使用組策略進行帳戶安全配置

在目前全部 Windows 桌面操做系統中，Windows 7 可謂是集性能與安全兩大優點於一身。它的易用性、易維護性都較上一版系統有着極大的提高。可是，安全與易維護特性的提高並不意味着可以高枕無憂了，萬事都沒有絕對化的，面對 Windows 7 ，咱們更應該瞭解其新的安全特性，掌握正確的安全配置方法。

Windows 7 具備不少安全新特性，可是在默認狀況下這些功能絕大多數都處於關閉狀態。下面，咱們就來一步步啓用這些安全功能。讓客戶資源可以得到最大限度的保護。

帳戶密碼安全策略

帳戶密碼策略

在組策略中能夠對帳戶的密碼安全性進行設置。

打開組策略，將左側樹目錄定位至：

計算機配置 -> Windows 設置 -> 安全設置 -> 帳戶策略 -> 密碼策略

密碼策略

 

這裏能夠看到豐富的密碼安全策略條目。一般，爲了保證用戶密碼的安全性，請啓用「密碼必須符合複雜性要求」，密碼複雜性要求的最低限度爲：

 ● 不能包含用戶的賬戶名，不能包含用戶姓名中超過兩個連續字符的部分  
 ● 至少有六個字符長  
 ● 包含如下四類字符中的三類字符:  
 ● 英文大寫字母(A 到 Z)  
 ● 英文小寫字母(a 到 z)  
 ● 10 個基本數字(0 到 9)  
 ● 非字母字符(例如 !、$、#、%) 

須要注意的是，在域控制器下默認狀況此策略配置是啓用的，而且不能禁用此策略。須要禁用時，須要先刪除域控制器。

其次，爲了保證用戶帳戶密碼安全，還能夠對密碼長度、密碼使用期限等進行配置。這裏就不一一詳述了。

防止依靠猜想密碼進行惡意登陸

目標要求

爲了防止依靠猜想密碼惡意登陸，可使用帳戶鎖定策略進行配置，設定嘗試登陸失敗閥值，激活帳戶鎖定，使得被惡意猜想登陸的帳戶在必定時間內不可用。

實現原理

經過配置組策略中的帳戶鎖定策略，便可達到上述要求。

打開組策略（gpedit.msc），將目錄樹定位至安全設置：

計算機配置 -> Windows 設置 -> 安全設置 -> 帳戶策略 -> 帳戶鎖定策略

能夠看到在此策略組下共有三條設置：帳戶鎖定時間、帳戶鎖定閥值、重置帳戶鎖定計數器

        ● 帳戶鎖定時間：嘗試登陸失敗次數達到閥值以後，帳戶被系統鎖定的時間。

        ● 帳戶鎖定閥值：嘗試登陸失敗的次數的閥值（最大值），達到此閥值時，帳戶將被系統鎖定。嘗試登錄失敗次數不只包括用戶登陸界面，還包括了 Ctrl+Alt+Del 以及密碼保護的屏幕保護登陸。

        ● 重置帳戶鎖定計數器：重置（歸零）帳戶登陸失敗次數計數器所須要的時間。

實現方法

設置帳戶鎖定策略，須要先指定「帳戶鎖定閥值」，由於鎖定閥值是鎖定時間的預先條件。在組策略配置中，若沒有指定鎖定閥值，「帳戶鎖定時間」以及「重置帳戶鎖定計數器」都將成不可用狀態。

例如，我將鎖定閥值設置爲3：

 

設置好閥值以後，點擊肯定，會出現提示窗口，大意爲系統根據咱們自定義的閥值將對另外兩項帳戶鎖定策略（帳戶鎖定時間、重置帳戶鎖定計數器）進行建議值設置：

 

點擊肯定便可。此時能夠看到全部關於帳戶鎖定的策略都已被配置成功：

若上述步驟中的系統建議值（30分鐘）符合用戶要求，即無需改動。不然，請根據用戶須要自行設置便可。

若須要解除帳戶鎖定策略，將「帳戶鎖定閥值」設置爲 0 便可，系統會自動對另外兩項進行配置爲不可用狀態。