风影

为了让系统登录或网络访问更安全，不少人会通过设置形形式式的密码，来建立安全登录或访问屏障。当然，设置了密码，并不意味着它就能很好地发挥安全防范作用，我们还需要采取各种措施，对密码加强管理和控制。现在本文就通过组策略设置，来为密码管理和控制提供解决方案，有了它们就不用担心什么了。

强制搜索加密文件

为了保护加密文件的安全，Windows 7系统的文件搜索功能，默认是不会对加密文件进行索引的。但时间长了，我们往往不记得需要寻找的文件材料是否具有加密属性，这样就容易造成一些内容由于加密因素无法被快速寻找到。为了避免这种现象，我们可以通过组策略设置，强制Windows系统允许对加密文件进行索引：

首先依次点击“开始”|“运行”命令，弹出系统运行对话框，输入“gpedit.msc”命令并回车，展开系统组策略控制台窗口。在左侧树形结构图中，逐一跳转到“本地计算机策略”|“计算机配置”|“管理模板”|“Windows组件”|“搜索”分支上，在右侧显示区域中，通过双击鼠标方式打开“允许加密文件的索引”组策略属性对话框，如图1所示。

其次检查这里的“已启用”选项是否处于选中状态，如果发现其还没有被选中时，应该及时将其重新选中，单击“确定”按钮让上述设置正式生效。日后，Windows 7系统的文件搜索功能默认就会对加密内容建立索引，那么加密文件就能被快速寻找到了。

限制密码猜解次数

如果远程登录账号密码不够“健壮”时，恶意用户很容易通过反复重试方式，“猜”出登录密码而进入重要主机系统，这样就会存在不小的安全风险。那怎样来避免恶意用户猜解或者爆破远程连接密码呢？

很简单！要防止这一现象发生，通过组策略设置，启用账号锁定策略即可。打开系统组策略编辑界面，依次跳转到“本地计算机策略”|“计算机设置”|“Windows设置”|“安全设置”|“帐户策略”|“帐户锁定策略”节点上，双击该节点下的“帐户锁定阈值”选项，在其后界面中定义好触发用户账号被锁定的登录尝试失败次数，如图2所示。

该选项取值范围在0到999之间，缺省数值为“0”，也就是说对远程登录次数不进行限制。我们可以依照实际需要进行合适设置，一般可设置为“3”。当开启账号锁定功能后，某一用户尝试远程登录重要主机系统，输入错误密码次数超过指定阈值后，就会自动将该用户账号锁定起来，在用户账号锁定期满之前，该用户将不能继续远程登录，除非管理员手工解除锁定。

巧妙设置中文密码

当使用指定账号成功登录系统后，对应账号的密码内容，会以Hash散列这种特殊格式存储在内存中。一些狡猾的黑客会借助专业工具，抓取内存中的特定账号密码Hash散列值，再想办法对其破译，就可能获取系统管理员账号的密码。为了避免黑客通过上述方法窃取密码，我们可以为特定用户账号设置中文密码，这样能引导黑客进入误区，从而达到保护用户账号密码目的。不过，在进行Windows系统登录操作时，系统是不会识别汉字密码的。这时，我们可以灵活变通，让Windows系统在登录时使用英文字符密码，登录成功后自动修改成中文密码，下面就是具体的设置步骤：

首先启动运行记事本程序，创建一个名称为“english.bat”批处理文件，在该文件编辑窗口中输入“@net user avc321*&6 password”这段代码，执行该文件将“avc321*&6”账号的密码设置成英文字符“password”。同样地，再创建一个“chinese.bat”批处理文件，在其中输入“@net user avc321*&6 我爱祖国”这段代码，执行该文件将“avc321*&6”账号的密码内容设置成中文字符“我爱祖国”。

其次对上述两个批处理文件的访问权限进行修改，仅让“avc321*&6”账号对其访问和运行，同时删除其他无关的用户账号。例如，要为“english.bat”批处理文件授权时，可以先用鼠标右键单击目标文件，从弹出的快捷菜单中点击“属性”命令，展开对应文件属性对话框，选择“安全”标签，在安全标签设置页面的“组或用户名”列表中，将无关用户账号删除或取消它们的所有权限。再通过“添加”按钮，将“avc321*&6”账号选中并添加进来，并为该账号设置好“读取”和“运行”权限。

