win8系统本地安全策略常见问题详细解答

下面是关于win8本地安全策略的常见问题解答，大家可以参考一下 。

怎么打开“Windows本地安全策略”啊？
答：“搜索”键入“secpol.msc”后回车 。

如何防止黑客或恶意程序暴力破解我的系统密码？
答：众所周知，暴力破解Windows密码实质上是通过穷举算法来实现，尤其是密码过于简单的系统，暴力破解的方法还是比较实用的 。有一点需要我们注意，这个问题的关键在于Windows是否允许远程客户端或恶意程序来进行用户名和密码的穷举，如果不允许，恶意程序企图通过枚举获得管理员权限这条路就是个死胡同 。那么，如何不允许？见下图：

确保被选行处于“已启用”后，这条路就基本上被堵死了，不放心的话，你还可以将它下面那行“不允许SAM账户和共享的匿名枚举”也设置为“已启用”状态 。
此外，将“本地策略”——“安全选项”中：“网络访问：可匿名访问的共享”、“网络访问：可远程访问的注册表路径”、“网络访问：可远程访问的注册表路径和子路径”、“网络访问：可匿名访问的命名管道”这四项包含的值全部删除，亦可进一步提升系统的安全性 。

Windows自带的防火墙好用吗？
答：有相当一部分朋友在选择琳琅满目的第三方防火墙产品时，忽略了Windows自带的防火墙，甚至从未点开过 。“Windows防火墙”隶属于本地安全策略的子功能，我个人认为，只要熟练配置该功能，对于个人应用甚至企业需求，其易用性和安全性均属上乘之作 。

进入方法有两种：
1、如下图地址栏所示进入程序界面：

然后点击左侧“高级设置”出现如下所示：

使用该方法进入后可浏览已有规则并可创建新规则 。
2、直接在“本地安全策略”中进入程序界面：

右侧空白一片，并未列出已有规则，但可以创建新规则 。
举个例子，禁止Adobe Photoshop CS访问网络，右击空白处或在右侧栏点击“新建规则”，在“新建出站规则向导”中选择第一项“程序”（控制程序连接的规则），下一步选择好photoshop所在路径，如下图所示：

下一步选择“阻止连接”，之后会询问您“何时应用该规则”，大家可按照实际需求勾选，默认选中“域、专用、公用”三项 。如下图所示：

之后再为它起个名字（任意），规则创建好了，从此Photoshop.exe使尽浑身解数也无法再访问网络 。此外，可以在“连接安全规则”中创建更高级的规则，如下图所示：

这个界面不看不知道，功能如此强大，基本上您想到和想不到的需求，这里全都实现了，例如封锁任意您看着不爽的IP或IP段，封闭ping，或指定任意端口、程序名称或服务名称的操作权限等等，易用程度和可靠性不次于任何第三方防火墙 。

我能通过安全策略禁止某个程序的运行吗？
答：答案是肯定的，不仅能，还能防止某程序被改名、改路径、改后缀、改壳后再运行，这个功能叫做“AppLocker”，要比您在组策略中禁止某程序运行更严格、更强大 。程序界面如下图所示：

右击左侧“可执行规则”——“创建新规则”，在出现的向导界面中不仅可限定用户组（如Guest账户），还可枚举各种限定条件，如下图所示：

如果选择“发布者”，那么被禁用的程序、及其所有它的升降级版、改版都无法运行（该条件可进一步详细设置），例如QQ、迅雷、酷狗等，它们的官方版及定制版统统无法运行，很智能吧 。该功能还可以应用到隔离病毒操作，如果系统内有无法清除的病毒或木马，无论被感染者是程序、脚本、动态链接库、还是批处理，统统无法再作恶 。单从这一点来说，目前主流的杀毒软件，在病毒隔离功能方面普遍没它详细 。剩下两项通过字面意思完全容易理解，尤其是第三项“文件哈希”，相当实用 。
这个功能还可以和“软件限制策略”配合使用，见下图：（如未出现右侧所示内容，左侧栏右击创建软件限制策略即可）

此外，通过“全局对象访问审核”还可限制各组别对于整个或局部注册表甚至文件系统的访问权限，如下图所示：

当您踏破铁鞋在网上寻找这方面功能的第三方软件时，是否应先翻翻Windows自带的家当呢？呵呵 。如果您对PowerShell有所了解的话，还可进一步简化AppLocker规则的创建和管理，限于篇幅不详细举例了 。
最后再补充两个关于“本地安全策略”故障的常见问题：
1、我怎么访问不了本地安全策略啊？
答：这个问题一般会显示为“创建管理单元失败”或CLSID:{8FC0B734-A0E1-11D1-A7D3-0000F87571E3}，出现的原因多见于某些软件在安装或卸载时替换、删除该部分数据，解决办法是先确保你的环境变量path是否包含：“%systemroot%\system32;%systemroot%;%systemroot%system32\wbem”，没有的话自己添进去 。
然后在注册表中定位到HKEY_CURRENT_USER——Software——Policies——Microsoft——MMC，为RestrictToPermittedSnapins赋值为0，如下图：

2、我的IP安全策略怎么设置不了啊？
答：确保IPsec Policy Agent服务处于启用状态就行了 。