巧用组的策略控制加密功能.docVIP

巧用组的策略控制加密功能 　　为了让系统登录或网络访问更安全，不少人会通过设置形形式式的密码，来建立安全登录或访问屏障。当然，设置了密码，并不意味着它就能很好地发挥安全防范作用，我们还需要采取各种措施，对密码加强管理和控制。现在本文就通过组策略设置，来为密码管理和控制提供解决方案，有了它们就不用担心什么了。 　　强制搜索加密文件 　　为了保护加密文件的安全，Windows 7系统的文件搜索功能，默认是不会对加密文件进行索引的。但时间长了，我们往往不记得需要寻找的文件材料是否具有加密属性，这样就容易造成一些内容由于加密因素无法被快速寻找到。为了避免这种现象，我们可以通过组策略设置，强制Windows系统允许对加密文件进行索引： 　　首先依次点击“开始”|“运行”命令，弹出系统运行对话框，输入“gpedit.msc”命令并回车，展开系统组策略控制台窗口。在左侧树形结构图中，逐一跳转到“本地计算机策略”|“计算机配置”|“管理模板”|“Windows组件”|“搜索”分支上，在右侧显示区域中，通过双击鼠标方式打开“允许加密文件的索引”组策略属性对话框，如图1所示。 　　其次检查这里的“已启用”选项是否处于选中状态，如果发现其还没有被选中时，应该及时将其重新选中，单击“确定”按钮让上述设置正式生效。日后，Windows 7系统的文件搜索功能默认就会对加密内容建立索引，那么加密文件就能被快速寻找到了。 　　限制密码猜解次数 　　如果远程登录账号密码不够“健壮”时，恶意用户很容易通过反复重试方式，“猜”出登录密码而进入重要主机系统，这样就会存在不小的安全风险。那怎样来避免恶意用户猜解或者爆破远程连接密码呢？ 　　很简单！要防止这一现象发生，通过组策略设置，启用账号锁定策略即可。打开系统组策略编辑界面，依次跳转到“本地计算机策略”|“计算机设置”|“Windows设置”|“安全设置”|“帐户策略”|“帐户锁定策略”节点上，双击该节点下的“帐户锁定阈值”选项，在其后界面中定义好触发用户账号被锁定的登录尝试失败次数，如图2所示。 　　该选项取值范围在0到999之间，缺省数值为“0”，也就是说对远程登录次数不进行限制。我们可以依照实际需要进行合适设置，一般可设置为“3”。当开启账号锁定功能后，某一用户尝试远程登录重要主机系统，输入错误密码次数超过指定阈值后，就会自动将该用户账号锁定起来，在用户账号锁定期满之前，该用户将不能继续远程登录，除非管理员手工解除锁定。 　　巧妙设置中文密码 　　当使用指定账号成功登录系统后，对应账号的密码内容，会以Hash散列这种特殊格式存储在内存中。一些狡猾的黑客会借助专业工具，抓取内存中的特定账号密码Hash散列值，再想办法对其破译，就可能获取系统管理员账号的密码。为了避免黑客通过上述方法窃取密码，我们可以为特定用户账号设置中文密码，这样能引导黑客进入误区，从而达到保护用户账号密码目的。不过，在进行Windows系统登录操作时，系统是不会识别汉字密码的。这时，我们可以灵活变通，让Windows系统在登录时使用英文字符密码，登录成功后自动修改成中文密码，下面就是具体的设置步骤： 　　首先启动运行记事本程序，创建一个名称为“english.bat”批处理文件，在该文件编辑窗口中输入“@net user avc321*6 password”这段代码，执行该文件将“avc321*6”账号的密码设置成英文字符“password”。同样地，再创建一个“chinese.bat”批处理文件，在其中输入“@net user avc321*6 我爱祖国”这段代码，执行该文件将“avc321*6”账号的密码内容设置成中文字符“我爱祖国”。 　　其次对上述两个批处理文件的访问权限进行修改，仅让“avc321*6”账号对其访问和运行，同时删除其他无关的用户账号。例如，要为“english.bat”批处理文件授权时，可以先用鼠标右键单击目标文件，从弹出的快捷菜单中点击“属性”命令，展开对应文件属性对话框，选择“安全”标签，在安全标签设置页面的“组或用户名”列表中，将无关用户账号删除或取消它们的所有权限。再通过“添加”按钮，将“avc321*6”账号选中并添加进来，并为该账号设置好“读取”和“运行”权限。 　　接着展开系统组策略控制台窗口，在左侧树形结构图中，逐一跳转到“本地计算机策略”|“计算机配置”|“Windows设置”|“脚本（启动/关机）”节点上，在目标节点下面可以看到一个名为“关机”的选项。用鼠标双击该选项，进入对应选项对话框（如图3所示），按下“添加”按钮，选中并添加“english.bat”批处理文件，确认后保存设置操作。再从指定节点下双击“启动”选项，点击其后界面中的“添加”按钮，导入“chinese