通過(guò)組策略配置Windows電腦是企業(yè)中最常見(jiàn)的一項(xiàng)任務(wù)。使用組策略設(shè)置和配置安全設(shè)置是Windows計(jì)算機(jī)的一大優(yōu)勢(shì)。是的，現(xiàn)在很多操作系統(tǒng)都有不相上下的管理機(jī)制，但組策略從1998年10月發(fā)布的Windows NT 4.0 Service Pack4中就存在了。

RogerA.Grimes自1990年就開(kāi)始從事Windows計(jì)算機(jī)安全工作，十幾年的企業(yè)工作經(jīng)驗(yàn)令他熟悉和掌握了大量的組策略。單就系統(tǒng)來(lái)說(shuō)，在Windows8.1和Windows Server2012R2中就大約有3700多個(gè)設(shè)置。在海量設(shè)置中，RogerA.Grimes總結(jié)出了10個(gè)安全基礎(chǔ)組策略設(shè)置。

Windows組策略設(shè)置

只要保證這10個(gè)Windows組策略設(shè)置正確，你的Windows環(huán)境會(huì)在很長(zhǎng)一段時(shí)間內(nèi)保持更加安全的狀態(tài)。這些組策略都在計(jì)算機(jī)配置Windows設(shè)置安全設(shè)置下。

重命名本地管理員帳戶：提高管理員帳戶的安全性，就會(huì)大大降低被侵的風(fēng)險(xiǎn)。

禁用來(lái)賓帳戶：最糟糕的事情就是使用該帳戶。因?yàn)樗鼤?huì)允許任何人訪問(wèn)Windows電腦，并且沒(méi)有密碼！

禁用 LM 和 NTLM v1：LM（LAN Manager） 和NTLMv1認(rèn)證協(xié)議存在漏洞。使用 NTLMv2和Kerberos。默認(rèn)情況下，大多數(shù)Windows系統(tǒng)都會(huì)支持這四個(gè)協(xié)議。除非你有非常古老、沒(méi)有打補(bǔ)丁的系統(tǒng)（超過(guò)10年吧）。

禁用LM 哈希存儲(chǔ)：LM 哈希密碼很容易轉(zhuǎn)換為明文密碼。不要將它們存儲(chǔ)在Windows磁盤上，黑客會(huì)利用哈希轉(zhuǎn)儲(chǔ)工具找到它們。

密碼最小長(zhǎng)度：你的最小密碼應(yīng)該是12個(gè)字符或更多。如果你的密碼只有8個(gè)字符（最常見(jiàn)的大小），出了問(wèn)題可別抱怨。Windows密碼只有到達(dá)12個(gè)字符長(zhǎng)度的時(shí)候才有一定的安全性。

密碼最長(zhǎng)期限：大多數(shù)密碼的使用時(shí)間不應(yīng)超過(guò)90天。但如果你用的是15個(gè)字符（或更長(zhǎng)），一年基本上是沒(méi)問(wèn)題的。多個(gè)公開(kāi)和私人研究已經(jīng)證明，12個(gè)字符或更長(zhǎng)的密碼是相對(duì)安全的，因?yàn)槊艽a破解的時(shí)間更長(zhǎng)。

事件日志：小心你的事件日志。大多數(shù)的計(jì)算機(jī)受害者已經(jīng)注意到黑客入侵前已經(jīng)查看了他們的日志。

禁用匿名SID：SID（安全標(biāo)識(shí)符） 是分配給Windows或活動(dòng)目錄中的每個(gè)用戶、組和其他安全對(duì)象的數(shù)字。在早期的操作系統(tǒng)版本中，匿名用戶可以查詢這些數(shù)據(jù)來(lái)識(shí)別重要用戶（如管理員）和組，當(dāng)然黑客很喜歡利用這一點(diǎn)。

所有組中不要存在匿名賬戶：這兩個(gè)設(shè)置如果不正確，會(huì)讓匿名黑客訪問(wèn)更多的系統(tǒng)內(nèi)容。

啟用用戶帳戶控制（UAC）：最后，因?yàn)閃indows Vista，UAC 成了人們?yōu)g覽網(wǎng)頁(yè)時(shí)的頭號(hào)保護(hù)工具。微軟的免費(fèi)應(yīng)用程序兼容性故障排除工具可以解決很多問(wèn)題。

好消息：所有的這些設(shè)置在Windows Vista/Server2008（之后版本）中都是正確的默認(rèn)狀態(tài)。

在你開(kāi)始關(guān)心組策略設(shè)置之前，有一些更重要的事情要做，比如完善的修補(bǔ)和防止用戶安裝木馬程序。