window安全策略

在windows系统的网站服务器环境搭建过程中，常常需要对服务器的安全做大量的设置，windows安全策略是最常用的，也是比较有效的手段，可以从根本上解决网站服务器的安全性，在里面可以设置密码策略保证密码安全，账户的锁定策略等等都还是很有必要。

现在我就网站服务器环境搭建中需要进行的windows安全策略设置做一些说明及简单的设置，当然详细的设置要根据需要进行，总的一点我们需要什么设置什么，只要能正确理解其中策略的含义设置起来都问题不大。

本篇先给大家简单介绍下安全策略的一些功能。

windows安全策略打开方法有常见的以下两种：

1.开始—管理工具—本地安全策略，即可打开，(win7系统在开始—控制面板—系统和安全-管理工具-本地安全策略)

2.可以直接通过开始—运行；命令行输入”secpol.msc”回车，这种方法比较方便。

Windows本地安全策略的设置

1.账户策略-密码策略

这里设置密码复杂性，长度最小值，期限等等，这里设置对于我们网站建设的用户安全比较

有用，很多时候密码被破解大多由于密码不够复杂，长度太短打开本地安全策略命令，这里我设置密码长队最短为8位，然后点击运用。

之后我在账户管理里新建了一个landui的用户，我把密码设置为6位，它提示密码不满足密码策略的要求，说明刚才的设置生效了，当然密码策略的其它选项也有自己的作用，最主要的是每项策略后面都有注释，一看就懂，给设置提供不少的方便。

2.账户策略—账户锁定策略

此选项主要设置有账户锁定时间，账户锁定阀值，此项针对很多采取暴力破解密码起到很大遏制作用，“账户锁定阀值”设置之后，当账户密码输入错误达到一定次数，该账户将被锁定，锁定的时间也可以自定义，这里针对账户安全的设置也很方便有效。

这里我把阀值设置为3次无效登录，锁定时间一分钟进行一下测试，

然后切换到账户登录，故意把密码输错三次，账户即被锁定；

3.本地策略—安全选项

这里我主要针对网络访问服务器做一下安全设置，打开本地策略—安全选项，我们再对刚才密码安全做一下加固

找到“不允许SAM账户的匿名枚举”和“不允许SAM账户和共享的匿名枚举”将这两项启用，密码的安全的加固几乎就OK了。

4.本地策略—审核策略

这里审核策略是为了在后台事件查看器显示一些账户登录成功或失败的事件打开本地安全策略命令，目录访问成功或失败的时间，更好的对这些安全设置做出相应的调整。

设置之后，账户登录成功失败的时间就可以查看，及时发现账户密码是否被破解了。

设置下目录服务访问，成功，失败打勾，可以通过事件查看器后台查看目录访问情况，及时发现目录访问权限设置的安全性，及时发现目录权限是否被篡改。

这里有很多的审核选项，常用的基本就是上面列举的。

5.本地策略—用户权限分配

这里可以给服务器内用户分配权限，任何一个计算机用户在计算机进行操作都是需要权限的，权限太大太小都不好，合理的分配需要对这些权限和相关操作有一个正确的理解，怎么分配权限看具体的情况。

现在我分配一下从网络访问计算机的权限，这里我随意添加了个刚才建立的landui用户，

当然可以删除一些用户和组，我这里其实已经把everyone的用户删除了，添加了个新用户，这些权限的分配很有考究的，有时候分配不慎将会给黑客入侵计算机和网站提供了途径，所以一定慎重考虑。

本篇windows安全策略的常用设置就讲这么多吧，有很多的地方可能没涉及到，但终归说明了计算机安全的策略的重要性，做好安全策略的正确设置还是需要很多实践来检验的。