使用組策略進行賬戶安全配置

技術小胖子發表於2017-11-02

在目前所有 Windows 桌面作業系統中,Windows 7 可謂是集效能與安全兩大優勢於一身。它的易用性、易維護性都較上一版系統有著極大的提升。但是,安全與易維護特性的提升並不意味著能夠高枕無憂了,萬事都沒有絕對化的,面對 Windows 7 ,我們更應該瞭解其新的安全特性,掌握正確的安全配置方法。

Windows 7 具有很多安全新特性,但是在預設情況下這些功能絕大多數都處於關閉狀態。下面,我們就來一步步啟用這些安全功能。讓客戶資源能夠獲得最大限度的保護。

賬戶密碼安全策略

賬戶密碼策略

在組策略中可以對賬戶的密碼安全性進行設定。

開啟組策略,將左側樹目錄定位至:

 計算機配置 -> Windows 設定 -> 安全設定 -> 賬戶策略 -> 密碼策略

密碼策略

 

這裡可以看到豐富的密碼安全策略條目。通常,為了保證使用者密碼的安全性,請啟用“密碼必須符合複雜性要求”,密碼複雜性要求的最低限度為:


● 不能包含使用者的帳戶名,不能包含使用者姓名中超過兩個連續字元的部分  

至少有六個字元長  

包含以下四類字元中的三類字元:  

英文大寫字母(A 到 Z)  

英文小寫字母(a 到 z)  

10 個基本數字(0 到 9)  

非字母字元(例如 !、$、#、%) 

需要注意的是,在域控制器下預設情況此策略配置是啟用的,並且不能禁用此策略。需要禁用時,需要先刪除域控制器。

其次,為了保證使用者賬戶密碼安全,還可以對密碼長度、密碼使用期限等進行配置。這裡就不一一詳述了。

防止依靠猜測密碼進行惡意登入

目標要求

為了防止依靠猜測密碼惡意登入,可以使用賬戶鎖定策略進行配置,設定嘗試登入失敗閥值,啟用賬戶鎖定,使得被惡意猜測登入的賬戶在一定時間內不可用。

實現原理

通過配置組策略中的賬戶鎖定策略,即可達到上述要求。

開啟組策略(gpedit.msc),將目錄樹定位至安全設定:

 計算機配置 -> Windows 設定 -> 安全設定 -> 賬戶策略 -> 賬戶鎖定策略

可以看到在此策略組下共有三條設定:賬戶鎖定時間、賬戶鎖定閥值、重置賬戶鎖定計數器

        ● 賬戶鎖定時間:嘗試登入失敗次數達到閥值之後,賬戶被系統鎖定的時間。

        ● 賬戶鎖定閥值:嘗試登入失敗的次數的閥值(最大值),達到此閥值時,賬戶將被系統鎖定。嘗試登陸失敗次數不僅包括使用者登入介面,還包括了 Ctrl+Alt+Del 以及密碼保護的螢幕保護登入。

        ● 重置賬戶鎖定計數器:重置(歸零)賬戶登入失敗次數計數器所需要的時間。

實現方法

設定賬戶鎖定策略,需要先指定“賬戶鎖定閥值”,因為鎖定閥值是鎖定時間的預先條件。在組策略配置中,若沒有指定鎖定閥值,“賬戶鎖定時間”以及“重置賬戶鎖定計數器”都將成不可用狀態。

例如,我將鎖定閥值設定為3:

 

設定好閥值之後,點選確定,會出現提示視窗,大意為系統根據我們自定義的閥值將對另外兩項賬戶鎖定策略(賬戶鎖定時間、重置賬戶鎖定計數器)進行建議值設定:

 

點選確定即可。此時可以看到所有關於賬戶鎖定的策略都已被配置成功:

若上述步驟中的系統建議值(30分鐘)符合使用者要求,即無需改動。否則,請根據使用者需要自行設定即可。

若需要解除賬戶鎖定策略,將“賬戶鎖定閥值”設定為 0 即可,系統會自動對另外兩項進行配置為不可用狀態。

     本文轉自melvillo 51CTO部落格,原文連結:http://blog.51cto.com/marui/335600,如需轉載請自行聯絡原作者



相關文章