在目前所有 Windows 桌面操作系统中,Windows 7 可谓是集性能与安全两大优势于一身。它的易用性、易维护性都较上一版系统有着极大的提升。但是,安全与易维护特性的提升并不意味着能够高枕无忧了,万事都没有绝对化的,面对 Windows 7 ,我们更应该了解其新的安全特性,掌握正确的安全配置方法。
Windows 7 具有很多安全新特性,但是在默认情况下这些功能绝大多数都处于关闭状态。下面,我们就来一步步启用这些安全功能。让客户资源能够获得最大限度的保护。
账户密码安全策略
账户密码策略
在组策略中可以对账户的密码安全性进行设置。
打开组策略,将左侧树目录定位至:
计算机配置 -> Windows 设置 -> 安全设置 -> 账户策略 -> 密码策略 |
密码策略
这里可以看到丰富的密码安全策略条目。通常,为了保证用户密码的安全性,请启用“密码必须符合复杂性要求”,密码复杂性要求的最低限度为:
● 不能包含用户的帐户名,不能包含用户姓名中超过两个连续字符的部分
● 至少有六个字符长
● 包含以下四类字符中的三类字符:
● 英文大写字母(A 到 Z)
● 英文小写字母(a 到 z)
● 10 个基本数字(0 到 9)
● 非字母字符(例如 !、$、#、%)
需要注意的是,在域控制器下默认情况此策略配置是启用的,并且不能禁用此策略。需要禁用时,需要先删除域控制器。
其次,为了保证用户账户密码安全,还可以对密码长度、密码使用期限等进行配置。这里就不一一详述了。
防止依靠猜测密码进行恶意登录
目标要求
为了防止依靠猜测密码恶意登录,可以使用账户锁定策略进行配置,设定尝试登录失败阀值,激活账户锁定,使得被恶意猜测登录的账户在一定时间内不可用。
实现原理
通过配置组策略中的账户锁定策略,即可达到上述要求。
打开组策略(gpedit.msc),将目录树定位至安全设置:
计算机配置 -> Windows 设置 -> 安全设置 -> 账户策略 -> 账户锁定策略 |
可以看到在此策略组下共有三条设置:账户锁定时间、账户锁定阀值、重置账户锁定计数器
● 账户锁定时间:尝试登录失败次数达到阀值之后,账户被系统锁定的时间。
● 账户锁定阀值:尝试登录失败的次数的阀值(最大值),达到此阀值时,账户将被系统锁定。尝试登陆失败次数不仅包括用户登录界面,还包括了 Ctrl+Alt+Del 以及密码保护的屏幕保护登录。
● 重置账户锁定计数器:重置(归零)账户登录失败次数计数器所需要的时间。
实现方法
设置账户锁定策略,需要先指定“账户锁定阀值”,因为锁定阀值是锁定时间的预先条件。在组策略配置中,若没有指定锁定阀值,“账户锁定时间”以及“重置账户锁定计数器”都将成不可用状态。
例如,我将锁定阀值设置为3:
设置好阀值之后,点击确定,会出现提示窗口,大意为系统根据我们自定义的阀值将对另外两项账户锁定策略(账户锁定时间、重置账户锁定计数器)进行建议值设置:
点击确定即可。此时可以看到所有关于账户锁定的策略都已被配置成功:
若上述步骤中的系统建议值(30分钟)符合用户要求,即无需改动。否则,请根据用户需要自行设置即可。
若需要解除账户锁定策略,将“账户锁定阀值”设置为 0 即可,系统会自动对另外两项进行配置为不可用状态。