本文目录导读:
Win7系统安全策略的设置全攻略
Win7安全策略的入口
在Win7系统中,安全策略的设置入口为本地安全策略,可以通过以下方式找到它:
1、开始菜单搜索法
图片来源于网络,如有侵权联系删除
- 点击“开始”菜单,在搜索框中输入“secpol.msc”(这是本地安全策略的执行命令),然后回车,即可打开本地安全策略窗口。
2、控制面板途径
- 打开控制面板,在控制面板的查看方式为“小图标”或“大图标”时,可以直接找到“管理工具”选项,进入“管理工具”后,双击“本地安全策略”即可。
账户策略设置
1、密码策略
密码必须符合复杂性要求
- 在本地安全策略中,展开“账户策略”下的“密码策略”。“密码必须符合复杂性要求”这一策略默认是未配置或禁用的,启用该策略后,用户设置密码时必须包含大写字母、小写字母、数字和特殊字符(如标点符号)中的至少三种,密码“abc123”就不符合要求,而“Abc@123”则符合,这有助于防止简单密码被轻易破解。
密码长度最小值
- 可以设置密码的最小长度,建议将其设置为8位或以上,当设置了这个策略后,用户在创建或更改密码时,密码长度必须达到指定的位数,这样能增加密码的安全性,因为较短的密码更容易被暴力破解,一个4位纯数字密码只有10000种可能的组合(0000 - 9999),而8位密码(如果包含大小写字母、数字和特殊字符)则有几乎无限种组合。
密码最长使用期限
- 此策略可设置密码的最长使用时间,一般建议设置为90天左右,这样可以强制用户定期更改密码,防止长期使用同一个密码而被破解的风险,当密码使用达到设定的最长期限后,系统会提示用户更改密码。
密码最短使用期限
- 它规定了密码在可以更改之前必须使用的最短时间,可以设置为1天,这意味着用户在设置了新密码后的1天内不能再次更改密码,这样可以防止用户频繁更改密码以绕过密码历史策略。
强制密码历史
- 该策略可设置记住的密码数量,比如设置为5个,那么用户在更改密码时,新密码不能与之前使用过的5个密码相同,这有助于防止用户循环使用几个简单密码。
2、账户锁定策略
账户锁定阈值
- 此策略确定在用户输入多少次错误密码后将锁定账户,将其设置为3次,当用户连续3次输入错误密码后,账户将被锁定,这可以防止暴力破解密码,因为攻击者如果尝试多次输入错误密码,将无法继续尝试,除非通过管理员解锁账户。
账户锁定时间
图片来源于网络,如有侵权联系删除
- 一旦账户被锁定,该策略规定账户将被锁定多长时间,可以设置为15分钟到永久锁定等不同时间,如果设置为15分钟,那么15分钟后,账户将自动解锁,用户可以再次尝试登录;如果设置为永久锁定,则需要管理员手动解锁账户。
复位账户锁定计数器
- 这个策略设置在多少分钟后复位账户锁定计数器,设置为10分钟,如果用户在第1次输入错误密码后,10分钟内没有再次输入错误密码,那么账户锁定计数器将复位,下一次输入错误密码时将重新计算错误次数。
本地策略设置
1、审核策略
审核登录事件
- 启用此策略后,系统会记录用户登录和注销的相关事件,这些事件信息会被记录在安全日志中,管理员可以通过事件查看器查看,它可以记录登录的用户名、登录的时间、登录是否成功等信息,这有助于管理员监控系统的登录情况,及时发现异常登录行为,如未经授权的登录尝试。
审核对象访问
- 当启用该策略时,系统会记录对文件、文件夹、打印机等对象的访问情况,如果有用户试图访问一个他没有权限访问的文件,这个访问尝试会被记录下来,管理员可以根据这些记录来查看是否有用户在进行不当的资源访问行为,从而加强系统资源的安全管理。
审核策略更改
