使用这些组策略增强 Windows 安全性

　　某些用于增强 Windows 计算机安全性的选项在“设置”应用程序中不可用。只要您使用的是 Windows Pro 或 Enterprise 版本，则可以在组策略编辑器中找到它们。让我们看看其中的几个。

　　要访问组策略编辑器，请按 Windows+R 打开“运行”对话框。在文本中输入 gpedit.msc，然后单击“确定”按钮。

　　1、屏幕锁定时间

　　启用屏幕锁定策略会在指定的非活动时间后锁定您的计算机。在锁定后使用计算机将需要身份验证，以保护您的计算机免受未经授权的访问。

　　请务必创建组策略编辑器设置的备份，以防出现错误。这将为您提供了一种将更改恢复到您进行更改之前的状态的方法。

　　要在组策略编辑器中查找屏幕锁定策略，请转到计算机配置> Windows 设置>安全设置>本地策略>安全选项。在此处，编辑“交互式登录：计算机不活动限制”策略。

　　您需要输入计算机自动锁定前应经过的秒数。您可以选择介于 0 和 599,940 之间的数字。

　　2、密码策略

　　Windows 上的默认密码策略并不那么严格。例如，用户可以无限期地使用相同的密码，而无需创建复杂的密码。幸运的是，您可以通过编辑正确的安全策略来使它们更严格。

　　要在组策略编辑器中查找密码策略，请转到计算机配置> Windows 设置>安全设置>账户策略>密码策略。

　　3、帐户锁定阈值

　　如果有人试图入侵用户的个人资料，他们可能会尝试猜测密码。通过设置“帐户锁定阈值”策略，您可以确保在用户尝试再次登录之前或直到管理员解锁帐户之前，帐户将被锁定几分钟。

　　要在组策略编辑器中查找“帐户锁定阈值”策略，请转到计算机配置> Windows 设置>安全设置>帐户策略>帐户锁定策略。

　　我建议在触发帐户锁定期之前将其设置为 3-5 次登录尝试。这样做还将启用“允许管理员锁定”策略，并将“帐户锁定持续时间”和“在此时间后重置帐户锁定计数器”策略设置为 10 分钟。如果默认值不适合您，您可以根据需要单独调整它们。

　　4、禁用可移动媒体

　　禁用可移动媒体可确保无法在 Windows 计算机上访问闪存驱动器、外部驱动器和其他存储设备。这意味着没有人可以通过这些设备从您的计算机复制数据或用恶意软件感染它。

　　要禁用可移动媒体，请导航到 计算机配置 > 管理模板 > 系统 > 可移动存储访问。找到“所有可移动存储类：拒绝所有访问”策略并启用它。

　　如果要为特定配置文件而不是整个计算机设置策略，请登录该配置文件，并在其中启用策略。您可以通过转到用户配置>管理模板>系统>可移动存储访问来找到它。

　　5、用户帐户控制 (UAC)

　　UAC 是一项安全功能，可防止没有管理权限的用户更改系统设置。当用户想要执行需要管理员权限的操作时，他们将收到一个提示，要求他们在继续之前获取该操作。这可确保未经管理员同意，任何人都无法进行重要更改。

　　要在组策略编辑器中访问 UAC 策略，请转到计算机配置> Windows 设置>安全设置>本地策略>安全选项。查找以 “User Account Control” 开头的策略。

　　6、启用账户审核策略

　　Windows 允许您跟踪有关系统上用户帐户的某些操作。通过查看日志，您可以查找可疑活动，例如登录尝试失败、未经授权的访问、滥用提升的权限或更改账户设置。

　　要在组策略编辑器中查找这些策略，请转到计算机配置> Windows 设置>安全设置>本地策略>审核策略。

　　在这里，通过勾选 “Success” 和 “Failure” 复选框来编辑以下策略：

　　• 审核帐户登录事件：当有人尝试登录特定帐户时跟踪帐户。

　　• 审核帐户管理：跟踪某人何时创建、删除或修改用户帐户。

　　• 审核登录事件：跟踪计算机上的登录和注销尝试。

　　• 审核对象访问：记录用户访问特定文件、文件夹和注册表项的实例。

　　• 审核策略更改：跟踪对组和安全策略所做的更改。

　　• 审核权限使用：监控用户何时滥用管理权限。

　　您可以在 Event Viewer 中找到这些策略的审核跟踪。要打开它，请按 Windows+R 调出 Windows 运行。在文本框中输入 eventvwr，然后单击 “OK” 按钮。