使用組策略進行賬戶安全配置

在目前所有 Windows 桌面作業系統中，Windows 7 可謂是集效能與安全兩大優勢於一身。它的易用性、易維護性都較上一版系統有著極大的提升。但是，安全與易維護特性的提升並不意味著能夠高枕無憂了，萬事都沒有絕對化的，面對 Windows 7 ，我們更應該瞭解其新的安全特性，掌握正確的安全配置方法。

Windows 7 具有很多安全新特性，但是在預設情況下這些功能絕大多數都處於關閉狀態。下面，我們就來一步步啟用這些安全功能。讓客戶資源能夠獲得最大限度的保護。

賬戶密碼安全策略

賬戶密碼策略

在組策略中可以對賬戶的密碼安全性進行設定。

開啟組策略，將左側樹目錄定位至：

計算機配置 -> Windows 設定 -> 安全設定 -> 賬戶策略 -> 密碼策略

密碼策略

 

這裡可以看到豐富的密碼安全策略條目。通常，為了保證使用者密碼的安全性，請啟用“密碼必須符合複雜性要求”，密碼複雜性要求的最低限度為：

● 不能包含使用者的帳戶名，不能包含使用者姓名中超過兩個連續字元的部分  

● 至少有六個字元長  

● 包含以下四類字元中的三類字元:  

● 英文大寫字母(A 到 Z)  

● 英文小寫字母(a 到 z)  

● 10 個基本數字(0 到 9)  

● 非字母字元(例如 !、$、#、%) 

需要注意的是，在域控制器下預設情況此策略配置是啟用的，並且不能禁用此策略。需要禁用時，需要先刪除域控制器。

其次，為了保證使用者賬戶密碼安全，還可以對密碼長度、密碼使用期限等進行配置。這裡就不一一詳述了。

防止依靠猜測密碼進行惡意登入

目標要求

為了防止依靠猜測密碼惡意登入，可以使用賬戶鎖定策略進行配置，設定嘗試登入失敗閥值，啟用賬戶鎖定，使得被惡意猜測登入的賬戶在一定時間內不可用。

實現原理

通過配置組策略中的賬戶鎖定策略，即可達到上述要求。

開啟組策略（gpedit.msc），將目錄樹定位至安全設定：

計算機配置 -> Windows 設定 -> 安全設定 -> 賬戶策略 -> 賬戶鎖定策略

可以看到在此策略組下共有三條設定：賬戶鎖定時間、賬戶鎖定閥值、重置賬戶鎖定計數器

        ● 賬戶鎖定時間：嘗試登入失敗次數達到閥值之後，賬戶被系統鎖定的時間。

        ● 賬戶鎖定閥值：嘗試登入失敗的次數的閥值（最大值），達到此閥值時，賬戶將被系統鎖定。嘗試登陸失敗次數不僅包括使用者登入介面，還包括了 Ctrl+Alt+Del 以及密碼保護的螢幕保護登入。

        ● 重置賬戶鎖定計數器：重置（歸零）賬戶登入失敗次數計數器所需要的時間。

實現方法

設定賬戶鎖定策略，需要先指定“賬戶鎖定閥值”，因為鎖定閥值是鎖定時間的預先條件。在組策略配置中，若沒有指定鎖定閥值，“賬戶鎖定時間”以及“重置賬戶鎖定計數器”都將成不可用狀態。

例如，我將鎖定閥值設定為3：

 

設定好閥值之後，點選確定，會出現提示視窗，大意為系統根據我們自定義的閥值將對另外兩項賬戶鎖定策略（賬戶鎖定時間、重置賬戶鎖定計數器）進行建議值設定：

 

點選確定即可。此時可以看到所有關於賬戶鎖定的策略都已被配置成功：

若上述步驟中的系統建議值（30分鐘）符合使用者要求，即無需改動。否則，請根據使用者需要自行設定即可。

若需要解除賬戶鎖定策略，將“賬戶鎖定閥值”設定為 0 即可，系統會自動對另外兩項進行配置為不可用狀態。

     本文轉自melvillo 51CTO部落格，原文連結：http://blog.51cto.com/marui/335600，如需轉載請自行聯絡原作者