系统安全的关键是账户策略的恰当设置根据系统的不同(例如域控制器工作站成员服务器)账户策略也会有相应的变化在Windows 域中账户策略是通过域的组策略 设置和强制执行的在其它GPO中对域账户策略进行的设置将会被忽略而在工作站或者成员服务器上直接配置账户策略也只能影响到相应计算机的本地账户策略以及锁定策如果想要在本机和和域中使用一致的密码策略和账户锁定策略就需要在域控制器(通过域GPO)以及本机(通过本地安全策略)设置同样的安全策略关于选择合适的模板导入恰当的容器的详细信息可以参阅Guide to Securing Microsoft Windows Group Policy 一文
要查看安全模板中关于账户策略的设置在MMC中双击
·安全模板
·默认的配置文件保存目录(%SystemRoot%\Security\Templates)
·特定的配置文件
·账户策略
注意在对一个配置文件进行了任何修改之后请记得保存修改然后在正式使用之前一定要先测试好
密码策略
在对账户策略对话框进行修改之前复查你的网络中已有的密码策略在账户策略中设置的内容应该跟已有的密码策略相符合用户也应该阅读和签署协议表明他们承认组织的计算机策略
建议包括的密码策略包括
·用户绝不能把密码写在纸上
·密码要很难猜测并且最好能包括大小写字母特殊字符(标点符号以及扩展字符)最后还有数字字典中的词语不能用作密码
·用户不能使用电子通讯技术明文传输密码
要使用安全模板组件修改密码策略设置依次双击
账户策略–密码策略 查看或者编辑当前设置
表 列出了密码策略的建议设置图显示了MMC中的密码策略设置窗口
图 密码策略设置窗口表 密码策略选项账户锁定策略
账户锁定功能会在产生三次无效登录后锁定登录的账户这个设置会减慢字典攻击的速度因为如果每三次连续的无效登录产生后账户都被锁定的话入侵者就必须等待账户被重新启用如果一个账户已经被锁定管理员可以使用Active Directory用户和计算机工具启用域账户或者使用计算机管理启用本地账户而不用等待到账户自动启用
注意系统内建的Administrator账户不会因为账户锁定策略的设置而被锁定然而当使用远程桌面时会因为账户锁定策略的设置而使得Administrator账户在限定时间内无法继续使用远程桌面Administrator账户的本地登录是永远被允许的
要通过安全模板组件修改账户锁定策略的设置依次双击
账户策略 – 账户锁定策略 然后查看或者编辑当前设置
表 列出了账户锁定策略的建议设置
表 账户锁定策略选项Kerberos策略
Kerberos是Windows 活动目录使用的默认认证方式自从活动目录使用Kerberos 作为必要的认证方式后Kerberos策略仅对Windows 域GPO具有重要作用因此本文中讨论的Windows XP工作站的Kerberos策略都没有设定以下信息仅供参考
要通过安全模版组件修改Kerberos策略依次双击
账户策略 Kerberos 策略然后查看或者编辑目标内容
表 列出了所有可以用于域组策略级别的Kerberos策略设置
表 Kerberos策略选项 
