風影

為了讓系統(tǒng)登錄或網(wǎng)絡訪問更安全，不少人會通過設置形形式式的密碼，來建立安全登錄或訪問屏障。當然，設置了密碼，并不意味著它就能很好地發(fā)揮安全防范作用，我們還需要采取各種措施，對密碼加強管理和控制?，F(xiàn)在本文就通過組策略設置，來為密碼管理和控制提供解決方案，有了它們就不用擔心什么了。

強制搜索加密文件

為了保護加密文件的安全，Windows 7系統(tǒng)的文件搜索功能，默認是不會對加密文件進行索引的。但時間長了，我們往往不記得需要尋找的文件材料是否具有加密屬性，這樣就容易造成一些內(nèi)容由于加密因素無法被快速尋找到。為了避免這種現(xiàn)象，我們可以通過組策略設置，強制Windows系統(tǒng)允許對加密文件進行索引：

首先依次點擊“開始”|“運行”命令，彈出系統(tǒng)運行對話框，輸入“gpedit.msc”命令并回車，展開系統(tǒng)組策略控制臺窗口。在左側樹形結構圖中，逐一跳轉到“本地計算機策略”|“計算機配置”|“管理模板”|“Windows組件”|“搜索”分支上，在右側顯示區(qū)域中，通過雙擊鼠標方式打開“允許加密文件的索引”組策略屬性對話框，如圖1所示。

其次檢查這里的“已啟用”選項是否處于選中狀態(tài)，如果發(fā)現(xiàn)其還沒有被選中時，應該及時將其重新選中，單擊“確定”按鈕讓上述設置正式生效。日后，Windows 7系統(tǒng)的文件搜索功能默認就會對加密內(nèi)容建立索引，那么加密文件就能被快速尋找到了。

限制密碼猜解次數(shù)

如果遠程登錄賬號密碼不夠“健壯”時，惡意用戶很容易通過反復重試方式，“猜”出登錄密碼而進入重要主機系統(tǒng)，這樣就會存在不小的安全風險。那怎樣來避免惡意用戶猜解或者爆破遠程連接密碼呢？

很簡單！要防止這一現(xiàn)象發(fā)生，通過組策略設置，啟用賬號鎖定策略即可。打開系統(tǒng)組策略編輯界面，依次跳轉到“本地計算機策略”|“計算機設置”|“Windows設置”|“安全設置”|“帳戶策略”|“帳戶鎖定策略”節(jié)點上，雙擊該節(jié)點下的“帳戶鎖定閾值”選項，在其后界面中定義好觸發(fā)用戶賬號被鎖定的登錄嘗試失敗次數(shù)，如圖2所示。

該選項取值范圍在0到999之間，缺省數(shù)值為“0”，也就是說對遠程登錄次數(shù)不進行限制。我們可以依照實際需要進行合適設置，一般可設置為“3”。當開啟賬號鎖定功能后，某一用戶嘗試遠程登錄重要主機系統(tǒng)，輸入錯誤密碼次數(shù)超過指定閾值后，就會自動將該用戶賬號鎖定起來，在用戶賬號鎖定期滿之前，該用戶將不能繼續(xù)遠程登錄，除非管理員手工解除鎖定。

巧妙設置中文密碼

當使用指定賬號成功登錄系統(tǒng)后，對應賬號的密碼內(nèi)容，會以Hash散列這種特殊格式存儲在內(nèi)存中。一些狡猾的黑客會借助專業(yè)工具，抓取內(nèi)存中的特定賬號密碼Hash散列值，再想辦法對其破譯，就可能獲取系統(tǒng)管理員賬號的密碼。為了避免黑客通過上述方法竊取密碼，我們可以為特定用戶賬號設置中文密碼，這樣能引導黑客進入誤區(qū)，從而達到保護用戶賬號密碼目的。不過，在進行Windows系統(tǒng)登錄操作時，系統(tǒng)是不會識別漢字密碼的。這時，我們可以靈活變通，讓Windows系統(tǒng)在登錄時使用英文字符密碼，登錄成功后自動修改成中文密碼，下面就是具體的設置步驟：

