组策略为你打造安全的操作系统

　　自Windows诞生以来，很多人就抱怨它像漏勺一样浑身是漏洞。诚然，一些用户的系统被攻破，Windows的漏洞是一个因素，但很多人没有安全意识，设置不当也是一个非常重要的原因。其实，就系统安全来说，只要你及时安装补丁，设置得当，Windows的安全性还是值得信赖的。本文就从组策略入手，介绍如何使你的Windows 2000 Server更安全（本文也适用于Windows 2000以上的其它Server版本）。　　

　　重命名默认帐户

　　通过IPC$或终端服务（IPC$或终端服务是Windows为了共享资源和远程管理而设置的功能，但由于设置不当，很多系统被黑客通过IPS$或终端服务控制，所以有些人也把IPS$或终端服务叫做系统漏洞）可以远程登录到计算机。如图1所示，在这个终端服务客户端的窗口中，只要我们正确输入了Windows的管理员帐户和密码，就能像操作本地电脑那样操作远程的IP地址为222.57.88.143的计算机。Windows内置了Administrator和Guest帐户，而Administrator就是具有全部权限的管理员帐户。一些“爆破手”可以通过密码猜测或暴力破解的方法获得这一帐户的口令，所以建议你重命名这两个帐户：在“开始”菜单单击“运行”，输入“gpedit.msc”打开组策略编辑器，依次展开“计算机配置”　“Windows设置”　“安全设置”　“本地策略”　“安全选项”，在右侧分别双击“重命名系统管理员帐户”、“重命名来宾帐户”策略，在弹出的对话框上重新输入一个帐户名即可重命名Administrator和Guest帐户。

　　组策略为你打造安全的操作系统　　

　　提示：对于黑客来说，得到Administrator帐户的密码是他们梦寐以求的事情，但Administrator帐户又不能被删除或禁用（即便改名以后也不能被删除或禁用，这样可以确保用户不会因为删除或禁用所有的管理员帐户而失去添加或删除帐户的管理权限），所以要保证该帐户的安全，可行的办法就是改名或使用一个复杂的密码。

　　启用帐户锁定策略

　　启用密码策略

　　从上面的介绍可以看出Windows帐户和密码的重要性，但是大多数Windows用户的帐户使用的却是“弱口令”（密码极易被破解的口令），甚至有些用户的Administrator帐户是空口令。为了防止帐户和密码设置上的“轻率”，使你的Windows帐户有一个复杂的密码，建议按以下方法启用密码策略：打开组策略编辑器，依次展开“计算机配置”　“Windows设置”　“安全设置”　“帐户策略”　“密码策略”，双击相应的策略，在弹出的对话框上启用“密码必须符合复杂性要求”策略，并设置密码长度的最小值为8个字符，强制密码历史为3个，密码最长存留期为30天。

　　提示：短密码的安全性很低，因为使用词典破解工具可以很容易地破解短密码，但不是说长密码就一定很安全，很长的密码可能会造成密码输入错误而导致帐户被锁定，另外，太长的密码为了便于记忆你可能会写下来或保存在电脑中，这反而会降低密码的安全性，所以大多数环境下笔者建议你使用由8个字符组成的密码，因为这种密码足够长，可提供充分的安全性；同时也足够短，能够便于记忆。

　　不显示上次登录的用户名　　

　　在默认设置下，Windows 2000 Server在交互式登录窗口上会显示上次登录的帐户名（如图2），为了防止用户猜测或破解这一帐户，我们可以让Windows 2000 Server的交互式登录窗口不显示上次登录的帐户名。具体做法是：打开组策略编辑器，依次展开“计算机配置”　“Windows设置”　“安全设置”　“本地策略”　“安全选项”，在右侧双击“登录屏幕上不要显示上次登录的用户名”策略，在弹出的对话框上选择“已启用”即可。

　　启用审核策略　　

　　审核策略启用后（如图3），Windows会通过安全日志记录被审核对象的操作，可以通过“事件查看器”查看安全日志，比如，如果黑客通过终端服务登录失败，而你又审核“成功”或“失败”的登录事件，那么在“事件查看器”中Windows就会记录如图3所示的事件。从图4上可以看出，在2005年8月9日10点45分，黑客使用“X-cov”的帐户登录时，由于系统中不存在该账户或密码错误，致使该黑客没有登录成功。　　

　　提示：这里需要说明的是启用审核策略会消耗掉一部分系统资源，而且审核太多的对象会使安全事件骤增，这也不利于查看事件。所以审核策略不是“越多越好”，要根据“需要和可能”权衡而定。