在企業(yè)當(dāng)中，最常見(jiàn)的微軟Windows計(jì)算機(jī)配置方案就是采用組策略，利用組策略來(lái)設(shè)定并配置安全設(shè)置的能力一直都是Windows計(jì)算機(jī)的一大優(yōu)勢(shì)所在。只要配置得當(dāng)，這十項(xiàng)Windows組策略將讓你的辦公平臺(tái)擁有更出色的安全表現(xiàn)。這十項(xiàng)設(shè)置全部位于Computer Configuration/Windows Setting/Security Settings之下。

　　對(duì)本地管理員賬戶(hù)進(jìn)行重新命名：如果惡意人士不知道管理員賬戶(hù)的名稱(chēng)，則很可能需要花掉大量時(shí)間才能找到攻擊突破口。

　　禁用訪客賬戶(hù)：我們所作出的最糟糕的安全決定之一就是啟用訪客賬戶(hù)。它能夠?qū)indows計(jì)算機(jī)進(jìn)行相當(dāng)程度的訪問(wèn)，同時(shí)又不設(shè)密碼——說(shuō)到這里，相信大家已經(jīng)明白我的意思了。

　　禁用LM與NTLM v1：LM（即局域網(wǎng)管理器）與NTLMv1認(rèn)證協(xié)議存在漏洞。請(qǐng)務(wù)必使用NTLMv2與Kerberos。在默認(rèn)情況下，大部分Windows系統(tǒng)都會(huì)接收全部四種協(xié)議。除非大家仍然在使用陳舊不堪而且沒(méi)有安裝更新補(bǔ)丁的老爺系統(tǒng)（也就是超過(guò)十年的系統(tǒng)版本），否則我們真的沒(méi)什么理由非要使用早期協(xié)議版本。

　　禁用LM散列存儲(chǔ)：LM密碼散列極易被轉(zhuǎn)換成明文密碼內(nèi)容，因此絕對(duì)不要允許Windows系統(tǒng)將其儲(chǔ)存在磁盤(pán)上——黑客轉(zhuǎn)儲(chǔ)工具會(huì)輕松地將其找出來(lái)。

　　最低密碼長(zhǎng)度值：我們應(yīng)該將密碼的最低長(zhǎng)度值設(shè)置在12位或者更高。不要滿(mǎn)足于區(qū)區(qū)8位的系統(tǒng)密碼（這也是我最常見(jiàn)到的密碼長(zhǎng)度）。Windows密碼即使達(dá)到12位長(zhǎng)度，其安全效果其實(shí)也不容樂(lè)觀——真正的安全性要到15位才有保障。在Windows驗(yàn)證領(lǐng)域，15位是個(gè)魔術(shù)般的臨界點(diǎn)。只要能夠達(dá)到這樣的長(zhǎng)度，所有形式的后門(mén)都會(huì)被緊緊關(guān)閉。而低于15位的任何密碼長(zhǎng)度設(shè)置都等于是在增加不必要的風(fēng)險(xiǎn)。

　　最長(zhǎng)密碼使用期限：大部分密碼的使用周期都不應(yīng)該超過(guò)九十天。不過(guò)如果大家選擇了15位乃至更長(zhǎng)的密碼內(nèi)容，那么一年的使用周期也是可以接受的。已經(jīng)有很多公共以及私人研究證實(shí)，長(zhǎng)度在12個(gè)字符乃至以上的密碼的破解時(shí)耗更長(zhǎng)，因此在以九十天為基準(zhǔn)的密碼輪換機(jī)制下安全性也相對(duì)更好。

　　事件日志：?jiǎn)⒂檬录罩荆盟鼇?lái)記錄所有成功以及失敗的操作流程。正如我之前多次提到，如果堅(jiān)持關(guān)注事件日志內(nèi)容，大部分計(jì)算機(jī)犯罪活動(dòng)的受害者本應(yīng)該更早發(fā)現(xiàn)端倪、進(jìn)而防止嚴(yán)重違規(guī)事件的發(fā)生。

　　禁用匿名SID枚舉：SID（即安全標(biāo)識(shí)符）是針對(duì)Windows系統(tǒng)或者Active Directory之下每一個(gè)用戶(hù)、群組以及其它安全主體所分配的數(shù)字。在早期系統(tǒng)版本當(dāng)中，未通過(guò)身份驗(yàn)證的用戶(hù)可以通過(guò)查詢(xún)這些數(shù)字來(lái)判斷用戶(hù)（例如管理員）及群組的重要性，而這一特性也使其成為黑客們的最?lèi)?ài)。

　　不要讓匿名賬戶(hù)駐留在每個(gè)群組當(dāng)中：這兩種設(shè)置一旦出現(xiàn)失誤，就會(huì)導(dǎo)致匿名（或者為空）黑客以遠(yuǎn)超權(quán)限范圍的方式訪問(wèn)系統(tǒng)。自2000年以來(lái)，這些設(shè)置就已經(jīng)被默認(rèn)禁用——大家要做的就是確認(rèn)自己沒(méi)有對(duì)默認(rèn)方案作出改動(dòng)。

　　啟用用戶(hù)賬戶(hù)控制：最后，自從Windows Vista開(kāi)始，UAC機(jī)制就成了保護(hù)網(wǎng)絡(luò)瀏覽者們的頭號(hào)工具。我發(fā)現(xiàn)很多客戶(hù)會(huì)將這項(xiàng)功能關(guān)閉，僅僅是為了能讓某些陳舊應(yīng)用的兼容性問(wèn)題不再每次都進(jìn)行詢(xún)問(wèn)。目前大部分這類(lèi)問(wèn)題已經(jīng)得到解決，剩下尚未解決的部分在微軟提供的免費(fèi)應(yīng)用兼容性故障排查工具面前也不再令人頭痛。總之，如果大家禁用了UAC，那么相當(dāng)于遠(yuǎn)離現(xiàn)代操作系統(tǒng)而重新回到Windows NT時(shí)代——這可不太明智。

　　再來(lái)告訴大家一個(gè)好消息：前面提到的所有設(shè)置在Windows Vista/Server 2008以及更新版本當(dāng)中都會(huì)以默認(rèn)狀態(tài)調(diào)整到位。大部分Windows安全指南資料都希望指導(dǎo)大家如何在現(xiàn)有基礎(chǔ)之上進(jìn)一步提升安全保護(hù)效果。但根據(jù)我個(gè)人的感受，目前各位最好別去輕易改動(dòng)這些設(shè)置。每一次發(fā)現(xiàn)問(wèn)題，都是因?yàn)橛脩?hù)改變了其初始運(yùn)作方式、從而導(dǎo)致安全效果遭到削弱——這絕對(duì)不是什么好事。

　　在大家著手梳理組策略之前，還有其它一些重要事項(xiàng)值得關(guān)注，例如完善補(bǔ)丁安裝以及預(yù)防用戶(hù)安裝木馬程序等。不過(guò)在搞定了這些工作之后，確保組策略配置的正確有效就是邁向下一個(gè)輝煌成功的起點(diǎn)。

　　如果各位想利用最少的資源實(shí)現(xiàn)最具性?xún)r(jià)比的安全保護(hù)效果，那么請(qǐng)拋開(kāi)那3700多種設(shè)置——只需以上十項(xiàng)，大家的業(yè)務(wù)環(huán)境就將擁有相當(dāng)可靠的運(yùn)行狀態(tài)。