接着展开系统组策略控制台窗口，在左侧树形结构图中，逐一跳转到“本地计算机策略”|“计算机配置”|“Windows设置”|“脚本（启动/关机）”节点上，在目标节点下面可以看到一个名为“关机”的选项。用鼠标双击该选项，进入对应选项对话框（如图3所示），按下“添加”按钮，选中并添加“english.bat”批处理文件，确认后保存设置操作。再从指定节点下双击“启动”选项，点击其后界面中的“添加”按钮，导入“chinese.bat”批处理文件。之后，将鼠标定位到“本地计算机策略”|“计算机配置”|“管理模板”|“系统”|“脚本”节点上，双击该节点下的“组策略脚本最长等待时间”选项，在对应选项设置框中输入“0”秒，确认后保存设置操作。

完成上述设置操作后，日后每次关闭系统时，Windows系统都能自动调用“english.bat”批处理文件，将特定账号的密码设置为英文字符，以不影响下次系统登录操作。一旦登录成功后，Windows系统又会运行“chinese.bat”批处理文件，将对应用户账号的密码内容修改为中文字符，这样即使恶意用户已经入侵本地系统，也不能窃取到当前用户账号的Hash散列值，那么自然也就没有办法破译获取密码内容了。

解决密码输入无效

在局域网环境中，两台计算机相互之间进行共享访问时，虽然共享资源已经允许everyone用户正常访问，但是实际访问时系统仍然要求输入共享访问密码，而且有时不管输入什么权限账号的密码，都无法保证共享访问成功。endprint

这种问题很可能是用户在共享访问时使用了来宾账号，但共享资源所在主机系统恰好又开启了经典访问模式，强制来宾账号输入密码，事实上来宾账号是没有密码的，于是就出现了密码输入无效现象。要解决这种问题，只要将共享访问模式修改为来宾模式，或者暂停使用来宾账号即可。

首先使用“Win+R”快捷键，打开系统运行对话框，输入“gpedit.msc”命令后回车，开启组策略编辑器。通过鼠标展开“本地计算机策略”|“计算机配置”|“Windows设置”|“安全设置”|“本地策略”|“安全选项”节点，这时在该节点右侧区域能看到一个名称为“网络访问：本地账户的共享和安全模型”组策略。

其次用鼠标双击该组策略选项，弹出如图4所示的选项设置对话框，选中“仅来宾——对本地用户进行身份验证，不改变其本来身份”选项，设置完成后单击“确定”按钮退出即可。这样，用户日后在共享访问时，就能通过来宾账号成功访问到共享资源了。如果暂停使用来宾账号时，用户必须凭借正确的共享访问账号与密码，才能访问到共享资源。

禁止空白密码连接

如果允许空白密码的用户账号与重要主机系统建立远程连接，虽然能提高连接效率，但容易给黑客或恶意用户带来入侵机会。为了保护远程连接安全，我们可以在重要主机系统中，限制空白密码的用户账号进行远程控制操作：

首先使用“Win+R”快捷键，展开系统运行对话框，在其中执行“gpedit.msc”命令，弹出系统组策略编辑界面。在该界面的左侧导航窗格中，依次跳转到“计算机配置”|“Windows设置”|“安全设置”|“本地策略”|“安全选项”节点上，找到该节点下的“账户：使用空白密码的本地账号只允许进行控制台登录”选项，并用鼠标双击之，打开如图5所示的组策略属性对话框。

其次选中“已启用”选项， 单击“确定”按钮保存设置操作，这样日后用户使用空白密码的用户帐号远程连接到重要主机系统时，就无法进行远程控制操作了。

取消密码同步属性

与传统操作系统相比，Windows 8.1系统具有强大的同步功能，例如可以对桌面个性化设置进行同步，对浏览器设置进行同步，对各种系统设置进行同步等。但有时为了安全需要，我们想取消密码同步属性，要做到这一点，可以进行如下设置操作：

首先执行“gpedit.msc”命令，打开系统组策略控制台窗口，在左侧树形结构图中，逐一跳转到“本地计算机策略”|“计算机配置”|“管理模板”|“Windows组件”|“同步你的设置”分支上，在右侧显示区域中，我们能看到各种同步设置组策略。

