風(fēng)影

為了讓系統(tǒng)登錄或網(wǎng)絡(luò)訪問更安全，不少人會通過設(shè)置形形式式的密碼，來建立安全登錄或訪問屏障。當(dāng)然，設(shè)置了密碼，并不意味著它就能很好地發(fā)揮安全防范作用，我們還需要采取各種措施，對密碼加強(qiáng)管理和控制。現(xiàn)在本文就通過組策略設(shè)置，來為密碼管理和控制提供解決方案，有了它們就不用擔(dān)心什么了。

強(qiáng)制搜索加密文件

為了保護(hù)加密文件的安全，Windows 7系統(tǒng)的文件搜索功能，默認(rèn)是不會對加密文件進(jìn)行索引的。但時間長了，我們往往不記得需要尋找的文件材料是否具有加密屬性，這樣就容易造成一些內(nèi)容由于加密因素?zé)o法被快速尋找到。為了避免這種現(xiàn)象，我們可以通過組策略設(shè)置，強(qiáng)制Windows系統(tǒng)允許對加密文件進(jìn)行索引：

首先依次點(diǎn)擊“開始”|“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對話框，輸入“gpedit.msc”命令并回車，展開系統(tǒng)組策略控制臺窗口。在左側(cè)樹形結(jié)構(gòu)圖中，逐一跳轉(zhuǎn)到“本地計算機(jī)策略”|“計算機(jī)配置”|“管理模板”|“Windows組件”|“搜索”分支上，在右側(cè)顯示區(qū)域中，通過雙擊鼠標(biāo)方式打開“允許加密文件的索引”組策略屬性對話框，如圖1所示。

其次檢查這里的“已啟用”選項(xiàng)是否處于選中狀態(tài)，如果發(fā)現(xiàn)其還沒有被選中時，應(yīng)該及時將其重新選中，單擊“確定”按鈕讓上述設(shè)置正式生效。日后，Windows 7系統(tǒng)的文件搜索功能默認(rèn)就會對加密內(nèi)容建立索引，那么加密文件就能被快速尋找到了。

限制密碼猜解次數(shù)

如果遠(yuǎn)程登錄賬號密碼不夠“健壯”時，惡意用戶很容易通過反復(fù)重試方式，“猜”出登錄密碼而進(jìn)入重要主機(jī)系統(tǒng)，這樣就會存在不小的安全風(fēng)險。那怎樣來避免惡意用戶猜解或者爆破遠(yuǎn)程連接密碼呢？

很簡單！要防止這一現(xiàn)象發(fā)生，通過組策略設(shè)置，啟用賬號鎖定策略即可。打開系統(tǒng)組策略編輯界面，依次跳轉(zhuǎn)到“本地計算機(jī)策略”|“計算機(jī)設(shè)置”|“Windows設(shè)置”|“安全設(shè)置”|“帳戶策略”|“帳戶鎖定策略”節(jié)點(diǎn)上，雙擊該節(jié)點(diǎn)下的“帳戶鎖定閾值”選項(xiàng)，在其后界面中定義好觸發(fā)用戶賬號被鎖定的登錄嘗試失敗次數(shù)，如圖2所示。

該選項(xiàng)取值范圍在0到999之間，缺省數(shù)值為“0”，也就是說對遠(yuǎn)程登錄次數(shù)不進(jìn)行限制。我們可以依照實(shí)際需要進(jìn)行合適設(shè)置，一般可設(shè)置為“3”。當(dāng)開啟賬號鎖定功能后，某一用戶嘗試遠(yuǎn)程登錄重要主機(jī)系統(tǒng)，輸入錯誤密碼次數(shù)超過指定閾值后，就會自動將該用戶賬號鎖定起來，在用戶賬號鎖定期滿之前，該用戶將不能繼續(xù)遠(yuǎn)程登錄，除非管理員手工解除鎖定。

