为了让系统登录或网络访问更安全,不少人会通过设置形形式式的密码,来建立安全登录或访问屏障。当然,设置了密码,并不意味着它就能很好地发挥安全防范作用,我们还需要采取各种措施,对密码加强管理和控制。现在本文就通过组策略设置,来为密码管理和控制提供解决方案,有了它们就不用担心什么了。
强制搜索加密文件
为了保护加密文件的安全,Windows 7系统的文件搜索功能,默认是不会对加密文件进行索引的。但时间长了,我们往往不记得需要寻找的文件材料是否具有加密属性,这样就容易造成一些内容由于加密因素无法被快速寻找到。为了避免这种现象,我们可以通过组策略设置,强制Windows系统允许对加密文件进行索引:
首先依次点击“开始”|“运行”命令,弹出系统运行对话框,输入“gpedit.msc”命令并回车,展开系统组策略控制台窗口。在左侧树形结构图中,逐一跳转到“本地计算机策略”|“计算机配置”|“管理模板”|“Windows组件”|“搜索”分支上,在右侧显示区域中,通过双击鼠标方式打开“允许加密文件的索引”组策略属性对话框,如图1所示。
其次检查这里的“已启用”选项是否处于选中状态,如果发现其还没有被选中时,应该及时将其重新选中,单击“确定”按钮让上述设置正式生效。日后,Windows 7系统的文件搜索功能默认就会对加密内容建立索引,那么加密文件就能被快速寻找到了。
限制密码猜解次数
如果远程登录账号密码不够“健壮”时,恶意用户很容易通过反复重试方式,“猜”出登录密码而进入重要主机系统,这样就会存在不小的安全风险。那怎样来避免恶意用户猜解或者爆破远程连接密码呢?
很简单!要防止这一现象发生,通过组策略设置,启用账号锁定策略即可。打开系统组策略编辑界面,依次跳转到“本地计算机策略”|“计算机设置”|“Windows设置”|“安全设置”|“帐户策略”|“帐户锁定策略”节点上,双击该节点下的“帐户锁定阈值”选项,在其后界面中定义好触发用户账号被锁定的登录尝试失败次数,如图2所示。
该选项取值范围在0到999之间,缺省数值为“0”,也就是说对远程登录次数不进行限制。我们可以依照实际需要进行合适设置,一般可设置为“3”。当开启账号锁定功能后,某一用户尝试远程登录重要主机系统,输入错误密码次数超过指定阈值后,就会自动将该用户账号锁定起来,在用户账号锁定期满之前,该用户将不能继续远程登录,除非管理员手工解除锁定。
巧妙设置中文密码
当使用指定账号成功登录系统后,对应账号的密码内容,会以Hash散列这种特殊格式存储在内存中。一些狡猾的黑客会借助专业工具,抓取内存中的特定账号密码Hash散列值,再想办法对其破译,就可能获取系统管理员账号的密码。为了避免黑客通过上述方法窃取密码,我们可以为特定用户账号设置中文密码,这样能引导黑客进入误区,从而达到保护用户账号密码目的。不过,在进行Windows系统登录操作时,系统是不会识别汉字密码的。这时,我们可以灵活变通,让Windows系统在登录时使用英文字符密码,登录成功后自动修改成中文密码,下面就是具体的设置步骤:
首先启动运行记事本程序,创建一个名称为“english.bat”批处理文件,在该文件编辑窗口中输入“@net user avc321*&6 password”这段代码,执行该文件将“avc321*&6”账号的密码设置成英文字符“password”。同样地,再创建一个“chinese.bat”批处理文件,在其中输入“@net user avc321*&6 我爱祖国”这段代码,执行该文件将“avc321*&6”账号的密码内容设置成中文字符“我爱祖国”。
其次对上述两个批处理文件的访问权限进行修改,仅让“avc321*&6”账号对其访问和运行,同时删除其他无关的用户账号。例如,要为“english.bat”批处理文件授权时,可以先用鼠标右键单击目标文件,从弹出的快捷菜单中点击“属性”命令,展开对应文件属性对话框,选择“安全”标签,在安全标签设置页面的“组或用户名”列表中,将无关用户账号删除或取消它们的所有权限。再通过“添加”按钮,将“avc321*&6”账号选中并添加进来,并为该账号设置好“读取”和“运行”权限。
接着展开系统组策略控制台窗口,在左侧树形结构图中,逐一跳转到“本地计算机策略”|“计算机配置”|“Windows设置”|“脚本(启动/关机)”节点上,在目标节点下面可以看到一个名为“关机”的选项。用鼠标双击该选项,进入对应选项对话框(如图3所示),按下“添加”按钮,选中并添加“english.bat”批处理文件,确认后保存设置操作。再从指定节点下双击“启动”选项,点击其后界面中的“添加”按钮,导入“chinese.bat”批处理文件。之后,将鼠标定位到“本地计算机策略”|“计算机配置”|“管理模板”|“系统”|“脚本”节点上,双击该节点下的“组策略脚本最长等待时间”选项,在对应选项设置框中输入“0”秒,确认后保存设置操作。
完成上述设置操作后,日后每次关闭系统时,Windows系统都能自动调用“english.bat”批处理文件,将特定账号的密码设置为英文字符,以不影响下次系统登录操作。一旦登录成功后,Windows系统又会运行“chinese.bat”批处理文件,将对应用户账号的密码内容修改为中文字符,这样即使恶意用户已经入侵本地系统,也不能窃取到当前用户账号的Hash散列值,那么自然也就没有办法破译获取密码内容了。
解决密码输入无效
在局域网环境中,两台计算机相互之间进行共享访问时,虽然共享资源已经允许everyone用户正常访问,但是实际访问时系统仍然要求输入共享访问密码,而且有时不管输入什么权限账号的密码,都无法保证共享访问成功。这种问题很可能是用户在共享访问时使用了来宾账号,但共享资源所在主机系统恰好又开启了经典访问模式,强制来宾账号输入密码,事实上来宾账号是没有密码的,于是就出现了密码输入无效现象。要解决这种问题,只要将共享访问模式修改为来宾模式,或者暂停使用来宾账号即可。
首先使用“Win+R”快捷键,打开系统运行对话框,输入“gpedit.msc”命令后回车,开启组策略编辑器。通过鼠标展开“本地计算机策略”|“计算机配置”|“Windows设置”|“安全设置”|“本地策略”|“安全选项”节点,这时在该节点右侧区域能看到一个名称为“网络访问:本地账户的共享和安全模型”组策略。
其次用鼠标双击该组策略选项,弹出如图4所示的选项设置对话框,选中“仅来宾——对本地用户进行身份验证,不改变其本来身份”选项,设置完成后单击“确定”按钮退出即可。这样,用户日后在共享访问时,就能通过来宾账号成功访问到共享资源了。如果暂停使用来宾账号时,用户必须凭借正确的共享访问账号与密码,才能访问到共享资源。
禁止空白密码连接
如果允许空白密码的用户账号与重要主机系统建立远程连接,虽然能提高连接效率,但容易给黑客或恶意用户带来入侵机会。为了保护远程连接安全,我们可以在重要主机系统中,限制空白密码的用户账号进行远程控制操作:
首先使用“Win+R”快捷键,展开系统运行对话框,在其中执行“gpedit.msc”命令,弹出系统组策略编辑界面。在该界面的左侧导航窗格中,依次跳转到“计算机配置”|“Windows设置”|“安全设置”|“本地策略”|“安全选项”节点上,找到该节点下的“账户:使用空白密码的本地账号只允许进行控制台登录”选项,并用鼠标双击之,打开如图5所示的组策略属性对话框。