首先啟動運行記事本程序，創(chuàng)建一個名稱為“english.bat”批處理文件，在該文件編輯窗口中輸入“@net user avc321*&6 password”這段代碼，執(zhí)行該文件將“avc321*&6”賬號的密碼設置成英文字符“password”。同樣地，再創(chuàng)建一個“chinese.bat”批處理文件，在其中輸入“@net user avc321*&6 我愛祖國”這段代碼，執(zhí)行該文件將“avc321*&6”賬號的密碼內(nèi)容設置成中文字符“我愛祖國”。

其次對上述兩個批處理文件的訪問權限進行修改，僅讓“avc321*&6”賬號對其訪問和運行，同時刪除其他無關的用戶賬號。例如，要為“english.bat”批處理文件授權時，可以先用鼠標右鍵單擊目標文件，從彈出的快捷菜單中點擊“屬性”命令，展開對應文件屬性對話框，選擇“安全”標簽，在安全標簽設置頁面的“組或用戶名”列表中，將無關用戶賬號刪除或取消它們的所有權限。再通過“添加”按鈕，將“avc321*&6”賬號選中并添加進來，并為該賬號設置好“讀取”和“運行”權限。

接著展開系統(tǒng)組策略控制臺窗口，在左側樹形結構圖中，逐一跳轉到“本地計算機策略”|“計算機配置”|“Windows設置”|“腳本（啟動/關機）”節(jié)點上，在目標節(jié)點下面可以看到一個名為“關機”的選項。用鼠標雙擊該選項，進入對應選項對話框（如圖3所示），按下“添加”按鈕，選中并添加“english.bat”批處理文件，確認后保存設置操作。再從指定節(jié)點下雙擊“啟動”選項，點擊其后界面中的“添加”按鈕，導入“chinese.bat”批處理文件。之后，將鼠標定位到“本地計算機策略”|“計算機配置”|“管理模板”|“系統(tǒng)”|“腳本”節(jié)點上，雙擊該節(jié)點下的“組策略腳本最長等待時間”選項，在對應選項設置框中輸入“0”秒，確認后保存設置操作。

完成上述設置操作后，日后每次關閉系統(tǒng)時，Windows系統(tǒng)都能自動調(diào)用“english.bat”批處理文件，將特定賬號的密碼設置為英文字符，以不影響下次系統(tǒng)登錄操作。一旦登錄成功后，Windows系統(tǒng)又會運行“chinese.bat”批處理文件，將對應用戶賬號的密碼內(nèi)容修改為中文字符，這樣即使惡意用戶已經(jīng)入侵本地系統(tǒng)，也不能竊取到當前用戶賬號的Hash散列值，那么自然也就沒有辦法破譯獲取密碼內(nèi)容了。

解決密碼輸入無效

在局域網(wǎng)環(huán)境中，兩臺計算機相互之間進行共享訪問時，雖然共享資源已經(jīng)允許everyone用戶正常訪問，但是實際訪問時系統(tǒng)仍然要求輸入共享訪問密碼，而且有時不管輸入什么權限賬號的密碼，都無法保證共享訪問成功。endprint

這種問題很可能是用戶在共享訪問時使用了來賓賬號，但共享資源所在主機系統(tǒng)恰好又開啟了經(jīng)典訪問模式，強制來賓賬號輸入密碼，事實上來賓賬號是沒有密碼的，于是就出現(xiàn)了密碼輸入無效現(xiàn)象。要解決這種問題，只要將共享訪問模式修改為來賓模式，或者暫停使用來賓賬號即可。