巧妙設(shè)置中文密碼

當(dāng)使用指定賬號成功登錄系統(tǒng)后，對應(yīng)賬號的密碼內(nèi)容，會以Hash散列這種特殊格式存儲在內(nèi)存中。一些狡猾的黑客會借助專業(yè)工具，抓取內(nèi)存中的特定賬號密碼Hash散列值，再想辦法對其破譯，就可能獲取系統(tǒng)管理員賬號的密碼。為了避免黑客通過上述方法竊取密碼，我們可以為特定用戶賬號設(shè)置中文密碼，這樣能引導(dǎo)黑客進(jìn)入誤區(qū)，從而達(dá)到保護(hù)用戶賬號密碼目的。不過，在進(jìn)行Windows系統(tǒng)登錄操作時，系統(tǒng)是不會識別漢字密碼的。這時，我們可以靈活變通，讓W(xué)indows系統(tǒng)在登錄時使用英文字符密碼，登錄成功后自動修改成中文密碼，下面就是具體的設(shè)置步驟：

首先啟動運(yùn)行記事本程序，創(chuàng)建一個名稱為“english.bat”批處理文件，在該文件編輯窗口中輸入“@net user avc321*&6 password”這段代碼，執(zhí)行該文件將“avc321*&6”賬號的密碼設(shè)置成英文字符“password”。同樣地，再創(chuàng)建一個“chinese.bat”批處理文件，在其中輸入“@net user avc321*&6 我愛祖國”這段代碼，執(zhí)行該文件將“avc321*&6”賬號的密碼內(nèi)容設(shè)置成中文字符“我愛祖國”。

其次對上述兩個批處理文件的訪問權(quán)限進(jìn)行修改，僅讓“avc321*&6”賬號對其訪問和運(yùn)行，同時刪除其他無關(guān)的用戶賬號。例如，要為“english.bat”批處理文件授權(quán)時，可以先用鼠標(biāo)右鍵單擊目標(biāo)文件，從彈出的快捷菜單中點(diǎn)擊“屬性”命令，展開對應(yīng)文件屬性對話框，選擇“安全”標(biāo)簽，在安全標(biāo)簽設(shè)置頁面的“組或用戶名”列表中，將無關(guān)用戶賬號刪除或取消它們的所有權(quán)限。再通過“添加”按鈕，將“avc321*&6”賬號選中并添加進(jìn)來，并為該賬號設(shè)置好“讀取”和“運(yùn)行”權(quán)限。

接著展開系統(tǒng)組策略控制臺窗口，在左側(cè)樹形結(jié)構(gòu)圖中，逐一跳轉(zhuǎn)到“本地計算機(jī)策略”|“計算機(jī)配置”|“Windows設(shè)置”|“腳本（啟動/關(guān)機(jī)）”節(jié)點(diǎn)上，在目標(biāo)節(jié)點(diǎn)下面可以看到一個名為“關(guān)機(jī)”的選項(xiàng)。用鼠標(biāo)雙擊該選項(xiàng)，進(jìn)入對應(yīng)選項(xiàng)對話框（如圖3所示），按下“添加”按鈕，選中并添加“english.bat”批處理文件，確認(rèn)后保存設(shè)置操作。再從指定節(jié)點(diǎn)下雙擊“啟動”選項(xiàng)，點(diǎn)擊其后界面中的“添加”按鈕，導(dǎo)入“chinese.bat”批處理文件。之后，將鼠標(biāo)定位到“本地計算機(jī)策略”|“計算機(jī)配置”|“管理模板”|“系統(tǒng)”|“腳本”節(jié)點(diǎn)上，雙擊該節(jié)點(diǎn)下的“組策略腳本最長等待時間”選項(xiàng)，在對應(yīng)選項(xiàng)設(shè)置框中輸入“0”秒，確認(rèn)后保存設(shè)置操作。

