通過組策略配置Windows電腦是企業(yè)中最常見的一項任務。使用組策略設置和配置安全設置是Windows計算機的一大優(yōu)勢。是的，現(xiàn)在很多操作系統(tǒng)都有不相上下的管理機制，但組策略從1998年10月發(fā)布的Windows NT 4.0 Service Pack4中就存在了。

RogerA.Grimes自1990年就開始從事Windows計算機安全工作，十幾年的企業(yè)工作經(jīng)驗令他熟悉和掌握了大量的組策略。單就系統(tǒng)來說，在Windows8.1和Windows Server2012R2中就大約有3700多個設置。在海量設置中，RogerA.Grimes總結出了10個安全基礎組策略設置。

Windows組策略設置

只要保證這10個Windows組策略設置正確，你的Windows環(huán)境會在很長一段時間內保持更加安全的狀態(tài)。這些組策略都在計算機配置Windows設置安全設置下。

重命名本地管理員帳戶：提高管理員帳戶的安全性，就會大大降低被侵的風險。

禁用來賓帳戶：最糟糕的事情就是使用該帳戶。因為它會允許任何人訪問Windows電腦，并且沒有密碼！

禁用 LM 和 NTLM v1：LM（LAN Manager） 和NTLMv1認證協(xié)議存在漏洞。使用 NTLMv2和Kerberos。默認情況下，大多數(shù)Windows系統(tǒng)都會支持這四個協(xié)議。除非你有非常古老、沒有打補丁的系統(tǒng)（超過10年吧）。

禁用LM 哈希存儲：LM 哈希密碼很容易轉換為明文密碼。不要將它們存儲在Windows磁盤上，黑客會利用哈希轉儲工具找到它們。

密碼最小長度：你的最小密碼應該是12個字符或更多。如果你的密碼只有8個字符（最常見的大?。?，出了問題可別抱怨。Windows密碼只有到達12個字符長度的時候才有一定的安全性。

密碼最長期限：大多數(shù)密碼的使用時間不應超過90天。但如果你用的是15個字符（或更長），一年基本上是沒問題的。多個公開和私人研究已經(jīng)證明，12個字符或更長的密碼是相對安全的，因為密碼破解的時間更長。

事件日志：小心你的事件日志。大多數(shù)的計算機受害者已經(jīng)注意到黑客入侵前已經(jīng)查看了他們的日志。

禁用匿名SID：SID（安全標識符） 是分配給Windows或活動目錄中的每個用戶、組和其他安全對象的數(shù)字。在早期的操作系統(tǒng)版本中，匿名用戶可以查詢這些數(shù)據(jù)來識別重要用戶（如管理員）和組，當然黑客很喜歡利用這一點。

所有組中不要存在匿名賬戶：這兩個設置如果不正確，會讓匿名黑客訪問更多的系統(tǒng)內容。

啟用用戶帳戶控制（UAC）：最后，因為Windows Vista，UAC 成了人們?yōu)g覽網(wǎng)頁時的頭號保護工具。微軟的免費應用程序兼容性故障排除工具可以解決很多問題。

好消息：所有的這些設置在Windows Vista/Server2008（之后版本）中都是正確的默認狀態(tài)。

在你開始關心組策略設置之前，有一些更重要的事情要做，比如完善的修補和防止用戶安裝木馬程序。