在本篇技術(shù)指南中，将概要介紹您如(rú)何修改最重要的(de)組策略安全設置。

您可(kě)以在采用(yòng)Windows XP、2000和(hé)Server 2003操作系統的(de)本地(dì)計(jì)算機上(shàng)使用(yòng)這些方法，或者在Server 2003和(hé)2000中的(de)OU域名級上(shàng)使用(yòng)這些方法。爲了簡明(míng)扼要和(hé)提供最新的(de)信息，我準備介紹一下如(rú)何設置基于Windows Server 2003的(de)域名。請記住，這些隻是您在您的(de)域名中能(néng)夠設置的(de)組策略對象中最有(yǒu)可(kě)能(néng)出現問題的(de)。按照(zhào)我的(de)觀點，這些設置可(kě)以保持或者破壞Windows的(de)安全。而且由于設置的(de)不同，您的(de)進展也(yě)不同。因此，我鼓勵您在使用(yòng)每一個(gè)設置之前都(dōu)進行(xíng)深入的(de)研究，以确保這些設置能(néng)夠兼容您的(de)網絡。如(rú)果有(yǒu)可(kě)能(néng)的(de)話(huà)，對這些設置進行(xíng)試驗(如(rú)果您很幸運有(yǒu)一個(gè)測試環境的(de)話(huà))。

如(rú)果您沒有(yǒu)進行(xíng)測試，我建議您下載和(hé)安裝微軟的(de)組策略管理(lǐ)控制(zhì)台(GPMC)來做這些改變。這個(gè)程序能(néng)夠把組策略管理(lǐ)任務集中到(dào)一個(gè)單一的(de)界面讓您更全面地(dì)查看您的(de)域名。要開(kāi)始這個(gè)編輯流程，您就上(shàng)載GPMC，擴展您的(de)域名，用(yòng)鼠标右鍵點擊“缺省域名策略”，然後選擇“編輯”。這樣就裝載了組策略對象編輯器(qì)。如(rú)果您要以更快的(de)速度或者“次企業(yè)級”的(de)方式編輯您的(de)域名組策略對象，您可(kě)以在“開(kāi)始”菜單中運行(xíng)“gpedit.msc”。

1.确定一個(gè)缺省的(de)口令策略，使您的(de)機構設置位于“計(jì)算機配置/Windows設置/安全設置/賬号策略/口令策略”之下。

2.爲了防止自動口令破解，在“計(jì)算機配置/Windows設置/安全設置/賬号策略/賬号關閉策略”中進行(xíng)如(rú)下設置：
·賬号關閉持續時間(确定至少(shǎo)5-10分(fēn)鍾)
·賬号關閉極限(确定最多允許5至10次非法登錄)
·随後重新啓動關閉的(de)賬号(确定至少(shǎo)10-15分(fēn)鍾以後)

3.在“計(jì)算機配置/Windows設置/安全設置/本地(dì)策略/檢查策略”中啓用(yòng)如(rú)下功能(néng)：
·檢查賬号管理(lǐ)
·檢查策略改變
·檢查權限使用(yòng)
·檢查系統事件(jiàn)
理(lǐ)想的(de)情況是，您要啓用(yòng)記錄成功和(hé)失敗的(de)登錄。但(dàn)是，這取決于您要保留什(shén)麽類型的(de)記錄以及您是否能(néng)夠管理(lǐ)這些記錄。Roberta Bragg在這裏介紹了一些普通的(de)檢查記錄設置。要記住，啓用(yòng)每一種類型的(de)記錄都(dōu)需要您的(de)系統處理(lǐ)器(qì)和(hé)硬盤提供更多的(de)資源。

4.作爲增強Windows安全的(de)最佳做法和(hé)爲攻擊者設置更多的(de)障礙以減少(shǎo)對Windows的(de)攻擊，您可(kě)以在“計(jì)算機配置/Windows設置/安全設置/本地(dì)策略/安全選項”中進行(xíng)如(rú)下設置：
·賬号：重新命名管理(lǐ)員賬号--不是要求更有(yǒu)效而是增加一個(gè)安全層(确定一個(gè)新名字)
·賬号：重新命名客戶賬号(确定一個(gè)新名字)
·交互式登錄：不要顯示最後一個(gè)用(yòng)戶的(de)名字(設置爲啓用(yòng))
·交互式登錄：不需要最後一個(gè)用(yòng)戶的(de)名字(設置爲關閉)
·交互式登錄： 爲企圖登錄的(de)用(yòng)戶提供一個(gè)消息文(wén)本(确定爲讓用(yòng)戶閱讀(dú)banner text(旗幟文(wén)本)，内容大(dà)緻爲“這是專用(yòng)和(hé)受控的(de)系統。如(rú)果您濫用(yòng)本系統，您将受到(dào)制(zhì)裁。--首先讓您的(de)律師(shī)運行(xíng)這個(gè)程序”)
·交互式登錄： 爲企圖登錄的(de)用(yòng)戶提供的(de)消息題目--在警告!!!後面寫的(de)東西(xī)
·網絡接入：不允許SAM賬号和(hé)共享目錄(設置爲“啓用(yòng)”)
·網絡接入：将“允許每一個(gè)人(rén)申請匿名用(yòng)戶”設置爲關閉
·網絡安全：“不得存儲局域網管理(lǐ)員關于下一個(gè)口令變化的(de)散列值”設置爲“啓用(yòng)”
·關機：“允許系統在沒有(yǒu)登錄的(de)情況下關閉”設置爲“關閉”
·關機：“清除虛拟内存的(de)頁面文(wén)件(jiàn)”設置爲“啓用(yòng)”

如(rú)果沒有(yǒu)Windows Server 2003域名控制(zhì)器(qì)，在這裏可(kě)以找到(dào)有(yǒu)哪些Windows XP本地(dì)安全設置的(de)細節，以及這裏有(yǒu)哪些詳細的(de)Windows 2000 Server組策略的(de)設置。要了解更多的(de)有(yǒu)關Windows Server 2003組策略的(de)信息，請查看微軟的(de)專門網頁。