完成上述設(shè)置操作后，日后每次關(guān)閉系統(tǒng)時，Windows系統(tǒng)都能自動調(diào)用“english.bat”批處理文件，將特定賬號的密碼設(shè)置為英文字符，以不影響下次系統(tǒng)登錄操作。一旦登錄成功后，Windows系統(tǒng)又會運(yùn)行“chinese.bat”批處理文件，將對應(yīng)用戶賬號的密碼內(nèi)容修改為中文字符，這樣即使惡意用戶已經(jīng)入侵本地系統(tǒng)，也不能竊取到當(dāng)前用戶賬號的Hash散列值，那么自然也就沒有辦法破譯獲取密碼內(nèi)容了。

解決密碼輸入無效

在局域網(wǎng)環(huán)境中，兩臺計算機(jī)相互之間進(jìn)行共享訪問時，雖然共享資源已經(jīng)允許everyone用戶正常訪問，但是實(shí)際訪問時系統(tǒng)仍然要求輸入共享訪問密碼，而且有時不管輸入什么權(quán)限賬號的密碼，都無法保證共享訪問成功。endprint

這種問題很可能是用戶在共享訪問時使用了來賓賬號，但共享資源所在主機(jī)系統(tǒng)恰好又開啟了經(jīng)典訪問模式，強(qiáng)制來賓賬號輸入密碼，事實(shí)上來賓賬號是沒有密碼的，于是就出現(xiàn)了密碼輸入無效現(xiàn)象。要解決這種問題，只要將共享訪問模式修改為來賓模式，或者暫停使用來賓賬號即可。

首先使用“Win+R”快捷鍵，打開系統(tǒng)運(yùn)行對話框，輸入“gpedit.msc”命令后回車，開啟組策略編輯器。通過鼠標(biāo)展開“本地計算機(jī)策略”|“計算機(jī)配置”|“Windows設(shè)置”|“安全設(shè)置”|“本地策略”|“安全選項(xiàng)”節(jié)點(diǎn)，這時在該節(jié)點(diǎn)右側(cè)區(qū)域能看到一個名稱為“網(wǎng)絡(luò)訪問：本地賬戶的共享和安全模型”組策略。

其次用鼠標(biāo)雙擊該組策略選項(xiàng)，彈出如圖4所示的選項(xiàng)設(shè)置對話框，選中“僅來賓——對本地用戶進(jìn)行身份驗(yàn)證，不改變其本來身份”選項(xiàng)，設(shè)置完成后單擊“確定”按鈕退出即可。這樣，用戶日后在共享訪問時，就能通過來賓賬號成功訪問到共享資源了。如果暫停使用來賓賬號時，用戶必須憑借正確的共享訪問賬號與密碼，才能訪問到共享資源。

禁止空白密碼連接

如果允許空白密碼的用戶賬號與重要主機(jī)系統(tǒng)建立遠(yuǎn)程連接，雖然能提高連接效率，但容易給黑客或惡意用戶帶來入侵機(jī)會。為了保護(hù)遠(yuǎn)程連接安全，我們可以在重要主機(jī)系統(tǒng)中，限制空白密碼的用戶賬號進(jìn)行遠(yuǎn)程控制操作：

首先使用“Win+R”快捷鍵，展開系統(tǒng)運(yùn)行對話框，在其中執(zhí)行“gpedit.msc”命令，彈出系統(tǒng)組策略編輯界面。在該界面的左側(cè)導(dǎo)航窗格中，依次跳轉(zhuǎn)到“計算機(jī)配置”|“Windows設(shè)置”|“安全設(shè)置”|“本地策略”|“安全選項(xiàng)”節(jié)點(diǎn)上，找到該節(jié)點(diǎn)下的“賬戶：使用空白密碼的本地賬號只允許進(jìn)行控制臺登錄”選項(xiàng)，并用鼠標(biāo)雙擊之，打開如圖5所示的組策略屬性對話框。

其次選中“已啟用”選項(xiàng)， 單擊“確定”按鈕保存設(shè)置操作，這樣日后用戶使用空白密碼的用戶帳號遠(yuǎn)程連接到重要主機(jī)系統(tǒng)時，就無法進(jìn)行遠(yuǎn)程控制操作了。

