目录
一.本地用户和组
1.本地账户
Windows sever在系统安装完成后会有两个默认的账号,分别是Administrator和Guest
(1)Administrator账户
Administrator账户是计算机管理员组的成员
默认情况下,Administrator账户处于禁用状态
当它处于启动状态时,Administrator账户具有对计算机完全控制权限,并根据需要向用户分配权力和访问控制权限。该账户必须仅用于需要管理凭据的任务
强烈建议将该账户设置为强密码
永远不可以从管理员组删除Administrators账户,但是可以重命名或禁用该账户
(2)Guest账户
Guest,是客人访问电脑系统的账户,也可以称之为来宾账户
通常这个账户没有修改系统设置和进行安装程序的权限,也没有创建修改任何文档的权限,只能是读取计算机系统信息和文件
在Windows系统中,Guest账户被认为是不安全的权限账户
默认情况下禁用Guest账户,但是可以启用,建议将其保持禁用状态
可以像任何用户账户一样设置Guest账户的权限
Guest账户是默认的Guests组成员,该组允许用户登录计算机,其它权限及任何权限都必须由管理员组中的成员授予Guests组
Guest用户是在这台计算机上没有实际账户的人使用,如果某个用户的账户已被禁用,但还未删除,那该用户也可以使用Guest账户
Guest账户不需要密码
2.域账户
可以利用域账户登录域,并利用它来访问网络上的资源
当用户利用域账户登录域时,由域控制器来检查用户所输入的账号与密码是否正确
3.用户组
3.1Administrators组
属于该Administrators本地组内的用户,都具备系统管理员权限,它们拥有对这台计算机的最大控制权限
内置的系统管理员账号Administrator就是本地组的成员,且无法将它从该组删除
Administrators是管理员组
默认情况下,中的用户对计算机/域有不受控制的完全访问权,这里的完全访问权不是指Administrator具备所有权限,而是指Administrators可以任意修改本地安全策略中每个用户的权限,同样可以为自己添加任何权限
Administrators-权限:
管理文件
在Windows系统中,系统磁盘中的文件只能由Administrator组的账户进行更改
更改系统安全设置
安装新的功能,更改计算机网络设置,对服务器选项进行设置,这些操作都需要Administrators组中的账户进行操作
如果用户的权限不够,选择管理员用户进行操作
3.2Guests组
该组内账号是没有用户信息,但需要访问本地计算机内资源的用户使用,该组的成员无法永久地改变其桌面的工作环境
该组最常见的默认成员为Guest,默认情况下该账户是禁用的
该组成员拥有一个在登录时创建的临时配置文件,在注销时,此配置文件将被删除
Guests-权限:
无法查看和更改"网络和共享中心"设置
无法改变防火墙规则或者关闭防火墙
Guests组的账户没有对c盘文件进行移动,添加,删除,修改等操作的权限,也没有安装文件的权限
3.3Users组
该组长远只拥有一些基本权利
所有添加的本地用户自动属于该组
Users-权限:
Users组账户权限低于Administrators组账户,但高于Guest组账户
Users组用户可以进入"网络和共享中心并查看网络连接状态",但无法修改连接属性。当然,Users组用户也无法关闭防火墙或更改防火墙策略
Users组账户无法安装软件,也无法对该用户文件夹以外的c盘文件进行修改
3.4Remote Desktop Users组
该组的成员可以通过远程计算机登录,例如,利用终端服务器从远程计算机登录
Remote Desktop Users-权限:
其它计算机用户可以使用Remote Desktop Users组账户进行远程桌面连接
权限小于Users组账户,但高于Guest组账户
可以访问“网络和共享中心”,但无法查看并修改连接属性
无法关闭防火墙或修改防火墙策略
组内账户如果没有加入其他组或者在用户权限分配中改变权限,则无法在本地登录
Remote Desktop Users应用:
Remote Desktop Users组的作用就是宝Z航远程桌面服务的安全运行
一旦赋予了Administrators组远程桌面的权力,就像为入侵者省略了提权的步骤,这时windows的默认规则,为了安全性,最好是修改这个规则
相较于改变用户组权限,将需要连接远程桌面的用户分到Remote Desktop Users组,是一种更加安全的方式
3.5Event Log Readers组
该组成员可以从本地计算机中读取事件日志,不常用
二.用户管理及内置账户访问控制
1.计算机用户管理
使用net user命令对用户进行操作:查看所有用户,添加/删除用户,修改用户密码,修改用户注释,修改用户状态(启用/禁用),设置用户使用的时间段,设置用户使用期限
使用net user 命令查询黑客留下的用户:当入侵者获得足够的权限后,为了对目标计算机进行更加细致的操作并保持连接状态,方便下次入侵,通常会传建一个拥有最高权限的账户
网络入侵应用:
创建隐藏账户并将其添加到Administrators组(提权时常用操作),隐藏账户使用net user 命令是查看不到的
net user username$ password /add
net localgroup administrators username$ /add
2.Windows访问控制
访问控制列表(Access Control List):访问权限决定着某个用户可以访问的文件和目录
对于每一个文件和文件夹,由安全描述符(SD)规定了安全数据
安全描述符决定安全设置是否支队当前目录有效,或者它可以被传递给其它文件和目录
一个安全描述符包含的安全信息:
(1).SID-安全标识符
每个用户和账户组都有一个唯一的SID(通常情况下唯一),它是标识用户,用户组和计算机账户唯一的号码,由计算机名,当前时间,当前用户线程的CPU耗费时间,三个参数确定
安全标识符(Security Identifier ),账号创建时同时被创建,一旦账号被删除,安全标识符同时也被删除
安全标识符是唯一的,即使是相同的用户名,每次创建时获得的安全标识符都是完全不同的
sc showsid server 命令:显示机器的sid

