组策略安全设置(上)

　　一、组策略安全设置综述

　　在组策略中同样为我们提供了很多安全设计方面的内容，包括了帐户策略、本地策略等众多的设置内容，而且这些配置都是针对计算机而言的，也就是说为了提高系统的安全性能，我们所作的配置对登录本台计算机的所有用户都有效。打开组策略编辑器，依次浏览到“本地计算机策略”——“计算机配置”——“Windows设置”——“安全设置”（图1），在这里我们可能看到针对安全设置的主要有帐户策略、本地策略、公钥策略等，下面我们将针对这些项目的详细设置向大家作个介绍，只要你认真合理的设置好这些项目，一定能够使你的系统更加安全。

图1

　　二、安全设置之帐户策略

　　帐户我们又称之为用户名，在Windows2000/xp之中，正是因为给不同的帐户赋予了高低不等的权限，才使得我们能够根据实际的需要做到权限按需分配。但是如果我们平时不管理好这些可用的帐户，那么将给黑客们的攻击留下很好的攻击条件。这样就需要我们对帐户的密码等进行周密、仔细的设置。

　　密码策略

　　在帐户策略下面最重要的设置就是针对密码的，如果使用过于简单的密码，甚至空口令，那就等于自己主动给攻击者开了一扇大门，我相信是没有人愿意开着这扇大门的。既然如此，就让我们来针对密码进行完善的安全策略配置。

　　密码必须符合复杂性要求：有一些朋友也设置了密码，但是却频频被人破译！这到底是怎么回事呢？熟悉密码破解的朋友就知道，最简单最直接的破解方法就是口令猜测，这种方法如果稍加演变，就变成穷取。试想想如果你的密码设置为1、2、3或a、b、c这些简单的数字，那么岂不是很容易就被猜到。这也就是为什么设置了密码却仍然被破的原因，最实质的问题就是密码过于简单！

　　这样的道理和大家一说就明白，但是在实际的使用过程中却仍然有很多人不能忘记这样的规律，为了避免这些用户继续使用弱口令，我们只有在组策略中强制要求密码必须符合一定的复杂性。双击“密码必须符合复杂性要求”策略，将其安全设置为“已启用”，这样保存设置就可以了！

　　密码长度最小值：虽然说在上面我们已经设置密码必须会合一定的复杂性要求，也就是说我们设置密码最好使用字母、数字并用。但是如果设置的密码长度过低，例如只有两位，那么使用穷取法仍然是很容易破解出来的。因此我们可以制定一个密码最小的长度。双击“密码长度最小值”，打开安全设置对话框，点击上下箭头调整密码必须拥有的字符（图2），设置好之后保存设置。我们现在来新建一帐户并为其设置密码，唉怎么回事怎么报告出错（图3）。原来我们设置的密码太短了，没有达到密码长度最小值的要求。

　　友情提醒：通常来说我们设置的密码应该不低于8位，也就是8个字符，只有保证了足够长度、足够复杂的密码才能降低被破解的机会。

图２

图３

　　密码最长存留期：别以为自己的密码已经够复杂、也够长了，但是你能确保你的密码就是最安全，无可攻懈了吗？你就能确保你的密码永远不被破解吗？要知道道高一尺，魔高一丈，无论你的密码怎么“强壮”，但如果别人长期处心积虑的想破解，那么说不定过一阵子就被他破解了！怎么样，这下子你可慌了神了吧！千万不要着急，事情还没有到不可收拾的地步，我们可以设置密码的最长存留期，说白了，也就是定期更改密码！双击打开“密码最长存留期”，在默认情况下这个时间为42天，我们可以根据自己的需要将这个时间变长或变短！（图4）当密码设置之后达到我们设定的存留期之后，我们仍然没有修改密码，那么系统就会提醒我们已经达到最长存留期了，需要更改密码！

图４

　　友情提醒：养成定期更改密码的习惯可以有效降低我们的密码不被破解！

　　密码最短存留期：与上面相反的是，在这里我们可以设置密码最短存留期！可能读者就不明白了，两个截相相反的设置为何要放在一起呢？我个人以为这主要有两方面的作用，首先如果我们不设置密码最短存留期，过于频繁的更改密码，这从表面上来看确实降低了密码被破解的可能！但是不知各位读者有没有想到这种高频繁的更换密码最终导致的结果是防不住别人，最终是自己也记不得密码是什么！也许你会说，我密码更换是按照一定的规律来设置的，那么你能确保这样的规律不被黑客所摸透吗？其次设置密码最短存留期有助于我们保证帐户的安全，试想一下，如果我们设置的密码被别人破解，但是因为该密码没有达到最短存留期，那么他们就无法更改我们的口令，这从某种程度上来说，也给我们恢复被攻击的系统提供了方便！

