知识宝库在此藏，一键关注获宝藏

付费文章均会免费移至知识星球，有需要的朋友可星球内自取，点此查看详情。加入我的知识星球，开启知识学习之旅！

操作系统版本：

Windows Server 2008 Standard Edition      

（标准版）

Windows Server 2008 Enterprise Edition     

（企业版）

Windows Server 2008 Datacenter Edition    

（数据中心版）

Windows Web Server 2008                     

（web应用程序服务器）

Windows Server 2008 Croe                       

(服务器核心) 

Windows Server 2008 for ltanium-Based Systems     

(安腾的) 

右键 此电脑 → 属性

PS：本文实验数据截图的来源版多数为   Windows Server 2016 Standard，仅少部分截图涉及其他版本。不同版本间可能有差异，请注意甄别。

远程连接时如果出现 "出现身份验证错误 要求的函数不受支持"

方法 1：通过组策略编辑器启用加密数据库修正

Windows+R打开运行框键入"gpedit.msc"，按"Enter"打开组策略编辑器窗口。

在组策略编辑器窗口的左侧转到“计算机配置” >“管理模板” >“系统” > “凭据分配”。

双击窗口右侧的“加密数据库修正”。

选中"已启用"，保护级别中选择“易受攻击”，然后单击"确定"

方法 2：更改注册表设置

Windows+R 打开运行框，然后键入"regedit"打开注册表编辑器。

转到以下路径，如果发现没有后两项 CredSSPParameters，则需要自己创建：ComputerHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSyst emCredSSPParameters

双击窗口右侧的"AllowEncryptionOracle"，将其值设置为 2，当您想禁用它时，您可以将值改为 0。

一、身份鉴别

a）应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换

1. 对登录的用户进行身份标识和鉴别

首先确认计算机内的用户是否可以不需要口令登录。

针对本地登录，使用Win+R组合键打开运行框，输入netplwiz，则会出现用户账户页面，如下所示：

选择对应用户，比如Administrator后，再去掉"要使用本计算机，用户必须输入用户名和密码"选项的选择后。则表示，下次开机登录时，不需要输入用户的鉴别信息，直接以我们选择的用户Administrator身份登入电脑。

但并不是所有情况下对用户进行鉴别的过程都被跳过了，这里的选项仅仅能跳过开机时对用户的身份鉴别过程。

2.  身份标识具有唯一性

默认符合，无法创建同名账户

3.  身份鉴别信息具有复杂度

首先确认用户当前口令是否具有一定的复杂度，即口令是否包含大写字母、小写字母、数字、特殊字符中的三种，长度8位以上。

控制面板 → 所有控制面板项 → 管理工具 → 本地安全策略 → 账户策略 → 密码策略（Win+R运行输入secpol.msc）

1）密码必须符合复杂性要求

这个策略必须要启用，这点毋庸置疑

查看该策略说明，发现在复杂度要求上已满足，但长度仅要求六个字符长度，所以 密码长度最小值 策略也需进行设置

2）密码长度最小值

可自行设置密码长度至少几个字符，满足等保要求至少需设置8个字符，但最高只能设置14个字符

4.  身份鉴别信息定期更换

cmd命令行运行 net user [username]

1）密码最长使用期限

根据需求进行合理设置，这里没找到官方说明至少多久修改一次，初级书上推荐90天修改一次。

同时注意对应用户是否勾选密码永不过期

以下测试为该版本，不同版本可能会有区别

经测试发现Administrator管理账户并不受限制，仍可使用旧密码登录

但普通权限的test用户到期后，直接提示密码已过期，并且登录不上。

2）强制密码历史

用途：确保旧密码不被连续重新使用来增强安全性。初级书中推荐至少设置5

3）密码最短使用期限

主要防止通过无限修改密码来达到强制密码历史，从而可以继续使用旧密码。

这里没有作出推荐值，该参数不为0即可

b）应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施

1.  登录失败处理功能

控制面板 → 所有控制面板项 → 管理工具 → 本地安全策略 → 账户策略 → 密码锁定策略（Win+R运行输入secpol.msc）

账户锁定时间：

指账户被锁定后需要持续等待的时间，才能自动解锁并再次尝试登录。例如，如果将帐户锁定持续时间设置为10分钟，则当账户被锁定后，必须等待10分钟后，系统会自动解锁该账户。设置为0时则需要管理员手动解锁

账户锁定阈值：

指登录失败的次数达到多少次时，系统会锁定该用户账户。设置为0时，则永远不锁定账户。

重置账户锁定计数器：

指某次登录尝试失败之后将登录尝试失败计数器重置为 0 次错误登录尝试之前需要的时间。

首先我们先了解下帐号锁定的机制，假如一个账户登录失败次数达到5次后，该账号会被锁定10分钟，重置账户锁定计数器设置的时间也为10分钟，在这10分钟之间有有新的登录失败会延长锁定时间，比如在第9分钟又登录失败了，此时锁定的时间就会继续延长十分钟。

（已经过测试）再举个例子，假设你的账户在0:00因登录失败次数达到5次后被锁定了，此时安全策略如下

比如你过了两分钟后再去尝试这个帐号的密码（即使密码正确此时也是登不上的），但是经过重置，此时的登录失败次数重0开始计算，只要你1分钟内不超过5次无效登录，他这个帐号还是会在0:10解锁，而不是0:12分解锁。

这就是重置账户锁定计数器的用途，这里建议与账户锁定时间设置保持一致，一旦发现持续攻击的迹象，继续延长账户的锁定时间。

原文始发于微信公众号（等保不好做啊）：等保2.0测评 — Windows 操作系统