其次选中“已启用”选项, 单击“确定”按钮保存设置操作,这样日后用户使用空白密码的用户帐号远程连接到重要主机系统时,就无法进行远程控制操作了。
取消密码同步属性
与传统操作系统相比,Windows 8.1系统具有强大的同步功能,例如可以对桌面个性化设置进行同步,对浏览器设置进行同步,对各种系统设置进行同步等。但有时为了安全需要,我们想取消密码同步属性,要做到这一点,可以进行如下设置操作:
首先执行“gpedit.msc”命令,打开系统组策略控制台窗口,在左侧树形结构图中,逐一跳转到“本地计算机策略”|“计算机配置”|“管理模板”|“Windows组件”|“同步你的设置”分支上,在右侧显示区域中,我们能看到各种同步设置组策略。
其次选中“不同步密码”组策略,用鼠标双击之,打开对应组策略属性对话框,选中“已启用”选项,确认之后上述设置就能立即生效。当然,要提醒大家的是,日后要将该组策略重新设置为“已禁用”时,必须要重新启动计算机系统才能让设置正式生效。
防止自动保存密码
在访问网络的时候,许多场合下输入的密码内容,会被Windows系统自动保存,这虽然会有利于下次登录访问,但是在安全性要求很高的环境下,这种自动保存功能容易让复杂密码失去安全防护作用。所以,为了安全起见,我们可以进行下面的设置操作,来防止Windows系统自动保存密码:
首先按下快捷键“Win+R”,打开系统运行对话框,输入“services.msc”命令后回车,展开服务列表窗口。双击“ProtectedStorage”服务选项,进入目标系统服务属性对话框,点击“停止”按钮,将目标系统服务关闭运行,同时将其启动类型参数设置为“手动”,确认后保存设置操作。
其次启动组策略编辑器,在对应窗口左侧导航窗格中,找到“本地计算机策略”|“计算机配置”|“Windows设置”|“安全设置”|“本地策略”|“安全选项”节点选项,这时在右侧列表中,会看到“网络访问: 不允许存储网络身份验证的密码和凭据”选项,用鼠标双击该选项,切换到如图6所示的组策略选项设置框,选择“已启用”选项,设置完成后点击“确定”按钮退出,这样Windows系统日后就不会自动保存各种密码内容了。
拓展密码使用范围
在工作组环境下,我们通过远程桌面功能与局域网中的重要主机系统建立远程连接时,使用了登录凭据管理功能,保存了远程连接账号和密码,以便下次能够不输入密码就能快速建立远程桌面连接。可是,当升级到局域网特定域环境后,再尝试利用以前存储的登录凭据,快速与重要主机系统建立远程连接时,会发现远程登录无法成功。那么如何才能让登录凭据之前保存的远程连接账号与密码,适用于新的局域网特定域环境呢?
很简单!只要修改本地计算机的的凭据分配设置即可。启动系统组策略编辑器,在对应窗口的左侧导航区域,找到“本地计算机策略”|“计算机配置”|“管理模板”|“系统”|“凭据分配”节点选项,这时会在该节点右侧区域看到“允许分配保存的凭据用于仅NTLM服务器身份验证”组策略选项。
用鼠标双击该组策略,打开目标组策略的属性设置对话框(如图7所示),选择“已启用”选项,激活“显示”按钮,按下该按钮弹出显示内容设置框,输入“termsrv /*”关键字,确认之后退出设置框,就能拓展密码使用范围。
限制密码使用期限
重要主机系统的登录密码内容如果长期不变,那将是非常危险的,因为随着时间的延长,越来越多的人可能会知道密码内容,那么它被破译或外泄的机率就会不断增强。所以,为了加强重要主机系统的安全防护,我们应该强制用户定期修改登录密码内容。
比方说,要强制Windows 7系统定期修改密码内容时,只要先开启系统组策略编辑器的运行状态,在编辑窗口左侧导航区域,找到“本地计算机策略”|“计算机配置”|“Windows设置”|“安全设置”|“账户策略”|“密码策略”节点选项,这时能在目标节点下面看到好多密码相关策略。
要限制密码使用期限时,可以选中“密码最长使用期限”选项,并用鼠标双击之打开对应选项设置对话框,如图8所示。在这里输入好密码变化的间隔时间,比如输入“30”,确认后保存设置操作,日后系统会每隔30天强制用户修改一次密码内容。
当使用指定账号成功登录系统后,对应账号的密码内容,会以Hash散列这种特殊格式存储在内存中。一些狡猾的黑客会借助专业工具,抓取内存中的特定账号密码Hash散列值,再想办法对其破译,就可能获取系统管理员账号的密码。
在局域网环境中,两台计算机相互之间进行共享访问时,虽然共享资源已经允许everyone用户正常访问,但是实际访问时系统仍然要求输入共享访问密码,而且有时不管输入什么权限账号的密码,都无法保证共享访问成功。