使用组策略进行帐户安全配置

在目前全部 Windows 桌面操做系统中，Windows 7 可谓是集性能与安全两大优点于一身。它的易用性、易维护性都较上一版系统有着极大的提高。可是，安全与易维护特性的提高并不意味着可以高枕无忧了，万事都没有绝对化的，面对 Windows 7 ，咱们更应该了解其新的安全特性，掌握正确的安全配置方法。

Windows 7 具备不少安全新特性，可是在默认状况下这些功能绝大多数都处于关闭状态。下面，咱们就来一步步启用这些安全功能。让客户资源可以得到最大限度的保护。

帐户密码安全策略

帐户密码策略

在组策略中能够对帐户的密码安全性进行设置。

打开组策略，将左侧树目录定位至：

计算机配置 -> Windows 设置 -> 安全设置 -> 帐户策略 -> 密码策略

密码策略

 

这里能够看到丰富的密码安全策略条目。一般，为了保证用户密码的安全性，请启用“密码必须符合复杂性要求”，密码复杂性要求的最低限度为：

 ● 不能包含用户的账户名，不能包含用户姓名中超过两个连续字符的部分  
 ● 至少有六个字符长  
 ● 包含如下四类字符中的三类字符:  
 ● 英文大写字母(A 到 Z)  
 ● 英文小写字母(a 到 z)  
 ● 10 个基本数字(0 到 9)  
 ● 非字母字符(例如 !、$、#、%) 

须要注意的是，在域控制器下默认状况此策略配置是启用的，而且不能禁用此策略。须要禁用时，须要先删除域控制器。

其次，为了保证用户帐户密码安全，还能够对密码长度、密码使用期限等进行配置。这里就不一一详述了。

防止依靠猜想密码进行恶意登陆

目标要求

为了防止依靠猜想密码恶意登陆，可使用帐户锁定策略进行配置，设定尝试登陆失败阀值，激活帐户锁定，使得被恶意猜想登陆的帐户在必定时间内不可用。

实现原理

经过配置组策略中的帐户锁定策略，便可达到上述要求。

打开组策略（gpedit.msc），将目录树定位至安全设置：

计算机配置 -> Windows 设置 -> 安全设置 -> 帐户策略 -> 帐户锁定策略

能够看到在此策略组下共有三条设置：帐户锁定时间、帐户锁定阀值、重置帐户锁定计数器

        ● 帐户锁定时间：尝试登陆失败次数达到阀值以后，帐户被系统锁定的时间。

        ● 帐户锁定阀值：尝试登陆失败的次数的阀值（最大值），达到此阀值时，帐户将被系统锁定。尝试登录失败次数不只包括用户登陆界面，还包括了 Ctrl+Alt+Del 以及密码保护的屏幕保护登陆。

        ● 重置帐户锁定计数器：重置（归零）帐户登陆失败次数计数器所须要的时间。

实现方法

设置帐户锁定策略，须要先指定“帐户锁定阀值”，由于锁定阀值是锁定时间的预先条件。在组策略配置中，若没有指定锁定阀值，“帐户锁定时间”以及“重置帐户锁定计数器”都将成不可用状态。

例如，我将锁定阀值设置为3：

 

设置好阀值以后，点击肯定，会出现提示窗口，大意为系统根据咱们自定义的阀值将对另外两项帐户锁定策略（帐户锁定时间、重置帐户锁定计数器）进行建议值设置：

 

点击肯定便可。此时能够看到全部关于帐户锁定的策略都已被配置成功：

若上述步骤中的系统建议值（30分钟）符合用户要求，即无需改动。不然，请根据用户须要自行设置便可。

若须要解除帐户锁定策略，将“帐户锁定阀值”设置为 0 便可，系统会自动对另外两项进行配置为不可用状态。