取消密碼同步屬性

與傳統(tǒng)操作系統(tǒng)相比，Windows 8.1系統(tǒng)具有強(qiáng)大的同步功能，例如可以對桌面?zhèn)€性化設(shè)置進(jìn)行同步，對瀏覽器設(shè)置進(jìn)行同步，對各種系統(tǒng)設(shè)置進(jìn)行同步等。但有時為了安全需要，我們想取消密碼同步屬性，要做到這一點(diǎn)，可以進(jìn)行如下設(shè)置操作：

首先執(zhí)行“gpedit.msc”命令，打開系統(tǒng)組策略控制臺窗口，在左側(cè)樹形結(jié)構(gòu)圖中，逐一跳轉(zhuǎn)到“本地計算機(jī)策略”|“計算機(jī)配置”|“管理模板”|“Windows組件”|“同步你的設(shè)置”分支上，在右側(cè)顯示區(qū)域中，我們能看到各種同步設(shè)置組策略。

其次選中“不同步密碼”組策略，用鼠標(biāo)雙擊之，打開對應(yīng)組策略屬性對話框，選中“已啟用”選項(xiàng)，確認(rèn)之后上述設(shè)置就能立即生效。當(dāng)然，要提醒大家的是，日后要將該組策略重新設(shè)置為“已禁用”時，必須要重新啟動計算機(jī)系統(tǒng)才能讓設(shè)置正式生效。

防止自動保存密碼

在訪問網(wǎng)絡(luò)的時候，許多場合下輸入的密碼內(nèi)容，會被Windows系統(tǒng)自動保存，這雖然會有利于下次登錄訪問，但是在安全性要求很高的環(huán)境下，這種自動保存功能容易讓復(fù)雜密碼失去安全防護(hù)作用。所以，為了安全起見，我們可以進(jìn)行下面的設(shè)置操作，來防止Windows系統(tǒng)自動保存密碼：

首先按下快捷鍵“Win+R”，打開系統(tǒng)運(yùn)行對話框，輸入“services.msc”命令后回車，展開服務(wù)列表窗口。雙擊“ProtectedStorage”服務(wù)選項(xiàng)，進(jìn)入目標(biāo)系統(tǒng)服務(wù)屬性對話框，點(diǎn)擊“停止”按鈕，將目標(biāo)系統(tǒng)服務(wù)關(guān)閉運(yùn)行，同時將其啟動類型參數(shù)設(shè)置為“手動”，確認(rèn)后保存設(shè)置操作。

其次啟動組策略編輯器，在對應(yīng)窗口左側(cè)導(dǎo)航窗格中，找到“本地計算機(jī)策略”|“計算機(jī)配置”|“Windows設(shè)置”|“安全設(shè)置”|“本地策略”|“安全選項(xiàng)”節(jié)點(diǎn)選項(xiàng)，這時在右側(cè)列表中，會看到“網(wǎng)絡(luò)訪問： 不允許存儲網(wǎng)絡(luò)身份驗(yàn)證的密碼和憑據(jù)”選項(xiàng)，用鼠標(biāo)雙擊該選項(xiàng)，切換到如圖6所示的組策略選項(xiàng)設(shè)置框，選擇“已啟用”選項(xiàng)，設(shè)置完成后點(diǎn)擊“確定”按鈕退出，這樣Windows系統(tǒng)日后就不會自動保存各種密碼內(nèi)容了。

