Windows系统基础(二)：本地组与本地安全策略

本地组和本地安全策略

文章目录

• • 本地组和本地安全策略
  • • 1. 用户与组概念
    • • 基本概念：
      • 常见组类型：
    • 2、用户与组设置
    • • 常见操作方式：
      • 注意事项：
    • 3、内置账户控制访问
    • • 常见内置账户及其功能：
      • 账户控制访问配置：
    • 4、本地安全组策略
    • • 组策略的作用：
      • 常用的本地安全策略：
      • 应用场景：

1. 用户与组概念

基本概念：

用户(User)：能够登录系统并使用系统资源的实体。每个用户都有唯一的用户名和密码，用于标识和验证身份。

• 本地用户：存储在本地计算机上的账户，只能用于访问当前计算机。
• 域用户：在域控制器中创建的用户，适用于企业网络环境，可以跨设备使用。

组(Group)：用户的集合，用于简化权限管理。将权限分配给组，组内的所有用户自动继承这些权限。

• 本地组：仅在当前计算机上有效。
• 内置组：Windows 默认创建的组，提供特定的权限和功能。

常见组类型：

Administrators(管理员组)

• 拥有最高权限，可以管理计算机上的所有内容。
• 默认成员：Administrator。

Users(普通用户组)

• 拥有有限的权限，不能修改系统关键设置。
• 默认成员：创建的新用户。

Guests(游客组)

• 用于临时访问，权限非常有限。
• 默认成员：Guest。

Power Users(高级用户组)

• 具备比普通用户更多的权限，但不及管理员，适用于某些需要特殊权限的任务。
• 注：Windows Server 之后版本中已逐渐废弃。

Backup Operators(备份操作员组)

• 可以绕过文件权限限制，执行备份和还原操作。

2、用户与组设置

常见操作方式：

1. 使用“计算机管理”界面：

   • 打开路径：运行 -> compmgmt.msc -> 本地用户和组。

   • 创建用户：

     • 右键“用户”，选择“新用户”，设置用户名、密码、描述等信息。

   • 创建组：

     • 右键“组”，选择“新建组”，添加成员。

   • 修改用户/组权限：

     • 双击用户或组，进入“属性”界面，可以设置权限、描述和账户状态。

2. 命令行方式（CMD）：

   • 查看本地用户和组：

     net user         # 查看本地用户
     net localgroup   # 查看本地组
     

   • 创建用户：

     net user [用户名] [密码] /add
     

     例如：

     net user testUser password123 /add
     

   • 删除用户：

     net user [用户名] /delete
     

   • 将用户加入组：

     net localgroup [组名] [用户名] /add
     

     例如：

     net localgroup administrators testUser /add
     

3. 使用 PowerShell：

   • 创建用户：

     New-LocalUser -Name "testUser" -Password (ConvertTo-SecureString "password123" -AsPlainText -Force)
     

   • 删除用户：

     Remove-LocalUser -Name "testUser"
     

   • 查看组成员：

     Get-LocalGroupMember -Group "Administrators"
     

注意事项：

• 遵循最小权限原则：普通用户尽量不要加入管理员组。
• 禁用或重命名默认的“Administrator”账户。

3、内置账户控制访问

常见内置账户及其功能：

1. Administrator（管理员账户）：
   • 默认拥有所有权限。
   • 建议：启用密码保护，必要时禁用该账户。
2. Guest（来宾账户）：
   • 默认被禁用。
   • 功能：允许未经身份验证的用户访问系统。
   • 建议：保持禁用状态，防止恶意访问。
3. DefaultAccount（默认账户）：
   • 系统内部使用的账户，无法直接登录。
   • 不建议修改或删除。
4. System（系统账户）：
   • Windows 操作系统的核心账户，用于运行系统进程和服务。
   • 不可禁用或修改。

账户控制访问配置：

1. 账户锁定策略：
   • 路径：运行 -> secpol.msc -> 账户策略 -> 账户锁定策略。
   • 配置选项：
     • 锁定阈值：连续失败登录次数达到设定值时锁定账户。
     • 锁定时间：账户锁定的持续时间。
     • 重置锁定计数：多少分钟后重置失败计数。
2. 用户权限分配：
   • 路径：运行 -> secpol.msc -> 本地策略 -> 用户权限分配。
   • 可以限制特定用户/组的权限，例如“允许通过远程桌面登录”。

4、本地安全组策略

组策略的作用：

• 组策略（Group Policy）是用于管理用户和计算机设置的工具，可控制账户策略、安全选项、事件日志等。

常用的本地安全策略：

1. 账户策略：

   • 密码策略：

     • 强制密码复杂性：要求使用大小写字母、数字和特殊字符。
     • 最小密码长度：设置密码的最低字符数。

   • 账户锁定策略：

     • 防止密码暴力破解。

2. 审计策略：

   • 路径：运行 -> secpol.msc -> 本地策略 -> 审计策略。
   • 配置选项：
     • 审计登录事件：记录成功和失败的登录尝试。
     • 审计对象访问：记录文件或文件夹的访问事件。

3. 安全选项：

   • 路径：运行 -> secpol.msc -> 本地策略 -> 安全选项。
   • 关键设置：
     • 账户：管理员账户的重命名。
     • 用户账户控制 (UAC)：提高系统权限管理的安全性。
     • 网络访问：限制匿名访问的共享文件夹。

4. 软件限制策略：

   • 路径：运行 -> secpol.msc -> 软件限制策略。
   • 配置功能：
     • 禁止运行指定路径或类型的程序。
     • 实现白名单机制，只允许特定程序运行。

应用场景：

• 禁止 USB 存储设备访问：防止数据泄露。
• 限制高危程序运行：减少