经由过程组策略建设Windows电脑是企业中最多见的一项任务。利用组策略设置和建设安然设置是Windows计较机的一大年夜优势。是的，此刻良多把持系统都有八两半斤的治理机制，但组策略从1998年10月发布的Windows NT 4.0 Service Pack 4中就存在了。

　　Roger A. Grimes自1990年就开端从事Windows计较机安然工作，十几年的企业工作经验令他熟谙和掌控了大年夜量的组策略。单就系统来讲，在Windows 8.1和Windows Server 2012 R2中就大年夜约有3700多个设置。在海量设置中，Roger A. Grimes总结出了10个安然根本组策略设置。

　　Top 10 Windows组策略设置

　　只要包管这10个Windows组策略设置准确，你的Windows环境会在很长一段时候内保持加倍安然的状况。这些组策略都在计较机建设\Windows设置\安然设置下。

　　重定名本地治理员帐户：进步治理员帐户的安然性，就会大年夜大年夜降落被侵的风险。

　　禁用宾客帐户：最糟的工作就是利用该帐户。因为它会承诺任何人拜候Windows电脑，并且没有暗码!

　　禁用LM和NTLM v1：LM(LAN Manager)和NTLMv1认证和谈存在缝隙。利用NTLMv2和Kerberos。默许环境下，大年夜大都Windows系统城市撑持这四个和谈。除非你有很是古老、没有打补丁的系统(超越10年吧)。

　　禁用LM哈希存储：LM哈希暗码很等闲转换为明文暗码。不要将它们存储在Windows磁盘上，黑客会操纵哈希转储东西找到它们。

　　暗码最小长度：你的最小暗码应当是12个字符或更多。假定你的暗码只有8个字符(最多见的大年夜小)，出了标题问题可别埋怨。Windows暗码只有达到12个字符长度的时辰才有必然的安然性。

　　暗码最持久限：大年夜大都暗码的利用时候不该超越90天。但假定你用的是15个字符(或更长)，一年根基上是没标题问题标。多个公开和私家研究已证实，12个字符或更长的暗码是相对安然的，因为暗码破解的时候更长。

　　事务日记：谨慎你的事务日记。大年夜大都的计较机受害者已寄望到黑客进侵前已查看了他们的日记。

　　禁用匿名SID：SID(安然标识符)是分派给Windows或勾当目次中的每个用户、组和其他安然对象的数字。在初期的把持系统版本中，匿名用户可以查询这些数据来辨认首要用户(如治理员)和组，当然黑客很喜好操纵这一点。

　　所有组中不要存在匿名账户：这两个设置假定不准确，会让匿名黑客拜候更多的系统内容。

　　启用用户帐户节制(UAC)：最后，因为Windows Vista，UAC成了人们浏览网页时的头号呵护东西。微软的免费利用法度兼容性故障解除东西可以解决良多标题问题。

　　好动静：所有的这些设置在Windows Vista/Server 2008(以后版本)中都是准确的默许状况。

　　在你开端关心组策略设置之前，有一些更首要的工作要做，好比完美的修补和避免用户安装木马法度。