首先使用“Win+R”快捷鍵，打開系統(tǒng)運行對話框，輸入“gpedit.msc”命令后回車，開啟組策略編輯器。通過鼠標展開“本地計算機策略”|“計算機配置”|“Windows設置”|“安全設置”|“本地策略”|“安全選項”節(jié)點，這時在該節(jié)點右側區(qū)域能看到一個名稱為“網(wǎng)絡訪問：本地賬戶的共享和安全模型”組策略。

其次用鼠標雙擊該組策略選項，彈出如圖4所示的選項設置對話框，選中“僅來賓——對本地用戶進行身份驗證，不改變其本來身份”選項，設置完成后單擊“確定”按鈕退出即可。這樣，用戶日后在共享訪問時，就能通過來賓賬號成功訪問到共享資源了。如果暫停使用來賓賬號時，用戶必須憑借正確的共享訪問賬號與密碼，才能訪問到共享資源。

禁止空白密碼連接

如果允許空白密碼的用戶賬號與重要主機系統(tǒng)建立遠程連接，雖然能提高連接效率，但容易給黑客或惡意用戶帶來入侵機會。為了保護遠程連接安全，我們可以在重要主機系統(tǒng)中，限制空白密碼的用戶賬號進行遠程控制操作：

首先使用“Win+R”快捷鍵，展開系統(tǒng)運行對話框，在其中執(zhí)行“gpedit.msc”命令，彈出系統(tǒng)組策略編輯界面。在該界面的左側導航窗格中，依次跳轉到“計算機配置”|“Windows設置”|“安全設置”|“本地策略”|“安全選項”節(jié)點上，找到該節(jié)點下的“賬戶：使用空白密碼的本地賬號只允許進行控制臺登錄”選項，并用鼠標雙擊之，打開如圖5所示的組策略屬性對話框。

其次選中“已啟用”選項， 單擊“確定”按鈕保存設置操作，這樣日后用戶使用空白密碼的用戶帳號遠程連接到重要主機系統(tǒng)時，就無法進行遠程控制操作了。

取消密碼同步屬性

與傳統(tǒng)操作系統(tǒng)相比，Windows 8.1系統(tǒng)具有強大的同步功能，例如可以對桌面?zhèn)€性化設置進行同步，對瀏覽器設置進行同步，對各種系統(tǒng)設置進行同步等。但有時為了安全需要，我們想取消密碼同步屬性，要做到這一點，可以進行如下設置操作：

首先執(zhí)行“gpedit.msc”命令，打開系統(tǒng)組策略控制臺窗口，在左側樹形結構圖中，逐一跳轉到“本地計算機策略”|“計算機配置”|“管理模板”|“Windows組件”|“同步你的設置”分支上，在右側顯示區(qū)域中，我們能看到各種同步設置組策略。

其次選中“不同步密碼”組策略，用鼠標雙擊之，打開對應組策略屬性對話框，選中“已啟用”選項，確認之后上述設置就能立即生效。當然，要提醒大家的是，日后要將該組策略重新設置為“已禁用”時，必須要重新啟動計算機系統(tǒng)才能讓設置正式生效。

防止自動保存密碼

在訪問網(wǎng)絡的時候，許多場合下輸入的密碼內(nèi)容，會被Windows系統(tǒng)自動保存，這雖然會有利于下次登錄訪問，但是在安全性要求很高的環(huán)境下，這種自動保存功能容易讓復雜密碼失去安全防護作用。所以，為了安全起見，我們可以進行下面的設置操作，來防止Windows系統(tǒng)自動保存密碼：

首先按下快捷鍵“Win+R”，打開系統(tǒng)運行對話框，輸入“services.msc”命令后回車，展開服務列表窗口。雙擊“ProtectedStorage”服務選項，進入目標系統(tǒng)服務屬性對話框，點擊“停止”按鈕，將目標系統(tǒng)服務關閉運行，同時將其啟動類型參數(shù)設置為“手動”，確認后保存設置操作。

