Top

NTD WINSYS DAY04

  1. 案例1:设置账户策略
  2. 案例2:设置本地策略
  3. 案例3:组策略应用

1 案例1:设置账户策略

1.1 问题

本案例要求在WinSvr2016中设置账户策略,以实现账户安全的要求,相关说明如下。

  1. 以管理员登录,打开“本地安全策略”
  2. 设置账户策略中密码策略,密码必须符合复杂性要求:启用,设置密码长度最小值:8个
  3. 设置账户策略中账户锁定策略,账户锁定阈值:3,账户锁定时间:10分钟

  4. 分别验证设置的账户策略

    1.2 步骤

    实现此案例需要按照如下步骤进行。
    步骤一:以管理员登录,打开“本地安全策略”
    以administrator登录电脑,依次单击“开始”—>“Windows管理工具”—>“本地安全策略”,如图-1所示。
    WINSYS DAY04 - 图1
    图-1
    打开“本地安全策略”窗口,如图-2所示。
    WINSYS DAY04 - 图2
    图-2
    步骤二:设置账户策略中密码策略
    1)依次展开“账户策略”—>“密码策略”,如图-3所示。
    WINSYS DAY04 - 图3
    图-3
    2)双击窗口右侧“密码必须符合复杂性要求”,设置为“开启”,如图-4所示。
    WINSYS DAY04 - 图4
    图-4
    3)双击窗口右侧“密码长度最小值”,设置为“8个”,如图-5所示。
    WINSYS DAY04 - 图5
    图-5
    4)最终“密码策略”设置结果如图-6所示。
    WINSYS DAY04 - 图6
    图-6
    步骤三:设置账户策略中账户锁定策略
    1)依次展开“账户策略”—>“账户锁定策略”,如图-7所示。
    WINSYS DAY04 - 图7
    图-7
    2)双击窗口右侧“账户锁定阈值”,修改为“3次无效登录”锁定账户,如图-8所示。
    WINSYS DAY04 - 图8
    图-8
    3)双击窗口右侧“账户锁定时间”,修改为“10分钟”,如图-9所示。
    WINSYS DAY04 - 图9
    图-9
    4)最终“账户锁定策略”设置结果如图-10所示。
    WINSYS DAY04 - 图10
    图-10
    步骤四:分别验证设置的账户策略
    1)验证密码策略,打开“本地用户和组”管理窗口,修改用户“guojing”的密码,如图-11所示。
    WINSYS DAY04 - 图11
    图-11
    输入简单的密码“123456”,弹出对话框显示“密码不满足密码策略的要求”,如图-12所示。
    WINSYS DAY04 - 图12
    图-12
    输入复杂的密码“Aa123456”,弹出对话框显示“密码已设置”,如图-13所示。
    WINSYS DAY04 - 图13
    图-13
    2)验证“账户锁定策略”,切换账户使用“guojing”登录,先输入3次错误的密码,当输入第4次时,显示“引用的账户当前已锁定,且可能无法登录。”如图-14所示。
    WINSYS DAY04 - 图14
    图-14
    需要等待10分钟后账户“guojing”自动解锁,或使用管理员登录后到“本地用和组”管理窗口中“手动解锁”,如图-15所示。
    WINSYS DAY04 - 图15
    图-15

    2 案例2:设置本地策略

    2.1 问题

    本案例要求在WinSvr2016中设置本地策略,以实现本地计算机安全的要求,相关说明如下。

  5. 以管理员登录,打开“本地安全策略”

  6. 设置审核策略,设置审核账户管理:成功、失败
  7. 设置用户权限分配,设置拒绝本地登录:huangrong
  8. 设置安全选项,交互式登录: 无需按 Ctrl+Alt+Del:启用;交互式登录: 不显示最后的用户名:启用

