不做“OS光棍” 多系统完全应用攻略(图) (7)

　　二、应用组策略让Windows再安全些

　　Microsoft从Windows 95开始引入了注册表的概念。从此，很多高手便通过修改注册表来加强系统的安全。但是修改注册表是需要一定的计算机知识，否则极有可能会引起系统崩溃。不过，通过Windows 2000/XP的组策略，我们完全可以让机器的安全再上几个级别。

　　1.让Windows密码更加安全

　　按下Win+R键启动“运行”窗口，在输入gpedit.msc（注意不仅仅输入gpedit），按下回车键即可启动“组策略”（如图3）。

　　启动“组策略”

　　在左边窗口中选择“计算机配置”→“Windows设置”→“安全设置”→“账户策略”→“密码策略”，然后双击右边窗口中的“密码最长存留期”项目。此时会弹出（如图4）对话框，我们在“密码过期时间”框中可以设置提醒用户更改密码的时间间隔，如4天（默认为0天即不提醒用户）。

　　设置更改密码天数

　　这样，每隔4天Windows就会提醒我们更换系统密码，系统会相对安全许多。

　　2.让密码再长些

　　启动“组策略”工具，打开“计算机配置”→“Windows设置”→“安全设置”→“账户策略”→“密码策略”，双击右边窗口中“密码长度最小值”项目。通过它可以设置Windows中密码的最小值（如图5），这样在Windows中设置或更改任何密码时，其密码长度都不得少于我们的设置值，这样不速之客或黑客们破解出我们密码或一般猜出密码的概率将会大大下降！

　　设置密码最小长度

　　3.让Windows不记忆密码

　　在Windows 2000/XP允许我们在某些窗口中勾选“记住密码”复选框来记住密码，尽管这样一来可以方便用户，但显然安全性也会大打折扣。但我们可以选择“计算机配置”→“Windows设置”→“安全设置”→“账户策略”→“密码策略”，双击右边窗口“强制密码历史”项目，并在打开的窗口中设置记住密码的个数为0（如图6），Windows就不会记忆密码了。

　　不让系统记住密码

　　4.锁定非法登录用户

　　在Windows中，我们可以建立多个账户，尽管一般情况下某个账户也会有相应的密码。但可能会有人喜欢去猜测别人的密码。如果我们的密码位数较少，那很有可能会被别人猜中。但通过组策略也可以让

　　不过，我们可以通过组策略来避免这种情况的发生：选择“计算机配置”→“Windows设置”→“安全设置”→“账户策略”→“帐户锁定策略”，双击右边窗口中的“账户锁定阈值”项目。打开（如图7）所示的窗口，设置账户无效登录的次数，本例为3。这样，一旦某账户3次输入密码错误，系统就会锁定此账户，不再允许它继续猜测密码，尝试下去。这样，系统也会安全得多。

　　4.禁止指定程序运行

　　现在破解、注册机、木马程序多如牛毛，有时也会给系统带来很大的危险。通过组策略也可以限制它们：按下Win+R键，输入gpedit.msc启动“组策略”，选择“用户配置”→“管理模板”→“系统”项后，我们双击右边窗口中“不要运行指定的 Windows 应用程序”项目，打开（如图8）所示的对话框。单击选择“启用”单选按钮，并单击“显示”按钮，在打开的窗口中单击“添加”按钮，打开“添加项目”窗口，在其中输入欲禁止运行的程序即可。

　　设置禁用程序

　　5.监视用户行为

　　Windows 2000/XP是一个运行多用户的操作平台。有鉴于此，我们有必要对每个用户的行为进行一定的记录，以便到时对他们的行为进行实时监控。其实，Windows也为用户设计了审核策略，通过它我们可以把用户的所有操作记录在Windows中，供系统管理员查看和分析。所有的这些几乎全部集中在“计算机配置”→“Windows设置”→“安全设置”→“本地策略”→“审核策略”下。（如图9），我们可以看到有很多与审核有关的项目：审核登录事件、审核对象访问、审核过程追踪、审核目录服务访问、审核特权使用、审核系统事件、审核账户登录事件和审核账户管理等。

　　查看审核策略项

　　双击某一个项目后，在打开的窗口中会有成功和失败两个项目（如图10）。如果一个都不勾选，则表示不对该事件进行审核，选中成功则对成功事件进行审核，选中失败亦然。

　　设置具体审核项

　　选中审核审核的操作时间、审核类别及相应的结果都会被Windows记录下来，选择“开始”→“控制面板”→“管理工具”→“事件查看器”可以查看审核结果。如果双击其中的某个审核项目，还可以看到它的详细资料，包括审核项目的日期、来源、时间、类别、类型、信息 、事件、用户、计算机、描述和数据等项目（如图11）。相信通过它，对于我们更加方便、安全地管理计算机是相当有用的。