- 此策略记录对审核策略本身以及其他安全策略的更改情况,一旦有管理员或具有相应权限的用户修改了审核策略、账户策略等安全策略,这些更改事件都会被记录,这有助于保证安全策略的稳定性,防止未经授权的策略更改。
2、用户权限分配
从网络访问此计算机
- 此策略规定哪些用户或组可以从网络访问本地计算机,默认情况下,有一些内置组(如Administrators、Users等)被允许从网络访问计算机,管理员可以根据实际需求,添加或删除允许从网络访问的用户或组,在一个企业网络中,如果有专门的文件共享服务器,管理员可以精确设置哪些部门或用户组可以从网络访问该服务器,以提高安全性。
拒绝从网络访问这台计算机
- 与上一个策略相反,这个策略用于明确禁止某些用户或组从网络访问本地计算机,如果发现某个用户账户存在安全风险,管理员可以将该用户账户添加到“拒绝从网络访问这台计算机”策略中,这样该用户就无法通过网络连接到这台计算机,即使他知道正确的用户名和密码。
允许本地登录
- 该策略确定哪些用户或组可以在本地登录计算机,在公共计算机环境中,管理员可以只允许特定的管理员组和普通用户组中的部分用户在本地登录计算机,以防止未经授权的人员使用计算机。
拒绝本地登录
图片来源于网络,如有侵权联系删除
- 它用于禁止某些用户或组在本地登录计算机,对于一些临时员工或者外部访客账户,可以将其添加到“拒绝本地登录”策略中,以确保只有授权人员能够在本地使用计算机。
软件限制策略
1、创建新的软件限制策略
- 在本地安全策略中,展开“软件限制策略”(如果没有则需要创建),软件限制策略可以通过设置规则来限制计算机上运行的软件,可以根据软件的哈希值、路径、证书等信息来确定是否允许软件运行。
- 当创建新的软件限制策略后,可以设置“安全级别”,包括“不受限”和“不允许”两种基本级别。“不受限”表示软件可以正常运行,“不允许”则禁止软件运行。
2、基于路径的限制
- 可以设置基于软件安装路径的限制规则,如果只允许从特定的文件夹(如企业内部的软件分发文件夹)中运行软件,可以创建一个路径规则,将该文件夹设置为“不受限”,而其他路径默认设置为“不允许”,这样可以防止用户从不可信的来源运行软件,减少恶意软件感染的风险。
3、基于哈希值的限制
- 软件的哈希值是其唯一的数字指纹,通过获取软件的哈希值并设置哈希规则,可以精确地限制特定版本的软件运行,如果企业只允许使用特定版本的办公软件,可以获取该版本办公软件的哈希值,设置为“不受限”,而其他哈希值的软件将被视为“不允许”运行,这对于防止软件的非法篡改和使用未经授权的软件版本非常有效。
IP安全策略
1、创建新的IP安全策略
- 在本地安全策略中,右键点击“IP安全策略,在本地计算机”,选择“创建IP安全策略”,在创建过程中,需要为策略命名并设置描述信息。
2、添加IP筛选器列表和筛选器操作
- IP筛选器列表用于定义要保护的IP流量类型,可以创建一个筛选器列表来保护特定端口(如企业内部服务器的80端口用于HTTP服务)的入站和出站流量,筛选器操作则定义了对于匹配筛选器列表的IP流量的处理方式,如允许、阻止或协商安全。
- 对于筛选器操作,可以设置为“阻止”,这样当有不符合规则的IP流量试图访问受保护的端口时,将被直接阻止,或者设置为“协商安全”,这意味着如果可能的话,将尝试通过加密等安全方式来处理流量。
3、分配IP安全策略
- 创建并设置好IP安全策略后,需要将其分配才能生效,右键点击创建好的IP安全策略,选择“分配”,一旦分配,该策略就会开始对计算机的IP流量进行管理,根据设定的规则保护计算机网络连接的安全。
通过合理设置Win7系统的安全策略,可以大大提高系统的安全性,保护计算机中的数据和资源免受各种威胁,无论是家庭用户还是企业用户,都应该根据自身的需求和安全环境来定制安全策略。
评论列表