  9. 分别验证设置本地策略的效果

    2.2 步骤

    实现此案例需要按照如下步骤进行。
    步骤一:设置审核策略
    1)打开“本地安全策略”窗口,依次展开“本地策略”—>“审核策略”,如图-16所示。
    WINSYS DAY04 - 图16
    图-16
    2)在窗口右侧,双击“审核账户管理”,在“审核账户管理属性”对话框中,勾选“成功”和“失败”,如图-17所示。
    WINSYS DAY04 - 图17
    图-17
    步骤二:设置用户权限分配
    1)打开“本地安全策略”窗口,依次展开“本地策略”—>“用户权限分配”,如图-18所示。
    WINSYS DAY04 - 图18
    图-18
    2)在窗口右侧双击“拒绝本地登录”,在“拒绝本地登录属性”对话框,添加“huangrong”用户,如图-19所示。
    WINSYS DAY04 - 图19
    图-19
    步骤三:设置安全选项
    1)打开“本地安全策略”窗口,依次展开“本地策略”—>“安全选项”,如图-20所示。
    WINSYS DAY04 - 图20
    图-20
    2)在窗口右侧双击“交互式登录:不显示最后的用户名”,在其属性对话框,选中“已启用”,如图-21所示。
    WINSYS DAY04 - 图21
    图-21
    3)在窗口右侧双击“交互式登录: 无需按 Ctrl+Alt+Del”,在其属性对话框,选中“已启用”,如图-22所示。
    WINSYS DAY04 - 图22
    图-22
    4)最终“安全选项”设置结果,如图-23所示。
    WINSYS DAY04 - 图23
    图-23
    步骤四:分别验证设置本地策略的效果
    1)验证“安全选项”,切换到用户登录界面,发现“无需按Ctrl+Alt+Del” ,而且不显示“最后的登录名”,如图-24所示。
    WINSYS DAY04 - 图24
    图-24
    2)输入用户名huangrong和正确的密码(Tedu.cn123),显示“不允许使用你正在尝试的登录方式,……”,如图-25所示。
    WINSYS DAY04 - 图25
    图-25

    3 案例3:组策略应用

    3.1 问题

    本案例要求在WinSvr2016中设置本地策略,以实现本地计算机安全的要求,相关说明如下。

  10. 拒绝U盘写入数据:计算机配置—>管理模板—>系统—>可移动存储访问

  11. 隐藏桌面上所有图标:用户配置—>管理模板—>桌面

    3.2 步骤

    实现此案例需要按照如下步骤进行。
    步骤一:拒绝U盘写入数据
    1)运行“gpedit.msc”,将会打开“本地组策略编辑器”窗口,如图-26所示。
    WINSYS DAY04 - 图26
    图-26
    2)在“本地组策略编辑器”窗口,依次展开“计算机配置—>管理模板—>系统—>可移动存储访问”,如图-27所示。
    WINSYS DAY04 - 图27
    图-27
    3)双击窗口右侧“可移动磁盘:拒绝写入权限”,在弹出的窗口中选中“已启用”,如图-28所示。
    WINSYS DAY04 - 图28
    图-28
    4)验证U盘不能写入
    插入真实U盘,VMware虚拟机弹出“检测到新的USB设备”,此时选中“连接到虚拟机”,并选中“Windows Server 2016”,如图-29所示。
    WINSYS DAY04 - 图29
    图-29
    在WinSvr2016中,打开U盘,发现无法写入数据到U盘(读取正常),如图-30所示。
    WINSYS DAY04 - 图30
    图-30
    步骤二:隐藏桌面上所有图标
    1)在“本地组策略编辑器”窗口,依次展开“用户配置—>管理模板—>系统—>桌面”,如图-31所示。
    WINSYS DAY04 - 图31
    图-31
    2)双击窗口右侧“隐藏和禁用桌面上的所有项目”,在弹出的窗口中选中“已启用”,如图-32所示。
    WINSYS DAY04 - 图32
    图-32
    3)注销当前用户,重新登录后发现,桌面图标都已经隐藏(同时在桌面上右击鼠标也没有反应),如图-33所示。
    WINSYS DAY04 - 图33
    图-33