通過組策略配置Windows電腦是企業(yè)中最常見的一項任務(wù)。使用組策略設(shè)置和配置安全設(shè)置是Windows計算機的一大優(yōu)勢。是的，現(xiàn)在很多操作系統(tǒng)都有不相上下的管理機制，但組策略從1998年10月發(fā)布的Windows NT 4.0 Service Pack 4中就存在了。

Roger A. Grimes自1990年就開始從事Windows計算機安全工作，十幾年的企業(yè)工作經(jīng)驗令他熟悉和掌握了大量的組策略。單就系統(tǒng)來說，在Windows 8.1和Windows Server 2012 R2中就大約有3700多個設(shè)置。在海量設(shè)置中，Roger A. Grimes總結(jié)出了10個安全基礎(chǔ)組策略設(shè)置。

Top 10 Windows組策略設(shè)置

只要保證這10個Windows組策略設(shè)置正確，你的Windows環(huán)境會在很長一段時間內(nèi)保持更加安全的狀態(tài)。這些組策略都在計算機配置\Windows設(shè)置\安全設(shè)置下。

重命名本地管理員帳戶：提高管理員帳戶的安全性，就會大大降低被侵的風(fēng)險。

禁用來賓帳戶：最糟糕的事情就是使用該帳戶。因為它會允許任何人訪問Windows電腦，并且沒有密碼!

禁用LM和NTLM v1：LM(LAN Manager)和NTLMv1認(rèn)證協(xié)議存在漏洞。使用NTLMv2和Kerberos。默認(rèn)情況下，大多數(shù)Windows系統(tǒng)都會支持這四個協(xié)議。除非你有非常古老、沒有打補丁的系統(tǒng)(超過10年吧)。

禁用LM哈希存儲：LM哈希密碼很容易轉(zhuǎn)換為明文密碼。不要將它們存儲在Windows磁盤上，黑客會利用哈希轉(zhuǎn)儲工具找到它們。

密碼最小長度：你的最小密碼應(yīng)該是12個字符或更多。如果你的密碼只有8個字符(最常見的大小)，出了問題可別抱怨。Windows密碼只有到達(dá)12個字符長度的時候才有一定的安全性。

密碼最長期限：大多數(shù)密碼的使用時間不應(yīng)超過90天。但如果你用的是15個字符(或更長)，一年基本上是沒問題的。多個公開和私人研究已經(jīng)證明，12個字符或更長的密碼是相對安全的，因為密碼破解的時間更長。

事件日志：小心你的事件日志。大多數(shù)的計算機受害者已經(jīng)注意到黑客入侵前已經(jīng)查看了他們的日志。

禁用匿名SID：SID(安全標(biāo)識符)是分配給Windows或活動目錄中的每個用戶、組和其他安全對象的數(shù)字。在早期的操作系統(tǒng)版本中，匿名用戶可以查詢這些數(shù)據(jù)來識別重要用戶(如管理員)和組，當(dāng)然黑客很喜歡利用這一點。

所有組中不要存在匿名賬戶：這兩個設(shè)置如果不正確，會讓匿名黑客訪問更多的系統(tǒng)內(nèi)容。

啟用用戶帳戶控制(UAC)：最后，因為Windows Vista，UAC成了人們?yōu)g覽網(wǎng)頁時的頭號保護工具。微軟的免費應(yīng)用程序兼容性故障排除工具可以解決很多問題。

好消息：所有的這些設(shè)置在Windows Vista/Server 2008(之后版本)中都是正確的默認(rèn)狀態(tài)。

在你開始關(guān)心組策略設(shè)置之前，有一些更重要的事情要做，比如完善的修補和防止用戶安裝木馬程序。