安全设置Windows组策略有效阻止黑客

组策略设置就是在修改注册表中的配置。当然，组策略使用了更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。

如果你没有进行测试，我建议你下载和安装微软的组策略管理控制台(GPMC)来做这些改变。这个程序能够把组策略管理任务集中到一个单一的界面让你更全面地查看你的域名。要开始这个编辑流程，你就上载GPMC，扩展你的域名，用鼠标右键点击“缺省域名策略”，然后选择“编辑”。这样就装载了组策略对象编辑器。如果你要以更快的速度或者“次企业级”的方式编辑你的域名组策略对象，你可以在“开始”菜单中运行“gpedit.msc”。

1.确定一个缺省的口令策略，使你的机构设置位于“计算机配置/Windows设置/安全设置/账号策略/口令策略”之下。

2.为了防止自动口令破解，在“计算机配置/Windows设置/安全设置/账号策略/账号关闭策略”中进行如下设置

·账号关闭持续时间(确定至少5-10分钟

·账号关闭极限(确定最多允许5至10次非法登录

·随后重新启动关闭的账号(确定至少10-15分钟以后

3.在“计算机配置/Windows设置/安全设置/本地策略/检查策略”中启用如下功能

检查账号管理

检查登录事件

检查策略改变

检查权限使用

检查系统事件

理想的情况是，你要启用记录成功和失败的登录。但是，这取决于你要保留什么类型的记录以及你是否能够管理这些记录。Roberta Bragg在这里介绍了一些普通的检查记录设置。要记住，启用每一种类型的记录都需要你的系统处理器和硬盘提供更多的资源。

4.作为增强Windows安全的最佳做法和为攻击者设置更多的障碍以减少对Windows的攻击，你可以在“计算机配置/Windows设置/安全设置/本地策略/安全选项”中进行如下设置

账号:重新命名管理员账号--不是要求更有效而是增加一个安全层(确定一个新名字

账号:重新命名客户账号(确定一个新名字

交互式登录:不要显示最后一个用户的名字(设置为启用

交互式登录:不需要最后一个用户的名字(设置为关闭

交互式登录: 为企图登录的用户提供一个消息文本(确定为让用户阅读banner text(旗帜文本)，内容大致为“这是专用和受控的系统。

如果你滥用本系统，你将受到制裁。--首先让你的律师运行这个程序

交互式登录: 为企图登录的用户提供的消息题目--在警告!!!后面写的东西

网络接入:不允许SAM账号和共享目录(设置为“启用”

网络接入:将“允许每一个人申请匿名用户”设置为关闭

网络安全:“不得存储局域网管理员关于下一个口令变化的散列值”设置为“启用”

关机:“允许系统在没有登录的情况下关闭”设置为“关闭”

关机:“清除虚拟内存的页面文件”设置为“启用”

如果你没有Windows Server 2003域名控制器，你在这里可以找到有哪些Windows XP本地安全设置的细节，以及这里有哪些详细的Windows 2000 Server组策略的设置。要了解更多的有关Windows Server 2003组策略的信息，请查看微软的专门网页。

电脑组策略被禁用的修复问题

组策略被禁用后的修复问题某些机器做过什么优化或者杀毒后，出现组策略被禁用了。

一、在注册表键值HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC 将 RestrictToPermittedSnapins 的值设置为 0 或者删除这个键。

二、在注册表键值 HKEY_CURRENT_USER\Software\Policies\Microsoft\Mmc\{8FC0B734-A0E1-11D1-A7D3-0000F87571E3}\Restrict_Run 和HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC\{0F6B957E-509E-11D1-A7CC-0000F87571E3}\Restrict_Run 请将 Restrict_Run 的值设置为 0 或者直接删除HKEY_CURRENT_USER\Software\Policies\Microsoft\Mmc键 修改完毕后重启。

三、在注册表键值HKEY_CLASSES_ROOT\CLSID\{8FC0B734-A0E1-11D1-A7D3-0000F87571E3}\InProcServer32 把其中的default改成：%SystemRoot%\System32\GPEdit.dll 修改完毕后重启。

四、检查环境变量： 右击桌面我的电脑--属性--高级 在“高级”标签页中点击“环境变量”按钮 在“环境变量”中的“系统变量”框中的变量名为Path中修改变量值为： %Systemroot%\System32;%Systemroot%;%Systemroot%\system32\WBEM。

五、注册 filemgmt.dll 开始“运行” 输入"regsvr32 filemgmt.dll" --回车 如果组策略找不到 framedyn.dll，就可能会出现这种错误。试着将将Framedyn.dll文件从\windows\system32\wbem目录下拷贝到\windows\system32目录下!移动后在注册一次这个dll文件。
 

组策略的内容就向大家介绍完了，希望通过以上的阐述，大家已经了解了并理解了。

【编辑推荐】

1. Windows组策略保障共享目录安全
2. 如何抓住黑客入侵Windows系统
3. 如何抓住黑客入侵Windows系统 续