下面是關于win8本地安全策略的常見問題解答,大家可以參考一下。
怎么打開“Windows本地安全策略”啊�?
答:“搜索”鍵入“secpol.msc”后回車。
如何防止黑客或惡意程序暴力破解我的系統密碼�?
答:眾所周知,暴力破解Windows密碼實質上是通過窮舉算法來實現,尤其是密碼過于簡單的系統�����,暴力破解的方法還是比較實用的。有一點需要我們注意�����,這個問題的關鍵在于Windows是否允許遠程客戶端或惡意程序來進行用戶名和密碼的窮舉,如果不允許,惡意程序企圖通過枚舉獲得管理員權限這條路就是個死胡同��。那么�����,如何不允許�?見下圖:
確保被選行處于“已啟用”后����,這條路就基本上被堵死了,不放心的話����,你還可以將它下面那行“不允許SAM賬戶和共享的匿名枚舉”也設置為“已啟用”狀態���。
此外�����,將“本地策略”——“安全選項”中:“網絡訪問:可匿名訪問的共享”、“網絡訪問:可遠程訪問的注冊表路徑”����、“網絡訪問:可遠程訪問的注冊表路徑和子路徑”、“網絡訪問:可匿名訪問的命名管道”這四項包含的值全部刪除���,亦可進一步提升系統的安全性。
Windows自帶的防火墻好用嗎�?
答:有相當一部分朋友在選擇琳瑯滿目的第三方防火墻產品時����,忽略了Windows自帶的防火墻���,甚至從未點開過。“Windows防火墻”隸屬于本地安全策略的子功能�����,我個人認為����,只要熟練配置該功能,對于個人應用甚至企業需求���,其易用性和安全性均屬上乘之作。
進入方法有兩種:
1����、如下圖地址欄所示進入程序界面:
然后點擊左側“高級設置”出現如下所示:
使用該方法進入后可瀏覽已有規則并可創建新規則�。
2����、直接在“本地安全策略”中進入程序界面:
右側空白一片,并未列出已有規則�,但可以創建新規則���。
舉個例子�����,禁止Adobe Photoshop CS訪問網絡���,右擊空白處或在右側欄點擊“新建規則”��,在“新建出站規則向導”中選擇第一項“程序”(控制程序連接的規則)���,下一步選擇好photoshop所在路徑����,如下圖所示:
下一步選擇“阻止連接”��,之后會詢問您“何時應用該規則”�,大家可按照實際需求勾選�,默認選中“域、專用�����、公用”三項����。如下圖所示:
之后再為它起個名字(任意),規則創建好了,從此Photoshop.exe使盡渾身解數也無法再訪問網絡�。此外�,可以在“連接安全規則”中創建更高級的規則��,如下圖所示:
這個界面不看不知道���,功能如此強大�,基本上您想到和想不到的需求��,這里全都實現了��,例如封鎖任意您看著不爽的IP或IP段���,封閉ping�����,或指定任意端口�����、程序名稱或服務名稱的操作權限等等,易用程度和可靠性不次于任何第三方防火墻。
我能通過安全策略禁止某個程序的運行嗎?
答:答案是肯定的,不僅能�,還能防止某程序被改名��、改路徑、改后綴�����、改殼后再運行,這個功能叫做“AppLocker”,要比您在組策略中禁止某程序運行更嚴格�����、更強大��。程序界面如下圖所示:
右擊左側“可執行規則”——“創建新規則”�,在出現的向導界面中不僅可限定用戶組(如Guest賬戶)�,還可枚舉各種限定條件,如下圖所示:
如果選擇“發布者”,那么被禁用的程序����、及其所有它的升降級版���、改版都無法運行(該條件可進一步詳細設置)�,例如QQ�����、迅雷、酷狗等��,它們的官方版及定制版統統無法運行�����,很智能吧�。該功能還可以應用到隔離病毒操作�,如果系統內有無法清除的病毒或木馬,無論被感染者是程序��、腳本����、動態鏈接庫、還是批處理��,統統無法再作惡�。單從這一點來說,目前主流的殺毒軟件���,在病毒隔離功能方面普遍沒它詳細。剩下兩項通過字面意思完全容易理解�,尤其是第三項“文件哈希”��,相當實用。
這個功能還可以和“軟件限制策略”配合使用���,見下圖:(如未出現右側所示內容,左側欄右擊創建軟件限制策略即可)
此外,通過“全局對象訪問審核”還可限制各組別對于整個或局部注冊表甚至文件系統的訪問權限���,如下圖所示:
當您踏破鐵鞋在網上尋找這方面功能的第三方軟件時,是否應先翻翻Windows自帶的家當呢�����?呵呵����。如果您對PowerShell有所了解的話��,還可進一步簡化AppLocker規則的創建和管理���,限于篇幅不詳細舉例了���。
最后再補充兩個關于“本地安全策略”故障的常見問題:
1����、我怎么訪問不了本地安全策略?。?br />答:這個問題一般會顯示為“創建管理單元失敗”或CLSID:{8FC0B734-A0E1-11D1-A7D3-0000F87571E3}��,出現的原因多見于某些軟件在安裝或卸載時替換��、刪除該部分數據���,解決辦法是先確保你的環境變量path是否包含:“%systemroot%/system32;%systemroot%;%systemroot%system32/wbem”����,沒有的話自己添進去。
然后在注冊表中定位到HKEY_CURRENT_USER——Software——Policies——Microsoft——MMC����,為RestrictToPermittedSnapins賦值為0����,如下圖:
2���、我的IP安全策略怎么設置不了?�。?br />答:確保IPsec Policy Agent服務處于啟用狀態就行了�。
