组策略安全设置(上)

【 tulaoshi.com - 网络基础知识 】

　　一、组策略安全设置综述

　　在组策略中同样为我们提供了很多安全设计方面的内容，包括了帐户策略、本地策略等众多的设置内容，而且这些配置都是针对计算机而言的，也就是说为了提高系统的安全性能，我们所作的配置对登录本台计算机的所有用户都有效。打开组策略编辑器，依次浏览到“本地计算机策略”——“计算机配置”——“Windows设置”——“安全设置”（图1），在这里我们可能看到针对安全设置的主要有帐户策略、本地策略、公钥策略等，下面我们将针对这些项目的详细设置向大家作个介绍，只要你认真合理的设置好这些项目，一定能够使你的系统更加安全。

图1

　　二、安全设置之帐户策略

　　帐户我们又称之为用户名，在Windows2000/xp之中，正是因为给不同的帐户赋予了高低不等的权限，才使得我们能够根据实际的需要做到权限按需分配。但是如果我们平时不管理好这些可用的帐户，那么将给黑客们的攻击留下很好的攻击条件。这样就需要我们对帐户的密码等进行周密、仔细的设置。

　　密码策略

　　在帐户策略下面最重要的设置就是针对密码的，如果使用过于简单的密码，甚至空口令，那就等于自己主动给攻击者开了一扇大门，我相信是没有人愿意开着这扇大门的。既然如此，就让我们来针对密码进行完善的安全策略配置。

　　密码必须符合复杂性要求：有一些朋友也设置了密码，但是却频频被人破译！这到底是怎么回事呢？熟悉密码破解的朋友就知道，最简单最直接的破解方法就是口令猜测，这种方法如果稍加演变，就变成穷取。试想想如果你的密码设置为1、2、3或a、b、c这些简单的数字，那么岂不是很容易就被猜到。这也就是为什么设置了密码却仍然被破的原因，最实质的问题就是密码过于简单！

　　这样的道理和大家一说就明白，但是在实际的使用过程中却仍然有很多人不能忘记这样的规律，为了避免这些用户继续使用弱口令，我们只有在组策略中强制要求密码必须符合一定的复杂性。双击“密码必须符合复杂性要求”策略，将其安全设置为“已启用”，这样保存设置就可以了！

　　密码长度最小值：虽然说在上面我们已经设置密码必须会合一定的复杂性要求，也就是说我们设置密码最好使用字母、数字并用。但是如果设置的密码长度过低，例如只有两位，那么使用穷取法仍然是很容易破解出来的。因此我们可以制定一个密码最小的长度。双击“密码长度最小值”，打开安全设置对话框，点击上下箭头调整密码必须拥有的字符（图2），设置好之后保存设置。我们现在来新建一帐户并为其设置密码，唉怎么回事怎么报告出错（图3）。原来我们设置的密码太短了，没有达到密码长度最小值的要求。

　　友情提醒：通常来说我们设置的密码应该不低于8位，也就是8个字符，只有保证了足够长度、足够复杂的密码才能降低被破解的机会。

图２

图３

　　密码最长存留期：别以为自己的密码已经够复杂、也够长了，但是你能确保你的密码就是最安全，无可攻懈了吗？你就能确保你的密码永远不被破解吗？要知道道高一尺，魔高一丈，无论你的密码怎么“强壮”，但如果别人长期处心积虑的想破解，那么说不定过一阵子就被他破解了！怎么样，这下子你可慌了神了吧！千万不要着急，事情还没有到不可收拾的地步，我们可以设置密码的最长存留期，说白了，也就是定期更改密码！双击打开“密码最长存留期”，在默认情况下这个时间为42天，我们可以根据自己的需要将这个时间变长或变短！（图4）当密码设置之后达到我们设定的存留期之后，我们仍然没有修改密码，那么系统就会提醒我们已经达到最长存留期了，需要更改密码！

图４

　　友情提醒：养成定期更改密码的习惯可以有效降低我们的密码不被破解！

　　密码最短存留期：与上面相反的是，在这里我们可以设置密码最短存留期！可能读者就不明白了，两个截相相反的设置为何要放在一起呢？我个人以为这主要有两方面的作用，首先如果我们不设置密码最短存留期，过于频繁的更改密码，这从表面上来看确实降低了密码被破解的可能！但是不知各