　　从上面的所讲解的原因可以看出设置密码最短存留期是完全有必要的，双击“密码最短存留期”然后修改其默认的最短存留期即可，相信这样的更改没有人再要我教你如何操作了！

　　友情提醒：如果自己希望能够修改在未到达最短存留期的密码，那么可以先进入组策略，将密码最短存留期设置为0天即可。另外需要注意的是密码最短存留期必须小于最码最长存留期设置的值，否则会提示我们建议更改密码最长存留期（图5）否则将无法进行设置。

图５

　　强制密码历史：在前面向大家介绍最码最短存留期的时候就介绍过，更改密码遵守一定的修改规律有助于使用者记忆住自己的密码设置。但是如果这样的规律过于简单，例如某用户将密码是由a、b、c三个字母近顺序轮流使用，也就是密码为abc、bca、cab这样进行轮流，那么每轮流三次密码就会重复，想象一下如此高的重复频率不正是增加了被破解的可能吗？而强制密码历史正是为了弥补这种情况而产生的。双击打开强制密码历史，设置其保留密码历史的个数！（图6）例如我们这里设置的个数为10，那么就可以避免10次设置的密码不被重复。

　　友情提醒：强制密码历史的设置范围值为0——24。如果想使强制密码历史设置的值起生效，那么我们就不以将密码最短存留期设置为0天！

　　帐户锁定策略

　　在上面我们是对针密码策略进行了详细的设置，在帐户策略下另外一项比较重要的设置就是帐户锁定策略！在帐户锁定策略下面一共有三项具体的设置，即复位帐户锁定计数器、帐户锁定时间、帐户锁定阈值。

　　看到这里，性急的朋友可能已经不耐烦了，快让我们来设置一下吧！双击“复位帐户锁定计数器”打开策略配置对话框，怎么回事？（图7）怎么是不可修改的！难道是什么地方出错了不成？不要紧张，这主要是因为我们设置时没有按照一样的顺序而导致的！在帐户锁定策略中进行配置一定要先设置帐户锁定阈值项，其它两项才能变成可编辑状态！

图７

　　帐户锁定阈值：如果有人针对某一帐户进行不断的登录尝试，那么很有可能会导致口令被猜出来！这样我们就可以设置允许尝试登录的次数，也就是帐户锁定阈值的数值！双击打开“帐户锁定阈值”，然后修改几次无效登录就锁定帐户，例如作者将自己的计算机无效登录锁定帐户的次数为3（图8），点击“确定”按钮使设置生效。但与此同时，会弹出一个建议的数值改动对话框，这主要是我们修改了帐户锁定阈值，其它两项数值就变成了可修改状态，系统给出了我们一个建议的数值（图9）在这里我们先点击“确定”按钮接受系统的建议设置，因为我们后面仍然可以对这两个数值进行编辑修改。

图８

图９

　　友情提醒：如果我们将帐户锁定阈值设置为0，那么系统同样会提示我们将另外两个策略配置项修改为不可用状态！

　　帐户锁定时间：这主要是根据帐户锁定阈值来决定的，若用户的帐户被锁定，那么到底锁定多长时间呢？设置生效后，系统给出的默认设置时间为30分钟，其实我们可以根据自己的需要进行设置，只要范围在1到99999分钟之间皆可。

　　友情提醒：如果将该值设置为0，那么将一直锁定该帐户，除非管理员才可以将其解锁。

　　复位帐户锁定计数器：该项设置主要是用来确定尝试登录失败之后与计数器复位为0次记录前的时间，其设置的范围也是1——99999分钟之间。各位朋友可以根据自己的需要进行设置，在这里我就不再多作介绍。

　　在情提醒：若复位帐户锁定计数器设置的时间长于帐户锁定时间，那么在应用复位帐户锁定计数器时，系统就会提示我们同时要更改帐户锁定时间！