Windows安全配置

blog 324

0x01 管理员账户安全

Administrator原意为管理人或行政官员或遗产管理人,在计算机名词中,它的意思是系统超级管理员超级用户。但是在Windows系统中此用户名只在安全模式中使用(或手动启用此帐户)。

———摘自百度百科

为了让用户账户密码更加的安全、不容易被他人破解,用户可以在“本地安全设置”→“密码策略”中加强密码的安全性,设置完成后用户可以输入复杂性的密码。

以下基于Windows Server 2008 R2进行配置

0x01.1 密码策略

点击开始——管理工具——本地安全策略

Windows安全配置

或直接在CMD命令行中输入secpol.msc或者secpol两者都可以进入(进入cmd命令行的方法自行百度)

Windows安全配置

本系列主要学习管理员账户安全策略。所以我们主要看账户策略中的账户策略和本地策略。

账户策略中的密码策略有以下选项

Windows安全配置
账户必须符合复杂性要求         已启动/已禁用
密码最小长度值                0字符为不要求密码长度/其余字符要求密码长度不少于要求的长度
密码最短使用期限              0天为可以随时更改密码/其余天数只有到达设定的天数之后方可更改密码
密码最小使用期限              0天为密码永不过期/其余天数如果到达设定的天数则必须更改密码
强制密码历史                 0个为不保留密码历史/其余数值就是说你这次修改的密码不能和设定的值中保留的历史密码一致。
可还原的加密来存储密码         已启用/已禁用


关于可还原加密的介绍:
可还原的加密
是指一种加密方法,
这种方法,可以对加密后的数据进行解密,还原为加密前的数据。适用于备份数据。
与之可对比的是不可还原加密,采用这种方法加密后的数据,不可还原为原始数据,理论上不可被破解,相对于可还原加密更加安全。适用于保存密码。

0x01.1.2 账户必须满足复杂性要求

设置为已启用则为开启这个要求反则已禁用则不开启这个要求。

设置为已启动则为密码必须包含大小写字母、数字、或 特殊符号以及满足密码长度。

以下为密码必须符合复杂性要求设置为已禁用的状态下尝试更改密码的状态

Windows安全配置
Windows安全配置

发现简单的密码也可以设置比如说纯数字和包含大小写以及特殊字母的和一些带有特殊符号的都可以设置。

但是这里要注意:密码长度最小值需要满足你设定的密码长度最小值。我这里设置的是3字符。所以更改密码为123才能生效。

tips:这里是使用CMD命令 net user administrator 123 表示将用户administrator的密码设置为123。其语法格式为:

net user 要更改密码的用户名 要更改的密码

我们还可以通过图形化的方式修改密码。

依次点击开始——>鼠标右键计算机——>选择管理

Windows安全配置

之后会进入服务器管理器。

依次点击配置——>本地用户和组——>用户——>鼠标右键Administrator——>设置密码——>输入想设置的密码即可。

Windows安全配置

为了实验的方便。我们后面直接使用CMD命令行的方式修改密码。

以下为密码必须符合复杂性要求设置为已启用的状态下尝试更改密码的状态

Windows安全配置

通过结果可以发现。我们尝试设置administrator的密码为纯数字的时候。提示密码不满足密码策略的要求。当密码为小写+数字的时候也提示密码不满足要求。当我们设置密码为大小写+数字的时候。提示命令执行成功(即成功修改密码)。

0x01.1.3 账户长度最小值要求

Windows安全配置

我们将密码长度最小值设置为8之后的效果,发现我们设置5位密码时候均不符合密码策略要求。当我们设置为Admin123八位密码的时候。发现密码被成功修改。由于我开启了密码必须符合复杂性要求。所以我们这里设置的八位密码为大小写+字母。

其他的设置请参考前面的介绍自行设置。

Windows安全配置

0x01.2 账户锁定策略

CMD命令行中输入secpol.msc进入本地安全策略之后

依次点击账户策略——>账户锁定策略

Windows安全配置

可以发现有这几个选项。分别为

账户锁定时间          开启取决于账户锁定阈值的参数其参数为0表示不开启 
账户锁定阈值          0次表示不锁定账户/其他数值表示连续登录次数失败N次账户锁定。而这个锁定时间取决于账户锁定时间
重置账户锁定计算器

分享