使用组策略进行账户安全配置
2010-06-19 15:19
288 查看
在目前所有 Windows 桌面操作系统中,Windows 7 可谓是集性能与安全两大优势于一身。它的易用性、易维护性都较上一版系统有着极大的提升。但是,安全与易维护特性的提升并不意味着能够高枕无忧了,万事都没有绝对化的,面对 Windows 7 ,我们更应该了解其新的安全特性,掌握正确的安全配置方法。
Windows 7 具有很多安全新特性,但是在默认情况下这些功能绝大多数都处于关闭状态。下面,我们就来一步步启用这些安全功能。让客户资源能够获得最大限度的保护。
账户密码安全策略
账户密码策略
在组策略中可以对账户的密码安全性进行设置。
打开组策略,将左侧树目录定位至:
密码策略
这里可以看到丰富的密码安全策略条目。通常,为了保证用户密码的安全性,请启用“密码必须符合复杂性要求”,密码复杂性要求的最低限度为:
需要注意的是,在域控制器下默认情况此策略配置是启用的,并且不能禁用此策略。需要禁用时,需要先删除域控制器。
其次,为了保证用户账户密码安全,还可以对密码长度、密码使用期限等进行配置。这里就不一一详述了。
防止依靠猜测密码进行恶意登录
目标要求
为了防止依靠猜测密码恶意登录,可以使用账户锁定策略进行配置,设定尝试登录失败阀值,激活账户锁定,使得被恶意猜测登录的账户在一定时间内不可用。
实现原理
通过配置组策略中的账户锁定策略,即可达到上述要求。
打开组策略(gpedit.msc),将目录树定位至安全设置:
可以看到在此策略组下共有三条设置:账户锁定时间、账户锁定阀值、重置账户锁定计数器
● 账户锁定时间:尝试登录失败次数达到阀值之后,账户被系统锁定的时间。
● 账户锁定阀值:尝试登录失败的次数的阀值(最大值),达到此阀值时,账户将被系统锁定。尝试登陆失败次数不仅包括用户登录界面,还包括了 Ctrl+Alt+Del 以及密码保护的屏幕保护登录。
● 重置账户锁定计数器:重置(归零)账户登录失败次数计数器所需要的时间。
实现方法
设置账户锁定策略,需要先指定“账户锁定阀值”,因为锁定阀值是锁定时间的预先条件。在组策略配置中,若没有指定锁定阀值,“账户锁定时间”以及“重置账户锁定计数器”都将成不可用状态。
例如,我将锁定阀值设置为3:
设置好阀值之后,点击确定,会出现提示窗口,大意为系统根据我们自定义的阀值将对另外两项账户锁定策略(账户锁定时间、重置账户锁定计数器)进行建议值设置:
点击确定即可。此时可以看到所有关于账户锁定的策略都已被配置成功:
若上述步骤中的系统建议值(30分钟)符合用户要求,即无需改动。否则,请根据用户需要自行设置即可。
若需要解除账户锁定策略,将“账户锁定阀值”设置为 0 即可,系统会自动对另外两项进行配置为不可用状态。
Windows 7 具有很多安全新特性,但是在默认情况下这些功能绝大多数都处于关闭状态。下面,我们就来一步步启用这些安全功能。让客户资源能够获得最大限度的保护。
账户密码安全策略
账户密码策略
在组策略中可以对账户的密码安全性进行设置。
打开组策略,将左侧树目录定位至:
计算机配置 -> Windows 设置 -> 安全设置 -> 账户策略 -> 密码策略 |
这里可以看到丰富的密码安全策略条目。通常,为了保证用户密码的安全性,请启用“密码必须符合复杂性要求”,密码复杂性要求的最低限度为:
● 不能包含用户的帐户名,不能包含用户姓名中超过两个连续字符的部分 ● 至少有六个字符长 ● 包含以下四类字符中的三类字符: ● 英文大写字母(A 到 Z) ● 英文小写字母(a 到 z) ● 10 个基本数字(0 到 9) ● 非字母字符(例如 !、$、#、%)
需要注意的是,在域控制器下默认情况此策略配置是启用的,并且不能禁用此策略。需要禁用时,需要先删除域控制器。
其次,为了保证用户账户密码安全,还可以对密码长度、密码使用期限等进行配置。这里就不一一详述了。
防止依靠猜测密码进行恶意登录
目标要求
为了防止依靠猜测密码恶意登录,可以使用账户锁定策略进行配置,设定尝试登录失败阀值,激活账户锁定,使得被恶意猜测登录的账户在一定时间内不可用。
