本地安全策略主要包括哪些策略，本地安全策略主要包括什么

本文目录导读：

1. 账户策略
2. 本地策略
3. 公钥策略
4. 软件限制策略

《本地安全策略全解析：构建系统安全的多道防线》

图片来源于网络，如有侵权联系删除

本地安全策略是操作系统中用于保护计算机系统安全的一系列设置和规则的集合，它主要包括账户策略、本地策略、公钥策略、软件限制策略等多个方面，这些策略从不同角度为计算机系统的安全运行提供保障。

账户策略

1、密码策略

- 密码长度最小值：这一设置规定了用户密码的最短长度，较长的密码能够增加密码的复杂性，从而提高安全性，设置密码长度最小值为8位，相比4位或5位密码，破解难度会大大增加，因为密码的组合可能性随着长度的增加呈指数级增长。

- 密码复杂性要求：它要求密码包含字母（大写和小写）、数字和特殊字符，这样的要求可以防止简单的字典攻击或暴力破解，一个仅由纯数字组成的密码很容易被破解软件尝试所有数字组合而破解，而包含字母、数字和特殊字符（如“Abc@123”）的密码则更难以被猜中。

- 密码最长使用期限：该策略设定了密码可以使用的最长时间，定期更换密码能够减少密码被破解后造成长期安全风险的可能性，设置密码最长使用期限为90天，意味着每90天用户就需要更新一次密码，从而降低了密码被盗用后持续被恶意利用的风险。

2、账户锁定策略

- 账户锁定阈值：当用户输入错误密码达到设定的次数时，账户将被锁定，设置账户锁定阈值为5次，若有人试图暴力破解密码，在连续5次输入错误密码后，该账户将被锁定，从而阻止进一步的破解尝试。

- 账户锁定时间：这一策略规定了账户被锁定后的持续时间，较短的锁定时间可能会给恶意攻击者更多的尝试机会，而较长的锁定时间则可以在一定程度上增加攻击者的攻击成本，将账户锁定时间设置为30分钟，在这30分钟内，即使攻击者知道了正确密码也无法登录。

- 复位账户锁定计数器：该设置确定了在多长时间后，账户锁定计数器将被重置，如果这个时间设置得较短，可能会导致合法用户因偶尔的密码输入错误而被锁定账户；如果设置得太长，则可能会降低安全性。

图片来源于网络，如有侵权联系删除

本地策略

1、审核策略

- 审核登录事件：通过启用此策略，可以记录用户登录和注销系统的相关事件，这些记录包括登录的时间、登录的用户账号、登录是否成功等信息，这有助于管理员监控系统的访问情况，及时发现异常登录行为，如未经授权的登录尝试或在非工作时间的登录等。

- 审核对象访问：当启用这一策略时，系统会记录对文件、文件夹、注册表项等对象的访问情况，如果某个文件被频繁访问或者被异常用户访问，管理员可以通过审核记录发现这些情况，从而判断是否存在数据泄露风险或者恶意操作。

- 审核策略更改：此策略能够记录本地安全策略、用户权限分配策略等策略的更改情况，这对于维护系统安全策略的完整性非常重要，因为任何未经授权的策略更改都可能导致系统安全漏洞的产生。

2、用户权限分配策略

- 从网络访问此计算机：该权限决定了哪些用户或组可以通过网络连接到本地计算机，只允许特定的管理员组或授权的用户组具有此权限，可以防止未经授权的外部用户通过网络访问本地计算机上的资源。

- 拒绝本地登录：这一权限可以用来限制某些用户或组在本地计算机上进行登录操作，对于一些仅用于远程服务的账户，可以设置拒绝本地登录权限，以增加系统的安全性。

- 作为服务登录：只有被授予此权限的用户或组才能将进程注册为服务并运行，这一权限的合理分配对于防止恶意程序以服务的形式在系统中运行非常重要。

公钥策略

1、加密文件系统（EFS）

图片来源于网络，如有侵权联系删除

- EFS恢复策略：在企业环境中，为了防止用户加密的文件因密码丢失等原因无法访问，会设置EFS恢复策略，通过指定恢复代理，这些代理可以使用特殊的密钥来解密用户加密的文件，企业的IT部门可以作为恢复代理，当员工离职或忘记加密密码时，可以恢复对重要文件的访问。

- EFS数据恢复代理：数据恢复代理是具有特殊权限的用户或组，他们能够在特定情况下恢复EFS加密的数据，这一角色的存在确保了即使在用户出现问题（如密码丢失或账户被删除）的情况下，数据的可用性也能够得到保障。

软件限制策略

1、默认安全级别

- 软件限制策略可以设置默认的安全级别，如不允许运行未签名的代码或者限制运行某些来源不明的可执行文件，这有助于防止恶意软件的入侵，因为许多恶意软件都是未签名或者来源不可信的。

2、路径规则和哈希规则

- 路径规则：通过指定特定的文件路径，管理员可以控制哪些路径下的文件可以运行，可以设置只允许从系统默认的程序安装目录（如“C:\Program Files”）下的程序运行，而阻止从临时文件夹或其他可疑路径下的程序运行。

- 哈希规则：哈希是一种根据文件内容生成的唯一标识符，通过设置哈希规则，即使文件被移动或重命名，只要文件内容不变，系统仍然可以根据哈希值来识别并执行相应的安全策略，这对于防止恶意软件通过修改文件名或路径来逃避检测非常有效。

本地安全策略的各个组成部分相互配合，共同构建起计算机系统的安全防护体系，管理员需要根据系统的具体需求、用户环境和安全要求，合理配置这些策略，以确保计算机系统的安全、稳定运行。

标签： #本地安全 #策略类型 #包含内容 #安全策略