其次选中“不同步密码”组策略，用鼠标双击之，打开对应组策略属性对话框，选中“已启用”选项，确认之后上述设置就能立即生效。当然，要提醒大家的是，日后要将该组策略重新设置为“已禁用”时，必须要重新启动计算机系统才能让设置正式生效。

防止自动保存密码

在访问网络的时候，许多场合下输入的密码内容，会被Windows系统自动保存，这虽然会有利于下次登录访问，但是在安全性要求很高的环境下，这种自动保存功能容易让复杂密码失去安全防护作用。所以，为了安全起见，我们可以进行下面的设置操作，来防止Windows系统自动保存密码：

首先按下快捷键“Win+R”，打开系统运行对话框，输入“services.msc”命令后回车，展开服务列表窗口。双击“ProtectedStorage”服务选项，进入目标系统服务属性对话框，点击“停止”按钮，将目标系统服务关闭运行，同时将其启动类型参数设置为“手动”，确认后保存设置操作。

其次启动组策略编辑器，在对应窗口左侧导航窗格中，找到“本地计算机策略”|“计算机配置”|“Windows设置”|“安全设置”|“本地策略”|“安全选项”节点选项，这时在右侧列表中，会看到“网络访问： 不允许存储网络身份验证的密码和凭据”选项，用鼠标双击该选项，切换到如图6所示的组策略选项设置框，选择“已启用”选项，设置完成后点击“确定”按钮退出，这样Windows系统日后就不会自动保存各种密码内容了。

拓展密码使用范围

在工作组环境下，我们通过远程桌面功能与局域网中的重要主机系统建立远程连接时，使用了登录凭据管理功能，保存了远程连接账号和密码，以便下次能够不输入密码就能快速建立远程桌面连接。可是，当升级到局域网特定域环境后，再尝试利用以前存储的登录凭据，快速与重要主机系统建立远程连接时，会发现远程登录无法成功。那么如何才能让登录凭据之前保存的远程连接账号与密码，适用于新的局域网特定域环境呢？

很简单！只要修改本地计算机的的凭据分配设置即可。启动系统组策略编辑器，在对应窗口的左侧导航区域，找到“本地计算机策略”|“计算机配置”|“管理模板”|“系统”|“凭据分配”节点选项，这时会在该节点右侧区域看到“允许分配保存的凭据用于仅NTLM服务器身份验证”组策略选项。

用鼠标双击该组策略，打开目标组策略的属性设置对话框（如图7所示），选择“已启用”选项，激活“显示”按钮，按下该按钮弹出显示内容设置框，输入“termsrv /*”关键字，确认之后退出设置框，就能拓展密码使用范围。

限制密码使用期限

重要主机系统的登录密码内容如果长期不变，那将是非常危险的，因为随着时间的延长，越来越多的人可能会知道密码内容，那么它被破译或外泄的机率就会不断增强。所以，为了加强重要主机系统的安全防护，我们应该强制用户定期修改登录密码内容。

比方说，要强制Windows 7系统定期修改密码内容时，只要先开启系统组策略编辑器的运行状态，在编辑窗口左侧导航区域，找到“本地计算机策略”|“计算机配置”|“Windows设置”|“安全设置”|“账户策略”|“密码策略”节点选项，这时能在目标节点下面看到好多密码相关策略。

要限制密码使用期限时，可以选中“密码最长使用期限”选项，并用鼠标双击之打开对应选项设置对话框，如图8所示。在这里输入好密码变化的间隔时间，比如输入“30”，确认后保存设置操作，日后系统会每隔30天强制用户修改一次密码内容。

当使用指定账号成功登录系统后，对应账号的密码内容，会以Hash散列这种特殊格式存储在内存中。一些狡猾的黑客会借助专业工具，抓取内存中的特定账号密码Hash散列值，再想办法对其破译，就可能获取系统管理员账号的密码。

在局域网环境中，两台计算机相互之间进行共享访问时，虽然共享资源已经允许everyone用户正常访问，但是实际访问时系统仍然要求输入共享访问密码，而且有时不管输入什么权限账号的密码，都无法保证共享访问成功。endprint