(2)ACE-访问控制项
访问控制项ACE,指的是访问控制实体,用于指定特定用户/组的访问权限,是权限控制的最小单位
三种类型:拒绝访问,允许访问,系统审核(受信者访问对象时产生的审核记录)

(3).ACL-访问控制列表
是Windows中表示用户(组)权限的列表,ACL包含两种类型,一个是DACL,一个是SACL

3.用户账户控制(UAC)
设计目的:是为了解决需要管理员特权的应用程序问题,让最终用户配置为本地管理员
访问令牌分为标准受限访问令牌以及完全访问令牌
开启UAC之后,即使我们以管理员账户登录系统,我们的权限也是Users组,只有当需要进行一些需要管理员特权的操作的时候,会弹出一个会话框,要求我们赋予权限
三.本地安全策略

1.账户策略

(1)密码策略
操作系统进行身份验证最常用的方法为:机器密码
密码必须符合复杂性要求,最低要求包含以下几点:
不能包含用户的账户名,不能包含用户姓名中超过两个连续字符的部分;
至少有六个字符长;
包含以下四个字符中的三类字符
A-Z , a-z , 0-9, ! # $ %
密码策略-密码长度最小值与强制密码历史
这一策略决定了用户账号密码包含的最小字符数,可以将密码长度最小值设置为介于和20个字符之间的数值,或者将密码最小长度设置为0,取消登录密码
密码策略-密码最短使用期限

密码策略-密码最长使用期限
这一安全策略决定在系统中要求用户更改某个密码之前可以使用原密码的最长天数

密码策略-强制密码历史
强制密码历史策略设置确定在可以重复使用旧密码前,必须与用户账户相关联的唯一新密码的数量有关,如将强制密码历史设置为9:

密码策略-用可还原的加密来存储密码
这一安全策略决定操作系统是否使用可还原的加密来存储密码
此策略为某些应用程序提供支持,这些应用程序使用的协议需要用户密码来进行身份验证
使用可还原的加密存储密码与存储明文密码在本质上是相同的。因此,除非应用程序需求比保护密码信息更重要,否则绝不要启用此策略
(2)账户锁定策略
为保护该账户的人安全而将此账户进行锁定,使其在一定时间内不能再次使用此账户
账户锁定策略设置的第一步是指定账户锁定的阈值,即锁定前该账户无效登录的次数
锁定用户账户常常会造成一些不便,但系统的安全又是更为重要
账户锁定阈值
账户锁定阈值策略,决定登录尝试失败多少次会导致用户账户被锁定
在管理员重置锁定账户或账户锁定时间期满之前,无法使用该锁定账户
可以将登录尝试失败次数设置为介于0-999之间的值
如果将值设置为0,则永远不会锁定账户,账户锁定时间和复位账户锁定计数器也将无法设置
账户锁定时间
账户锁定时间决定锁定账户在自动解锁之前保持锁定的分钟数
可用范围从0-99999分钟。如果将账户锁定时间设置为0,账户将一直被锁定直到管理员明确解除对它的锁定
如果定义了账户锁定的阈值,则账户锁定时间必须大于或等于重置账户锁定计数器时间
账户锁定策略-重置账户锁定计数器
重置账户锁定计数器策略,决定在某次登录尝试失败之后将登录尝试失败计数器重置为0次错误登录尝试之前需要的时间
可用范围为0-99999分钟
如果定义了账户锁定阈值,此重置时间必须小于或等于账户锁定时间
2.本地策略

(1)审核策略

(2)用户权限分配
两种类型的用户权限:
登录权限,是指是否允许本机登录,是否允许远程登录等
特权,是指是否可以关闭系统,是否可以从网络上访问此计算机等
(3)安全选项
是指是否设置交互性登录,是否进行网络访问,如开启UAC就需要在安全选项里进行配置