其次啟動組策略編輯器，在對應窗口左側導航窗格中，找到“本地計算機策略”|“計算機配置”|“Windows設置”|“安全設置”|“本地策略”|“安全選項”節(jié)點選項，這時在右側列表中，會看到“網(wǎng)絡訪問： 不允許存儲網(wǎng)絡身份驗證的密碼和憑據(jù)”選項，用鼠標雙擊該選項，切換到如圖6所示的組策略選項設置框，選擇“已啟用”選項，設置完成后點擊“確定”按鈕退出，這樣Windows系統(tǒng)日后就不會自動保存各種密碼內(nèi)容了。

拓展密碼使用范圍

在工作組環(huán)境下，我們通過遠程桌面功能與局域網(wǎng)中的重要主機系統(tǒng)建立遠程連接時，使用了登錄憑據(jù)管理功能，保存了遠程連接賬號和密碼，以便下次能夠不輸入密碼就能快速建立遠程桌面連接。可是，當升級到局域網(wǎng)特定域環(huán)境后，再嘗試利用以前存儲的登錄憑據(jù)，快速與重要主機系統(tǒng)建立遠程連接時，會發(fā)現(xiàn)遠程登錄無法成功。那么如何才能讓登錄憑據(jù)之前保存的遠程連接賬號與密碼，適用于新的局域網(wǎng)特定域環(huán)境呢？

很簡單！只要修改本地計算機的的憑據(jù)分配設置即可。啟動系統(tǒng)組策略編輯器，在對應窗口的左側導航區(qū)域，找到“本地計算機策略”|“計算機配置”|“管理模板”|“系統(tǒng)”|“憑據(jù)分配”節(jié)點選項，這時會在該節(jié)點右側區(qū)域看到“允許分配保存的憑據(jù)用于僅NTLM服務器身份驗證”組策略選項。

用鼠標雙擊該組策略，打開目標組策略的屬性設置對話框（如圖7所示），選擇“已啟用”選項，激活“顯示”按鈕，按下該按鈕彈出顯示內(nèi)容設置框，輸入“termsrv /*”關鍵字，確認之后退出設置框，就能拓展密碼使用范圍。

限制密碼使用期限

重要主機系統(tǒng)的登錄密碼內(nèi)容如果長期不變，那將是非常危險的，因為隨著時間的延長，越來越多的人可能會知道密碼內(nèi)容，那么它被破譯或外泄的機率就會不斷增強。所以，為了加強重要主機系統(tǒng)的安全防護，我們應該強制用戶定期修改登錄密碼內(nèi)容。

比方說，要強制Windows 7系統(tǒng)定期修改密碼內(nèi)容時，只要先開啟系統(tǒng)組策略編輯器的運行狀態(tài)，在編輯窗口左側導航區(qū)域，找到“本地計算機策略”|“計算機配置”|“Windows設置”|“安全設置”|“賬戶策略”|“密碼策略”節(jié)點選項，這時能在目標節(jié)點下面看到好多密碼相關策略。

要限制密碼使用期限時，可以選中“密碼最長使用期限”選項，并用鼠標雙擊之打開對應選項設置對話框，如圖8所示。在這里輸入好密碼變化的間隔時間，比如輸入“30”，確認后保存設置操作，日后系統(tǒng)會每隔30天強制用戶修改一次密碼內(nèi)容。

當使用指定賬號成功登錄系統(tǒng)后，對應賬號的密碼內(nèi)容，會以Hash散列這種特殊格式存儲在內(nèi)存中。一些狡猾的黑客會借助專業(yè)工具，抓取內(nèi)存中的特定賬號密碼Hash散列值，再想辦法對其破譯，就可能獲取系統(tǒng)管理員賬號的密碼。

在局域網(wǎng)環(huán)境中，兩臺計算機相互之間進行共享訪問時，雖然共享資源已經(jīng)允許everyone用戶正常訪問，但是實際訪問時系統(tǒng)仍然要求輸入共享訪問密碼，而且有時不管輸入什么權限賬號的密碼，都無法保證共享訪問成功。endprint