一、组策略安全设置综述

　　在组策略中同样为我们提供了很多安全设计方面的内容，包括了帐户策略、本地策略等众多的设置内容，而且这些配置都是针对计算机而言的，也就是说为了提高系统的安全性能，我们所作的配置对登录本台计算机的所有用户都有效。打开组策略编辑器，依次浏览到“本地计算机策略”——“计算机配置”——“Windows设置”——“安全设置”（图1），在这里我们可能看到针对安全设置的主要有帐户策略、本地策略、公钥策略等，下面我们将针对这些项目的详细设置向大家作个介绍，只要你认真合理的设置好这些项目，一定能够使你的系统更加安全。

图1

　　二、安全设置之帐户策略

　　帐户我们又称之为用户名，在Windows2000/xp之中，正是因为给不同的帐户赋予了高低不等的权限，才使得我们能够根据实际的需要做到权限按需分配。但是如果我们平时不管理好这些可用的帐户，那么将给黑客们的攻击留下很好的攻击条件。这样就需要我们对帐户的密码等进行周密、仔细的设置。

　　密码策略

　　在帐户策略下面最重要的设置就是针对密码的，如果使用过于简单的密码，甚至空口令，那就等于自己主动给攻击者开了一扇大门，我相信是没有人愿意开着这扇大门的。既然如此，就让我们来针对密码进行完善的安全策略配置。

　　密码必须符合复杂性要求：有一些朋友也设置了密码，但是却频频被人破译！这到底是怎么回事呢？熟悉密码破解的朋友就知道，最简单最直接的破解方法就是口令猜测，这种方法如果稍加演变，就变成穷取。试想想如果你的密码设置为1、2、3或a、b、c这些简单的数字，那么岂不是很容易就被猜到。这也就是为什么设置了密码却仍然被破的原因，最实质的问题就是密码过于简单！

　　这样的道理和大家一说就明白，但是在实际的使用过程中却仍然有很多人不能忘记这样的规律，为了避免这些用户继续使用弱口令，我们只有在组策略中强制要求密码必须符合一定的复杂性。双击“密码必须符合复杂性要求”策略，将其安全设置为“已启用”，这样保存设置就可以了！

　　密码长度最小值：虽然说在上面我们已经设置密码必须会合一定的复杂性要求，也就是说我们设置密码最好使用字母、数字并用。但是如果设置的密码长度过低，例如只有两位，那么使用穷取法仍然是很容易破解出来的。因此我们可以制定一个密码最小的长度。双击“密码长度最小值”，打开安全设置对话框，点击上下箭头调整密码必须拥有的字符（图2），设置好之后保存设置。我们现在来新建一帐户并为其设置密码，唉怎么回事怎么报告出错（图3）。原来我们设置的密码太短了，没有达到密码长度最小值的要求。

　　友情提醒：通常来说我们设置的密码应该不低于8位，也就是8个字符，只有保证了足够长度、足够复杂的密码才能降低被破解的机会。

[1] [2] [3] 下一页