本教程为你们介绍在windows8中本地安全策略的一些设置问题,下边一上去瞧瞧吧。
如何打开“Windows本地安全策略”啊?
答:“搜索”键入“secpol.msc”后回车。
怎样避免黑客或恶意程序暴力破解我的系统密码?
答:众所周知,暴力破解Windows密码实质上是通过穷举算法来实现,尤其是密码过分简单的系统,暴力破解的方式还是比较实用的。有一点须要我们注意,这个问题的关键在于Windows是否容许远程顾客端或恶意程序来进行用户名和密码的穷举,假若不准许,恶意程序试图通过枚举获得管理员权限这条路就是个死南街。这么,怎么不容许?见右图:
windows8本地安全策略设置大全src="https://img1.runjiapp.com/duoteimg/zixunImg/local/2012/08/06/13442161184828.jpg"width=600height=469>
确保被选行处于“已启用”后,这条路就基本上被堵住了,不放心的话,你还可以将它下边那行“不容许SAM帐户和共享的匿名枚举”也设置为“已启用”状态。
据悉,将“本地策略”——“安全选项”中:“网络访问:可匿名访问的共享”、“网络访问:可远程访问的注册表路径”、“网络访问:可远程访问的注册表路径和子路径”、“网络访问:可匿名访问的命名管线”这四项包含的值全部删掉,亦可进一步提高系统的安全性。
Windows自带的防火墙好用吗?
答:有相当一部份同学在选择琳琅满目的第三方防火墙产品时,忽视了Windows自带的防火墙,甚至未曾点开过。“Windows防火墙”隶属于本地安全策略的子功能,我个人觉得,只要熟练配置该功能,对于个人应用甚至企业需求,其易用性和安全性均属上乘之作。
步入方式有两种:
1、如右图地址栏所示步入程序界面:
之后点击两侧“高级设置”出现如下所示:
使用该方式步入后可浏览已有规则并可创建新政则。
2、直接在“本地安全策略”中步入程序界面:
左侧空白一片,并未列举已有规则,但可以创建新政则。
举个事例,严禁AdobePhotoshopCS访问网路,右击空白处或在两侧栏点击“新建规则”,在“新建出站规则向导”中选择第一项“程序”(控制程序联接的规则),下一步选择好photoshop所在路径,如右图所示:
下一步选择“阻止联接”,然后会寻问您“何时应用该规则”,你们可根据实际需求勾选,默认选中“域、专用、公用”三项。如右图所示:
然后再为它起个名子(任意),规则创建好了,自此Photoshop.exe使尽四肢解数也未能再访问网路。据悉,可以在“连接安全规则”中创建更中级的规则,如右图所示:
这个界面不看不晓得,功能这么强悍,基本上您想到和想不到的需求,这儿全都实现了,比如封锁任意您看着不爽的IP或IP段,封闭ping,或指定任意端口、程序名称或服务名称的操作权限等等,易用程度和可靠性不次于任何第三方防火墙。
我能通过安全策略严禁某个程序的运行吗?
答:答案是肯定的,除了能,能够避免某程序被更名、改路径、改后缀、改壳后再运行,这个功能称作“AppLocker”,要比您在组策略中严禁某程序运行更严格、更强悍。程序界面如右图所示:
右击两侧“可执行规则”——“创建新政则”,在出现的向导界面中除了可限定用户组(如Guest帐户)win8.1本地安全策略,还可枚举各类限定条件,如右图所示:
假如选择“发布者”,这么被禁用的程序、及其所有它的升降级版、改版都难以运行(该条件可进一步详尽设置),比如QQ、迅雷、酷狗等,它们的官方版及订制版统统难以运行,很智能吧。该功能还可以应用到隔离病毒操作,假若系统内有难以去除的病毒或木马,无论被感染者是程序、脚本、动态链接库、还是批处理,统统未能再作恶。单从这一点来说,目前主流的杀毒软件,在病毒隔离功能方面普遍没它详尽。剩下两项通过字面意思完全容易理解,尤其是第三项“文件哈希”,相当实用。
这个功能还可以和“软件限制策略”配合使用,见右图:(如未出现右边所示内容,右侧栏右击创建软件限制策略即可)
据悉,通过“全局对象访问初审”还可限制各组别对于整个或局部注册表甚至文件系统的访问权限,如右图所示:
当您踏破铁鞋在网上找寻这方面功能的第三方软件时,是否应先翻翻Windows自带的家当呢?呵呵。倘若您对PowerShell有所了解的话,还可进一步简化AppLocker规则的创建和管理,限于篇幅不详尽举例了。
最后再补充两个关于“本地安全策略”故障的常见问题:
1、我如何访问不了本地安全策略啊?
答:这个问题通常会显示为“创建管理单元失败”或CLSID:{8FC0B734-A0E1-11D1-A7D3-0000F87571E3},出现的诱因多见于个别软件在安装或卸载时替换、删除该部份数据win8.1本地安全策略,解决办法是先确保你的环境变量path是否包含:“%systemroot%system32;%systemroot%;%systemroot%system32wbem”,没有的话自己添进去。
之后在注册表中定位到HKEY_CURRENT_USER——Software——Policies——Microsoft——MMC,为RestrictToPermittedSnapins形参为0,如右图:
2、我的IP安全策略如何设置不了啊?
答:确保IPsecPolicyAgent服务处于启用状态就行了。