实现原理
通过配置组策略中的账户锁定策略,即可达到上述要求。
打开组策略(gpedit.msc),将目录树定位至安全设置:
计算机配置 -> Windows 设置 -> 安全设置 -> 账户策略 -> 账户锁定策略 |
● 账户锁定时间:尝试登录失败次数达到阀值之后,账户被系统锁定的时间。
● 账户锁定阀值:尝试登录失败的次数的阀值(最大值),达到此阀值时,账户将被系统锁定。尝试登陆失败次数不仅包括用户登录界面,还包括了 Ctrl+Alt+Del 以及密码保护的屏幕保护登录。
● 重置账户锁定计数器:重置(归零)账户登录失败次数计数器所需要的时间。
实现方法
设置账户锁定策略,需要先指定“账户锁定阀值”,因为锁定阀值是锁定时间的预先条件。在组策略配置中,若没有指定锁定阀值,“账户锁定时间”以及“重置账户锁定计数器”都将成不可用状态。
例如,我将锁定阀值设置为3:
设置好阀值之后,点击确定,会出现提示窗口,大意为系统根据我们自定义的阀值将对另外两项账户锁定策略(账户锁定时间、重置账户锁定计数器)进行建议值设置:
点击确定即可。此时可以看到所有关于账户锁定的策略都已被配置成功:
若上述步骤中的系统建议值(30分钟)符合用户要求,即无需改动。否则,请根据用户需要自行设置即可。
若需要解除账户锁定策略,将“账户锁定阀值”设置为 0 即可,系统会自动对另外两项进行配置为不可用状态。
相关文章推荐
- 使用组策略进行账户安全配置
- 使用组策略配置Windows安全选项
- 结合组策略和注册表对IE进行安全进阶配置 推荐
- 使用组策略配置域中计算机注册表安全
- 使用 IIS 进行 Microsoft ASP.NET 2.0 成员/角色管理,第 1 部分:安全和配置概述
- 回发或回调参数无效。在配置中使用 或在页面中使用 启用了事件验证。出于安全目的,此功能验证回发或回调事件的参数是否来源于最初呈现这些事件的服务器控件。如果数据有效并且是预期的,则使用 ClientScriptManager.RegisterForEventValidation 方法来注册回发或回调数据以进行验证。
- 回发或回调参数无效。在配置中使用 或在页面中使用 启用了事件验证。出于安全目的,此功能验证回发或回调事件的参数是否来源于最初呈现这些事件的服务器控件。如果数据有效并且是预期的,则使用 ClientScriptManager.RegisterForEventValidation 方法来注册回发或回调数据以进行验证。
- 回发或回调参数无效。在配置中使用 或在页面中使用 启用了事件验证。出于安全目的,此功能验证回发或回调事件的参数是否来源于最初呈现这些事件的服务器控件。如果数据有效并且是预期的,则使用 ClientScriptManager.RegisterForEventValidation 方法来注册回发或回调数据以进行验证。
- 组策略配置客户端计算机使用WSUS服务器进行更新
- 已禁用对分布式事务管理器(MSDTC)的网络访问。请使用组件服务管理工具启用 DTC 以便在 MSDTC 安全配置中进行网络访问。 与基础事务管理器的通信失败。 .net 代码里 写事务代码
- 使用 IIS 进行 Microsoft ASP.NET 2.0 成员/角色管理,第 1 部分:安全和配置概述
- 已禁用对分布式事务管理器(MSDTC)的网络访问。请使用组件服务管理工具启用 DTC 以便在 MSDTC 安全配置中进行网络访问。
- 配置客户端计算机使用WSUS服务器进行更新
- 网上交易安全之九阳神功-使用JAVA调用U盾进行客户认证的total solution
- 2017年预测:使用网络威胁情报进行5个安全预测
- 如何进行思科路由器的安全配置
- Win8使用家庭安全功能即儿童账户让孩子健康上网
- 使用Jasypt对数据库配置文件进行加密
- solr入门之使用SolrJ进行安全认证和权限管理
- AndroidStudio 使用Release签名进行Debug 多渠道打包 混淆 全局配置