使用组策略进行账户安全配置

在目前所有 Windows 桌面操作系统中,Windows 7 可谓是集性能与安全两大优势于一身。它的易用性、易维护性都较上一版系统有着极大的提升。但是,安全与易维护特性的提升并不意味着能够高枕无忧了,万事都没有绝对化的,面对 Windows 7 ,我们更应该了解其新的安全特性,掌握正确的安全配置方法。

Windows 7 具有很多安全新特性,但是在默认情况下这些功能绝大多数都处于关闭状态。下面,我们就来一步步启用这些安全功能。让客户资源能够获得最大限度的保护。

账户密码安全策略

账户密码策略

在组策略中可以对账户的密码安全性进行设置。

打开组策略,将左侧树目录定位至:

 计算机配置 -> Windows 设置 -> 安全设置 -> 账户策略 -> 密码策略

密码策略

使用组策略进行账户安全配置 

这里可以看到丰富的密码安全策略条目。通常,为了保证用户密码的安全性,请启用“密码必须符合复杂性要求”,密码复杂性要求的最低限度为:


● 不能包含用户的帐户名,不能包含用户姓名中超过两个连续字符的部分  

至少有六个字符长  

包含以下四类字符中的三类字符:  

英文大写字母(A 到 Z)  

英文小写字母(a 到 z)  

10 个基本数字(0 到 9)  

非字母字符(例如 !、$、#、%) 

需要注意的是,在域控制器下默认情况此策略配置是启用的,并且不能禁用此策略。需要禁用时,需要先删除域控制器。

其次,为了保证用户账户密码安全,还可以对密码长度、密码使用期限等进行配置。这里就不一一详述了。

防止依靠猜测密码进行恶意登录

目标要求

为了防止依靠猜测密码恶意登录,可以使用账户锁定策略进行配置,设定尝试登录失败阀值,激活账户锁定,使得被恶意猜测登录的账户在一定时间内不可用。

实现原理

通过配置组策略中的账户锁定策略,即可达到上述要求。

打开组策略(gpedit.msc),将目录树定位至安全设置:

 计算机配置 -> Windows 设置 -> 安全设置 -> 账户策略 -> 账户锁定策略

可以看到在此策略组下共有三条设置:账户锁定时间、账户锁定阀值、重置账户锁定计数器

        ● 账户锁定时间:尝试登录失败次数达到阀值之后,账户被系统锁定的时间。

        ● 账户锁定阀值:尝试登录失败的次数的阀值(最大值),达到此阀值时,账户将被系统锁定。尝试登陆失败次数不仅包括用户登录界面,还包括了 Ctrl+Alt+Del 以及密码保护的屏幕保护登录。

        ● 重置账户锁定计数器:重置(归零)账户登录失败次数计数器所需要的时间。

实现方法

设置账户锁定策略,需要先指定“账户锁定阀值”,因为锁定阀值是锁定时间的预先条件。在组策略配置中,若没有指定锁定阀值,“账户锁定时间”以及“重置账户锁定计数器”都将成不可用状态。

例如,我将锁定阀值设置为3:

使用组策略进行账户安全配置 

设置好阀值之后,点击确定,会出现提示窗口,大意为系统根据我们自定义的阀值将对另外两项账户锁定策略(账户锁定时间、重置账户锁定计数器)进行建议值设置:

使用组策略进行账户安全配置 

点击确定即可。此时可以看到所有关于账户锁定的策略都已被配置成功:

使用组策略进行账户安全配置

若上述步骤中的系统建议值(30分钟)符合用户要求,即无需改动。否则,请根据用户需要自行设置即可。

若需要解除账户锁定策略,将“账户锁定阀值”设置为 0 即可,系统会自动对另外两项进行配置为不可用状态。




     本文转自melvillo 51CTO博客,原文链接:http://blog.51cto.com/marui/335600,如需转载请自行联系原作者




上一篇:Apache Kylin权威指南1.3 Apache Kylin的工作原理


下一篇:微信公众平台开发(39)支付宝手机网站支付