就現(xiàn)在的微軟系統(tǒng)而言，WIN7和VISTA已經(jīng)越來越成為主流，但是就一些不想升級換代系統(tǒng)的用戶而言，現(xiàn)在的系統(tǒng)還是很實用。如何更安全的用好現(xiàn)在現(xiàn)有的系統(tǒng)呢，像XP、2000和Server 2003等等這些微軟以前出的。

這里呢，我們簡單的介紹一下什么是微軟的組策略管理控制臺GPMC。這個程序能夠把組策略管理任務集中到一個單一的界面讓你更全面地查看你的域名。下面簡單給大家講解一下這個東西的好處和如何去用。
 
要開始這個編輯流程，你就上載GPMC，擴展你的域名，用鼠標右鍵點擊“缺省域名策略”，然后選擇“編輯”。這樣就裝載了組策略對象編輯器。如果你要以更快的速度或者“次企業(yè)級”的方式編輯你的域名組策略對象，你可以在“開始”菜單中運行“gpedit.msc”。

1.確定一個缺省的口令策略，使你的機構設置位于“計算機配置/Windows設置/安全設置/賬號策略/口令策略”之下。

2.為了防止自動口令破解，在“計算機配置/Windows設置/安全設置/賬號策略/賬號關閉策略”中進行如下設置：

賬號關閉持續(xù)時間(確定至少5-10分鐘)

賬號關閉極限(確定最多允許5至10次非法登錄)

隨后重新啟動關閉的賬號(確定至少10-15分鐘以后)

3.在“計算機配置/Windows設置/安全設置/本地策略/檢查策略”中啟用如下功能：

檢查賬號管理

檢查策略改變

檢查權限使用

檢查系統(tǒng)事件

理想的情況是，你要啟用記錄成功和失敗的登錄。但是，這取決于你要保留什么類型的記錄以及你是否能夠管理這些記錄。Roberta Bragg在這里介紹了一些普通的檢查記錄設置。要記住，啟用每一種類型的記錄都需要你的系統(tǒng)處理器和硬盤提供更多的資源。

4.作為增強Windows安全的最佳做法和為攻擊者設置更多的障礙以減少對Windows的攻擊，你可以在“計算機配置/Windows設置/安全設置/本地策略/安全選項”中進行如下設置：

賬號：重新命名管理員賬號--不是要求更有效而是增加一個安全層(確定一個新名字)

賬號：重新命名客戶賬號(確定一個新名字)

交互式登錄：不要顯示最后一個用戶的名字(設置為啟用)

交互式登錄：不需要最后一個用戶的名字(設置為關閉)

交互式登錄： 為企圖登錄的用戶提供一個消息文本(確定為讓用戶閱讀banner text(旗幟文本)，內(nèi)容大致為“這是專用和受控的系統(tǒng)。如果你濫用本系統(tǒng)，你將受到制裁。--首先讓你的律師運行這個程序”)

交互式登錄： 為企圖登錄的用戶提供的消息題目　
 
網(wǎng)絡接入：不允許SAM賬號和共享目錄(設置為“啟用”)

網(wǎng)絡接入：將“允許每一個人申請匿名用戶”設置為關閉

網(wǎng)絡安全：“不得存儲局域網(wǎng)管理員關于下一個口令變化的散列值”設置為“啟用”

關機：“允許系統(tǒng)在沒有登錄的情況下關閉”設置為“關閉”

關機：“清除虛擬內(nèi)存的頁面文件”設置為“啟用”

如果你沒有Windows Server 2003域名控制器，你在這里可以找到有哪些Windows XP本地安全設置的細節(jié)，以及這里有哪些詳細的Windows 2000 Server組策略的設置。

最后，以上是針對微軟以前的系統(tǒng)的組策略的一些設置方法，如果您有什么更好的方法也歡迎到我們論壇發(fā)帖討論和交流。

【編輯推薦】

1. 組策略分發(fā)軟件全攻略
2. Windows server 2003 軟件安裝全攻略
3. Windows XP 系統(tǒng)優(yōu)化全攻略