Windows 8本地安全策略FAQs 问题:系统应用操作 适用范围:Windows 8 操作步骤: 怎么打开“Windows本地安全策略”啊? 答:“搜索”键入“secpol.msc”后回车。 如何防止黑客或恶意程序暴力破解我的系统密码? 答:众所周知,暴力破解Windows密码实质上是通过穷举算法来实现,尤其是密码过于简单的系统,暴力破解的方法还是比较实用的。有一点需要我们注意,这个问题的关键在于Windows是否允许远程客户端或恶意程序来进行用户名和密码的穷举,如果不允许,恶意程序企图通过枚举获得管理员权限这条路就是个死胡同。那么,如何不允许?见下图:确保被选行处于“已启用”后,这条路就基本上被堵死了,不放心的话,你还可以将它下面那行“不允许SAM账户和共享的匿名枚举”也设置为“已启用”状态。 此外,将“本地策略”——“安全选项”中:“网络访问:可匿名访问的共享”、“网络访问:可远程访问的注册表路径”、“网络访问:可远程访问的注册表路径和子路径”、“网络访问:可匿名访问的命名管道”这四项包含的值全部删除,亦可进一步提升系统的安全性。Windows自带的防火墙好用吗? 答:有相当一部分朋友在选择琳琅满目的第三方防火墙产品时,忽略了Windows自带的防火墙,甚至从未点开过。“Windows防火墙”隶属于本地安全策略的子功能,我个人认为,只要熟练配置该功能,对于个人应用甚至企业需求,其易用性和安全性均属上乘之作。 进入方法有两种: 1、如下图地址栏所示进入程序界面:然后点击左侧“高级设置”出现如下所示:使用该方法进入后可浏览已有规则并可创建新规则。 2、直接在“本地安全策略”中进入程序界面:右侧空白一片,并未列出已有规则,但可以创建新规则。 举个例子,禁止Adobe Photoshop CS访问网络,右击空白处或在右侧栏点击“新建规则”,在“新建出站规则向导”中选择第一项“程序”(控制程序连接的规则),下一步选择好photoshop所在路径,如下图所示:下一步选择“阻止连接”,之后会询问您“何时应用该规则”,大家可按照实际需求勾选,默认选中“域、专用、公用”三项。如下图所示:之后再为它起个名字(任意),规则创建好了,从此Photoshop.exe使尽浑身解数也无法再访问网络。此外,可以在“连接安全规则”中创建更高级的规则,如下图所示:这个界面不看不知道,功能如此强大,基本上您想到和想不到的需求,这里全都实现了,例如封锁任意您看着不爽的IP或IP段,封闭ping,或指定任意端口、程序名称或服务名称的操作权限等等,易用程度和可靠性不次于任何第三方防火墙。我能通过安全策略禁止某个程序的运行吗? 答:答案是肯定的,不仅能,还能防止某程序被改名、改路径、改后缀、改壳后再运行,这个功能叫做“AppLocker”,要比您在组策略中禁止某程序运行更严格、更强大。程序界面如下图所示:右击左侧“可执行规则”——“创建新规则”,在出现的向导界面中不仅可限定用户组(如Guest账户),还可枚举各种限定条件,如下图所示:如果选择“发布者”,那么被禁用的程序、及其所有它的升降级版、改版都无法运行(该条件可进一步详细设置),例如QQ、迅雷、酷狗等,它们的官方版及定制版统统无法运行,很智能吧。该功能还可以应用到隔离病毒操作,如果系统内有无法清除的病毒或木马,无论被感染者是程序、脚本、动态链接库、还是批处理,统统无法再作恶。单从这一点来说,目前主流的杀毒软件,在病毒隔离功能方面普遍没它详细。剩下两项通过字面意思完全容易理解,尤其是第三项“文件哈希”,相当实用。 这个功能还可以和“软件限制策略”配合使用,见下图:(如未出现右侧所示内容,左侧栏右击创建软件限制策略即可)此外,通过“全局对象访问审核”还可限制各组别对于整个或局部注册表甚至文件系统的访问权限,如下图所示: 当您踏破铁鞋在网上寻找这方面功能的第三方软件时,是否应先翻翻Windows自带的家当呢?呵呵。如果您对PowerShell有所了解的话,还可进一步简化AppLocker规则的创建和管理,限于篇幅不详细举例了。 最后再补充两个关于“本地安全策略”故障的常见问题:1、我怎么访问不了本地安全策略啊? 答:这个问题一般会显示为“创建管理单元失败”或CLSID:{8FC0B734-A0E1-11D1-A7D3-0000F87571E3},出现的原因多见于某些软件在安装或卸载时替换、删除该部分数据,解决办法是先确保你的环境变量path是否包含:“%systemroot%\\system32;%systemroot%;%systemroot%system32\\wbem”,没有的话自己添进去。 然后在注册表中定位到HKEY_CURRENT_USER——Software——Policies——Microsoft——MMC,为RestrictToPermittedSnapins赋值为0,如下图: 提示:修改注册表有风险,请提前备份数据并在专业人士指导下慎重操作。 2、我的IP安全策略怎么设置不了啊? 答:确保IPsec Policy Agent服务处于启用状态就行了。
Windows 8本地安全策略FAQs-联想乐享知识库
⚡ 核心结论
本文来源联想官方,解答关于 Windows 8本地安全策略FAQs 的常见问题,包括:Windows 8如何打开本地安全策略?、Windows 8为什么无法访问本地安全策略,提示'创建管理单元失败'或CLSID错误?、Windows 8如何防止黑客通过远程方式暴力破解系统密码?等。
内容来源:联想官方
常见问题解答
Windows 8如何打开本地安全策略?
