下面是關(guān)于win8本地安全策略的常見問題解答,大家可以參考一下�����。
怎么打開“Windows本地安全策略”啊����?
答:“搜索”鍵入“secpol.msc”后回車。
如何防止黑客或惡意程序暴力破解我的系統(tǒng)密碼����?
答:眾所周知,暴力破解Windows密碼實質(zhì)上是通過窮舉算法來實現(xiàn)�����,尤其是密碼過于簡單的系統(tǒng)���,暴力破解的方法還是比較實用的��。有一點需要我們注意����,這個問題的關(guān)鍵在于Windows是否允許遠(yuǎn)程客戶端或惡意程序來進行用戶名和密碼的窮舉��,如果不允許���,惡意程序企圖通過枚舉獲得管理員權(quán)限這條路就是個死胡同�����。那么����,如何不允許���?見下圖:
確保被選行處于“已啟用”后�,這條路就基本上被堵死了����,不放心的話,你還可以將它下面那行“不允許SAM賬戶和共享的匿名枚舉”也設(shè)置為“已啟用”狀態(tài)��。
此外����,將“本地策略”——“安全選項”中:“網(wǎng)絡(luò)訪問:可匿名訪問的共享”、“網(wǎng)絡(luò)訪問:可遠(yuǎn)程訪問的注冊表路徑”�����、“網(wǎng)絡(luò)訪問:可遠(yuǎn)程訪問的注冊表路徑和子路徑”�、“網(wǎng)絡(luò)訪問:可匿名訪問的命名管道”這四項包含的值全部刪除,亦可進一步提升系統(tǒng)的安全性。
Windows自帶的防火墻好用嗎���?
答:有相當(dāng)一部分朋友在選擇琳瑯滿目的第三方防火墻產(chǎn)品時���,忽略了Windows自帶的防火墻,甚至從未點開過��。“Windows防火墻”隸屬于本地安全策略的子功能���,我個人認(rèn)為�����,只要熟練配置該功能��,對于個人應(yīng)用甚至企業(yè)需求���,其易用性和安全性均屬上乘之作。
進入方法有兩種:
1�、如下圖地址欄所示進入程序界面:
然后點擊左側(cè)“高級設(shè)置”出現(xiàn)如下所示:
使用該方法進入后可瀏覽已有規(guī)則并可創(chuàng)建新規(guī)則。
2�����、直接在“本地安全策略”中進入程序界面:
右側(cè)空白一片,并未列出已有規(guī)則��,但可以創(chuàng)建新規(guī)則��。
舉個例子�����,禁止Adobe Photoshop CS訪問網(wǎng)絡(luò)�,右擊空白處或在右側(cè)欄點擊“新建規(guī)則”��,在“新建出站規(guī)則向?qū)?rdquo;中選擇第一項“程序”(控制程序連接的規(guī)則)�����,下一步選擇好photoshop所在路徑�����,如下圖所示:
下一步選擇“阻止連接”���,之后會詢問您“何時應(yīng)用該規(guī)則”�,大家可按照實際需求勾選��,默認(rèn)選中“域、專用��、公用”三項�。如下圖所示:
之后再為它起個名字(任意),規(guī)則創(chuàng)建好了����,從此Photoshop.exe使盡渾身解數(shù)也無法再訪問網(wǎng)絡(luò)。此外�����,可以在“連接安全規(guī)則”中創(chuàng)建更高級的規(guī)則�,如下圖所示:
這個界面不看不知道,功能如此強大�,基本上您想到和想不到的需求,這里全都實現(xiàn)了��,例如封鎖任意您看著不爽的IP或IP段���,封閉ping�,或指定任意端口�����、程序名稱或服務(wù)名稱的操作權(quán)限等等,易用程度和可靠性不次于任何第三方防火墻�。
我能通過安全策略禁止某個程序的運行嗎?
答:答案是肯定的���,不僅能�����,還能防止某程序被改名����、改路徑��、改后綴��、改殼后再運行���,這個功能叫做“AppLocker”,要比您在組策略中禁止某程序運行更嚴(yán)格�����、更強大�。程序界面如下圖所示:
右擊左側(cè)“可執(zhí)行規(guī)則”——“創(chuàng)建新規(guī)則”�,在出現(xiàn)的向?qū)Ы缑嬷胁粌H可限定用戶組(如Guest賬戶)���,還可枚舉各種限定條件�����,如下圖所示:
如果選擇“發(fā)布者”��,那么被禁用的程序��、及其所有它的升降級版����、改版都無法運行(該條件可進一步詳細(xì)設(shè)置)�,例如QQ、迅雷�����、酷狗等���,它們的官方版及定制版統(tǒng)統(tǒng)無法運行�����,很智能吧�����。該功能還可以應(yīng)用到隔離病毒操作���,如果系統(tǒng)內(nèi)有無法清除的病毒或木馬��,無論被感染者是程序���、腳本、動態(tài)鏈接庫�����、還是批處理����,統(tǒng)統(tǒng)無法再作惡���。單從這一點來說��,目前主流的殺毒軟件���,在病毒隔離功能方面普遍沒它詳細(xì)����。剩下兩項通過字面意思完全容易理解����,尤其是第三項“文件哈希”,相當(dāng)實用�����。
這個功能還可以和“軟件限制策略”配合使用����,見下圖:(如未出現(xiàn)右側(cè)所示內(nèi)容,左側(cè)欄右擊創(chuàng)建軟件限制策略即可)
此外���,通過“全局對象訪問審核”還可限制各組別對于整個或局部注冊表甚至文件系統(tǒng)的訪問權(quán)限�,如下圖所示:
當(dāng)您踏破鐵鞋在網(wǎng)上尋找這方面功能的第三方軟件時���,是否應(yīng)先翻翻Windows自帶的家當(dāng)呢�?呵呵。如果您對PowerShell有所了解的話���,還可進一步簡化AppLocker規(guī)則的創(chuàng)建和管理�����,限于篇幅不詳細(xì)舉例了���。
最后再補充兩個關(guān)于“本地安全策略”故障的常見問題:
1、我怎么訪問不了本地安全策略?��?�?
答:這個問題一般會顯示為“創(chuàng)建管理單元失敗”或CLSID:{8FC0B734-A0E1-11D1-A7D3-0000F87571E3}����,出現(xiàn)的原因多見于某些軟件在安裝或卸載時替換�、刪除該部分?jǐn)?shù)據(jù),解決辦法是先確保你的環(huán)境變量path是否包含:“%systemroot%\system32;%systemroot%;%systemroot%system32\wbem”���,沒有的話自己添進去。
然后在注冊表中定位到HKEY_CURRENT_USER——Software——Policies——Microsoft——MMC����,為RestrictToPermittedSnapins賦值為0���,如下圖:
2、我的IP安全策略怎么設(shè)置不了?����?���?
答:確保IPsec Policy Agent服務(wù)處于啟用狀態(tài)就行了。
