字符这四种当中的三种。

密码生存周期：也被称为密码有效期。

通常情况下，一个密码是存在有效时间的，比如运行在工作组中的WinXP操作系统的密码，默认是0。

意味着密码永不过期。

如密码存在于AD目录中，那么密码的生存周期是7天。

在密码生存周期里，包含二种类型，一个是密码最长使用周期期限，另一个是密码最短使用期限。

强制密码历史：强制密码历史是指如果要更改密码，则密码不能是之前设置过的几个密码。

例如在更改密码之前设置的密码从近到远依次是123，456，789，如强制密码历史设置为2，那么密码就不能改成之前的2次密码，即123，456。

1.4实施过程指导
〖步骤1 〗创建系统账户
第一步：创建多个Windows用户帐户
第一步：创建多个Windows用户帐户
在PC1上创建bob、Mary、Tim三个用户，如图2-1，图2-2，图2-3所示。

图2- 1 新建bob账号
图2- 2 新建Mary账号
图2- 3 新建Tim账号
第二步：创建Windows用户组
在PC1上创建Sales、Manager、Engineer三个用户组，如图2-4，图2-5，图2-6所示。

图2- 4 建立Sales组
图2- 5 建立Manager组
图2- 6 建立Engineer组
第三步：将不同用户加入到不同的用户组中
将bob、Mary、Tim分别加入Sales、Manager、Engineer三个用户组中，如图2-7，图2-8，图2-9所示。

图2- 7 把bob加入Sales组
图2- 8 把Mary加入Manager组
图2- 9 把Tim加入Engineer组
〖步骤2 〗设置本地策略
第一步：禁止枚举账号
打开PC1的控制面板——管理工具——本地安全策略——本地策略——安全选项：
启用下图两个选项，如图2-10所示。

图2- 10 禁止枚举账号
双击停用的网络访问：不允许SAM账户和共享的匿名枚举，选择启用。

如图2-11所示
图2- 11 配置策略
这样我们就启动了“禁用枚举账号”
第二步：指派本地用户权利
打开PC1的控制面板——管理工具——本地安全策略——本地策略——用户权利指派：1）设置“从网络访问此计算机”，只加入sales组
2）设置“拒绝从网络访问此计算机”，加入manager组
3）设置“关闭系统”，加入engineer组
第三步：IP策略
首先我们登陆PC2，打开命令提示符窗口，输入telnet 10.1.1.1 445，可以看到可以连接到PC1的445端口，表示PC1的445端口已经打开并且可以连接。

如图2-12，图2-13所示。

图2- 12 测试PC1的445端口（1）
图2- 13 测试PC1的445端口（2）
打开PC1的控制面板——管理工具——本地安全策略——本地策略——IP安全策略：单击右键新建IP安全策略，如图2-14所示。

图2- 14 新建IP安全策略
点击创建IP安全策略，进入IP安全策略向导界面。

如图2-15所示。

图2- 15 IP安全策略向导（1）
点击【下一步】，进入下图：键入名称：屏蔽本地445端口，单击【下一步】，如图2-16所示：
图2- 16 IP安全策略向导（2）
配置安全通信请求，如图2-17所示。

图2- 17 IP安全策略向导（3）
完成IP安全策略向导，如图2-18所示。

图2- 18 IP安全策略向导（4）
点击完成
返回本地安全策略页面，右键单击IP安全策略，选择管理IP筛选器表和筛选器操作，如图2-19所示。

图2- 19 管理IP筛选器表盒筛选器操作（1）
进入配置页面，如图2-20所示。

图2- 20 管理IP筛选器表和筛选器操作（2）
在上图中点击添加，进入下面页面：修改名称，再点击添加按钮，如图2-21所示。

图2- 21 建立IP筛选器列表
点击【下一步】，进入到IP筛选器向导，如图2-22所示。

图2- 22 配置IP通信源
在源地址标签中选择任何IP地址。

点击【下一步】，进入到ip通信目标设置页面，如图2-23所示。

图2- 23 设置目标地址
目标地址选择我的IP地址，点击【下一步】，设置目标端口，如图2-24所示。

图2- 24设置目标端口
点击【下一步】，进入到设置IP协议端口界面，如图2-25所示。

图2- 25 设置IP协议端口
点击完成进入返回下图。

如图2-26所示。

图2- 26 返回管理IP筛选器界面从上图进入到“管理筛选器操作”标签，如图2-27所示。

图2- 27 管理筛选器操作
点击添加按钮，进入筛选器操作向导，如图2-28所示。

图2- 28 筛选器操作向导（1）添加筛选器操作名称，如图2-29所示。

图2- 29 设置名称和描述
点击【下一步】，进入到筛选器操作行为界面，选择阻止，点击【下一步】，如图2-30所示。

图2- 30 筛选器操作行为
图2- 31 完成筛选器操作向导
点击完成按钮。

重新回到本地安全策略界面，在ip安全策略的右侧，可以看到我们刚才新建的屏蔽本地445端口策略。

在此上点击右键，选择属性。

如图2-32所示。

图2- 32 进入设定的IP安全策略属性页面
图2- 33 屏蔽445端口策略属性标签
点击添加按钮，进入安全规则向导，如图2-34所示。

图2- 34 安全规则向导（1）
这里选择“此规则不建立隧道”，如图2-35所示。

图2- 35 安全规则向导（2）选择隧道选择所有网络连接，如果2-36所示。

图2- 36 配置网络类型
选择屏蔽445端口，如图2-37所示。

图2- 37 选择“屏蔽445端口”
选择“拒绝445”，如图所示
图2- 38 选择筛选器操作
点击【下一步】，完成配置。

图2- 39 完成配置
这样我们就完成了IP策略的配置。

下面我们来激活此策略。

右键单击此策略，选择指派。

如图2-40所示。

图2- 40 指派IP安全策略
激活了此策略，我们在下面步骤三中来验证此策略。

第四步：密码安全
在安全设置标签的账户策略——密码策略中设置密码策略：如图2-41所示。

图2- 41 密码策略
●启动密码必须符合复杂性要求
●密码长度最小值设定为8位
●密码最长使用期限设定为默认的42天
●密码最短使用期限为1天
●强制密码历史建议设置为至少3次
●激活用户还原的加密来储存密码
〖步骤3 〗验证测试
第一步：安全策略验证
1）指派用户权利
利用PC2远程桌面登陆到PC1上。

●填入bob用户进入到PC1，发现bob用户可以登录到PC1上。

●同样利用Mary用户无法登陆到PC1上。

●Tim账号登陆后发现Tim无法关闭PC1系统。

2）IP安全策略
利用PC2上的命令提示符工具来验证IP安全策略。

在命令提示符上输入telnet 10.1.1.1 445，观察状态，发现无法进行连接（做IP策略之前可以登录，见IP策略配置），如图2-42所示。

图2- 42 测试连接
3）用户密码安全
设定用户安全策略后，新建的用户必须符合密码复杂性策略等策略。