在Windows 8系统中,可通过运行命令快速打开本地安全策略。具体步骤:按Win键调出开始屏幕(或直接进入桌面),在搜索框中输入“secpol.msc”,然后按回车键执行。该操作将直接启动“本地安全策略”管理控制台,无需安装额外组件或启用服务。注意:此功能仅在Windows 8专业版、企业版和教育版中可用;Windows 8家庭版不包含secpol.msc,无法使用本地安全策略控制台。
Windows 8为什么无法访问本地安全策略,提示'创建管理单元失败'或CLSID错误?
该故障通常由第三方软件安装/卸载过程中损坏MMC管理单元注册信息所致,核心原因是环境变量缺失或注册表策略限制。解决步骤:首先检查系统环境变量Path是否包含“%systemroot%\system32;%systemroot%;%systemroot%\system32\wbem”,如缺失请手动添加并重启资源管理器;其次,打开注册表编辑器,定位到HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC,将DWORD值RestrictToPermittedSnapins修改为0(若不存在则新建)。操作前务必备份注册表,且需以管理员身份运行注册表编辑器。
Windows 8如何防止黑客通过远程方式暴力破解系统密码?
关键在于禁用远程匿名枚举和SAM账户访问权限。具体操作:打开本地安全策略→展开‘安全选项’→启用‘网络访问:不允许SAM账户的匿名枚举’;同时启用其下方选项‘不允许SAM账户和共享的匿名枚举’。此外,还需清空四项网络访问策略中的允许值:‘网络访问:可匿名访问的共享’、‘网络访问:可远程访问的注册表路径’、‘网络访问:可远程访问的注册表路径和子路径’、‘网络访问:可匿名访问的命名管道’——将这些策略的值全部删除。完成配置后,远程暴力穷举用户名与密码的路径将被实质性阻断。
Windows 8如何用本地安全策略禁止Adobe Photoshop CS访问网络?
需通过Windows防火墙高级安全功能创建出站规则。步骤如下:1. 打开‘本地安全策略’→右侧空白处右击选择‘高级设置’,或直接运行wf.msc进入‘高级安全Windows防火墙’;2. 在左窗格点击‘出站规则’→右击空白处选‘新建规则’;3. 向导中选择‘程序’→浏览定位到Photoshop.exe的完整路径(如C:\Program Files\Adobe\Adobe Photoshop CS\Photoshop.exe);4. 选择‘阻止连接’→勾选‘域’、‘专用’、‘公用’所有配置文件;5. 输入规则名称(如‘禁止PS联网’)并完成。此后该程序任何改名、重路径尝试均无法绕过此规则。
⚠️ 注意事项:
1. 配置防火墙规则需要管理员权限,请以管理员身份运行。
2. 阻止联网可能影响软件的激活验证及自动更新功能,请按需设置。
3. 若软件路径发生变更(如升级版本),需重新编辑规则指向新路径。
⚠️ 注意事项:
1. 配置防火墙规则需要管理员权限,请以管理员身份运行。
2. 阻止联网可能影响软件的激活验证及自动更新功能,请按需设置。
3. 若软件路径发生变更(如升级版本),需重新编辑规则指向新路径。
Windows 8能否通过本地安全策略禁止某个程序运行,且防改名防加壳?
可以,应使用AppLocker功能(需Windows 8专业版及以上)。该功能比传统软件限制策略更严格:右键‘本地安全策略’左侧‘AppLocker’→‘可执行规则’→‘创建新规则’,向导中可基于发布者(自动识别数字签名,覆盖所有版本及定制版)、路径或文件哈希值设定规则。例如选择‘发布者’可彻底禁止QQ官方及所有渠道定制版运行;选择‘文件哈希’则对特定程序本体唯一锁定,即使改名、换路径、加壳也无法执行。注意:首次启用AppLocker需先启用其策略,且默认无规则时处于‘仅审核’模式,须手动切换为‘强制执行’。
Windows 8的IP安全策略无法设置,提示配置失败怎么办?
根本原因是IPsec Policy Agent系统服务未运行。解决步骤:按Win+R输入services.msc打开服务管理器→在服务列表中找到‘IPsec Policy Agent’→右键选择‘属性’→将‘启动类型’设为‘自动’→点击‘启动’按钮启用服务→确认状态显示为‘正在运行’。启用后即可正常配置IP安全策略。若服务启动失败,需检查依赖服务如‘Base Filtering Engine’是否已启用,且确保系统未被恶意软件劫持相关驱动。
⚠️ 注意事项:
1. 修改系统服务启动类型需要管理员权限。
2. 请勿随意更改其他依赖服务的状态,以免导致网络连接中断或系统不稳定。
3. 若服务启动后立即停止,可能存在系统文件损坏或恶意软件干扰,建议进行全盘扫描。
⚠️ 注意事项:
1. 修改系统服务启动类型需要管理员权限。
2. 请勿随意更改其他依赖服务的状态,以免导致网络连接中断或系统不稳定。
3. 若服务启动后立即停止,可能存在系统文件损坏或恶意软件干扰,建议进行全盘扫描。