拓展密碼使用范圍

在工作組環(huán)境下，我們通過遠(yuǎn)程桌面功能與局域網(wǎng)中的重要主機(jī)系統(tǒng)建立遠(yuǎn)程連接時，使用了登錄憑據(jù)管理功能，保存了遠(yuǎn)程連接賬號和密碼，以便下次能夠不輸入密碼就能快速建立遠(yuǎn)程桌面連接。可是，當(dāng)升級到局域網(wǎng)特定域環(huán)境后，再嘗試?yán)靡郧按鎯Φ牡卿洃{據(jù)，快速與重要主機(jī)系統(tǒng)建立遠(yuǎn)程連接時，會發(fā)現(xiàn)遠(yuǎn)程登錄無法成功。那么如何才能讓登錄憑據(jù)之前保存的遠(yuǎn)程連接賬號與密碼，適用于新的局域網(wǎng)特定域環(huán)境呢？

很簡單！只要修改本地計算機(jī)的的憑據(jù)分配設(shè)置即可。啟動系統(tǒng)組策略編輯器，在對應(yīng)窗口的左側(cè)導(dǎo)航區(qū)域，找到“本地計算機(jī)策略”|“計算機(jī)配置”|“管理模板”|“系統(tǒng)”|“憑據(jù)分配”節(jié)點(diǎn)選項(xiàng)，這時會在該節(jié)點(diǎn)右側(cè)區(qū)域看到“允許分配保存的憑據(jù)用于僅NTLM服務(wù)器身份驗(yàn)證”組策略選項(xiàng)。

用鼠標(biāo)雙擊該組策略，打開目標(biāo)組策略的屬性設(shè)置對話框（如圖7所示），選擇“已啟用”選項(xiàng)，激活“顯示”按鈕，按下該按鈕彈出顯示內(nèi)容設(shè)置框，輸入“termsrv /*”關(guān)鍵字，確認(rèn)之后退出設(shè)置框，就能拓展密碼使用范圍。

限制密碼使用期限

重要主機(jī)系統(tǒng)的登錄密碼內(nèi)容如果長期不變，那將是非常危險的，因?yàn)殡S著時間的延長，越來越多的人可能會知道密碼內(nèi)容，那么它被破譯或外泄的機(jī)率就會不斷增強(qiáng)。所以，為了加強(qiáng)重要主機(jī)系統(tǒng)的安全防護(hù)，我們應(yīng)該強(qiáng)制用戶定期修改登錄密碼內(nèi)容。

比方說，要強(qiáng)制Windows 7系統(tǒng)定期修改密碼內(nèi)容時，只要先開啟系統(tǒng)組策略編輯器的運(yùn)行狀態(tài)，在編輯窗口左側(cè)導(dǎo)航區(qū)域，找到“本地計算機(jī)策略”|“計算機(jī)配置”|“Windows設(shè)置”|“安全設(shè)置”|“賬戶策略”|“密碼策略”節(jié)點(diǎn)選項(xiàng)，這時能在目標(biāo)節(jié)點(diǎn)下面看到好多密碼相關(guān)策略。

要限制密碼使用期限時，可以選中“密碼最長使用期限”選項(xiàng)，并用鼠標(biāo)雙擊之打開對應(yīng)選項(xiàng)設(shè)置對話框，如圖8所示。在這里輸入好密碼變化的間隔時間，比如輸入“30”，確認(rèn)后保存設(shè)置操作，日后系統(tǒng)會每隔30天強(qiáng)制用戶修改一次密碼內(nèi)容。

當(dāng)使用指定賬號成功登錄系統(tǒng)后，對應(yīng)賬號的密碼內(nèi)容，會以Hash散列這種特殊格式存儲在內(nèi)存中。一些狡猾的黑客會借助專業(yè)工具，抓取內(nèi)存中的特定賬號密碼Hash散列值，再想辦法對其破譯，就可能獲取系統(tǒng)管理員賬號的密碼。

在局域網(wǎng)環(huán)境中，兩臺計算機(jī)相互之間進(jìn)行共享訪問時，雖然共享資源已經(jīng)允許everyone用戶正常訪問，但是實(shí)際訪問時系統(tǒng)仍然要求輸入共享訪問密碼，而且有時不管輸入什么權(quán)限賬號的密碼，都無法保證共享訪問成功。endprint