组策略应用大全.docx

Win2003 Server帐户和本地策略配置（上） 在Windows Server 2003系统的“帐户和本地策略”中包括“帐户策略”和“本地策略”两个方面，而其中的“帐户策略”又包括：密码策略、帐户锁定策略和Kerberos策略三个方面；另外的“本地策略”也包括：审核策略、用户权限分配和安全选项三部分。下面分别予以介绍。一、密码策略的设置密码策略作用于域帐户或本地帐户，其中就包含以下几个方面：强制密码历史密码最长使用期限密码最短使用期限密码长度最小值密码必须符合复杂性要求用可还原的加密来存储密码以上各项的配置方法均需根据当前用户帐户类型来选择。默认情况下，成员计算机的配置与其域控制器的配置相同。下面分别根据几种不同用户类型介绍相应的密码策略配置方法。1. 对于本地计算机对于本地计算机的用户帐户，其密码策略设置是在“本地安全设置”管理工个中进行的。下面是具体的配置方法。第1步，执行开始管理工具本地安全策略菜单操作，打开如图所示的“本地安全设置”界面。对于本地计算机中用户“帐户和本地策略”都查在此管理工具中进行配置的。第2步，因密码策略是属于用户策略范畴，所以先需在如上图所示界面中单击选择“用户策略”选项，然后再选择“密码策略”选项，在右边详细信息窗口中将显示可配置的密码策略选项的当前配置。因为各策略选项的配置方法基本一样，所以在此仅以一个选项的配置进行介绍，其它只对各选项的具体作用进行简单介绍。如配置“密码必须符合复杂性要求”选项，可设置确定密码是否符合复杂性要求。启用该策略，则密码必须符合以下最低要求：（1）不包含全部或部分的用户帐户名（2）长度至少为六个字符（3）包含来自以下四个类别中的三个的字符：英文大写字母（从A到Z）英文小写字母（从a到z）10个基本数字（从0到9）非字母字符（例如，!、$、#、%）如果启用了此安全策略，而您所配置的用户密码不符合此配置要求时系统会提示错误。有时您可能百思不得其解，认为自己所设的密码已经够长，而且也是属于随机的，不全都是数字或字母，可系统为什么还是老说错误呢？一般来说是由于您所设的密码所包括的字符类型不足以上四个中的三个。通常只各个领域其中的两种，即数字和字母，而没有考虑到字母的大小写或者非字母字符，所以达不到复杂性要求。更改或创建密码时，会强制执行复杂性要求。默认情况下，在域控制器上默认是已启用了这一策略的；而在独立服务器上则默认是禁用的。这个安全选项的配置方法是在如上图所示界面的右边信息窗口中双击“密码必须符合复杂性要求”选项，打开如图所示对话框。在这个对话框中就可随意启用或者禁用这个安全策略选项，配置好后单击“确定”按钮使配置更改生效。其它选项的配置方法都一样，都是通过双击或者单击右键，然后选择“属性”选项，打开类似如图2所示对话框，在这些对话框中进行配置即可。不过为了便于工作于大家理解和配置，下面简单介绍其它密码策略选项的含义。强制密码历史重新使用旧密码之前，该安全设置确定某个用户帐户所使用的新密码必须不能与该帐户所使用的最近多少旧密码一样。该值必须为0到24之间的一个数值。该策略通过确保旧密码不能在某段时间内重复使用，使用户帐户更安全。在域控制器上的默认值为24；而在独立服务器上为0。【注意】要维持密码历史记录的有效性，则在通过启用密码最短使用期限安全策略设置更改密码之后，不允许立即更改密码。密码最长使用期限该安全设置确定系统要求用户更改密码之前可以使用该密码的时间（单位为天）。可将密码的过期天数设置在1至999天之间；如果将天数设置为0，则指定密码永不过期。如果密码最长使用期限在1至999天之间，那么“密码最短使用期限”（下面将介绍）必须小于密码最长使用期限。如果密码最长使用期限设置为0，则密码最短使用期限可以是1至998天之间的任何值。默认值：42。【技巧】使密码每隔30至90天过期一次是一种安全最佳操作，取决于您的环境。通过这种方式，攻击者只能够在有限的时间内破解用户密码并访问您的网络资源。第三步，密码最短使用期限。该安全策略设置确定用户可以更改密码之前必须使用该密码的时间（单位为天）。可以设置1到998天之间的某个值，或者通过将天数设置为0，允许立即更改密码。密码最短使用期限必须小于上面设置的“密码最长使用期限”，除非密码最长使用期限设置为0（表明密码永不过期）。如果密码最长使用期限设置为0，那么密码最短使用期限可设置为0到998天之间的任意值。如果希望上面设置的“强制密码历史”安全策略选项设置有效，请将密码最短有效期限配置为大于0。如果没有密码最短有效期限，则用户可以重复循环通过密码，直到获得喜欢的旧密码。默认设置不遵从这种推荐方法，因此管理员可以为用户指定密码，然后要求当用户登录时更改管理员定义的密码。如果将该密码的历史记录设置为0，则用户不必选择新密码。因此，默认情况下将密码历史记录设置为1。在域控制器上的默认值为1；而在独立服务器上为0。第四步，密码长度最小值。该安全设置确定用户帐户的密码可以包含的最少字符个数。可以设置为1到14个字符之间的某个值，或者通过将字符数设置为0，可设置不需要密码。在域控制器上的默认值为7；而在独立服务器上为0。第五步，用可还原的加密来存储密码。该安全设置确定操作系统是否使用可还原的加密来存储密码。如果应用程序使用了要求知道用户密码才能进行身份验证的协议，则该策略可对它提供支持。使用可还原的加密存储密码和存储明文版本密码本质上是相同的。因此，除非应用程序有比保护密码信息更重要的要求，否则不必启用该策略。当使用质询握手身份验证协议（CHAP）通过远程访问或Internet身份验证服务（IAS）进行身份验证时，该策略是必需的。在Internet信息服务（IIS）中使用摘要式验证时也要求该策略。系统默认值为禁用。上面介绍的是在本地计算机上配置以上密码安全策略选项的方法，下面继续介绍在其它两种情形中这些密码策略选项的配置方法。2. 在域环境中，并且您位于已加入到域中的成员服务器或工作站对于这种情形，用户的本地密码策略配置方法如下：第1步，执行开始运行菜单操作，在对话框的“打开”文本框中输入“mmc”命令，打开Microsoft管理控制台（MMC），如图所示。第2步，执行文件添加/删除管理单元菜单操作，打开如图所示对话框。在这个对话框中可以添加在控制台管理的管理单元。第3步，单击“添加”按钮，打开如下图所示对话框。在这个对话框中找到“组策略对象编辑器”选项，然后双击，或单击选择它后按“添加”按钮，打开如图所示对话框。在这个对话框中要求选择所添加的“组策略对象编辑器”所作用的对象。因此处介绍的是成员服务器或工作站（非本地计算机），所以需单击“浏览”按钮，在打开的对话框中选中“计算机”选项卡（对话框如下图所示）。在对话框中选择“另一计算机”单选项，然后直接在下面的文本框中输入或再次通过单击“浏览”按钮，打开对话框查找。第4步，输入或者选择好计算机名后，单击“确定”按钮即可返回到如上图所示对话框。单击“完成”按钮，如果所选择的成员服务器或工作站与当前服务器的网络连接正常的话，即可把它们指派到组策略对象编辑器中。第5步，单击对话框中的“关闭”按钮，返回到如图所示对话框。单击“确定”按钮返回到控制台界面，不过此时已是添加了“组策略对象编辑器”管理单元的控制台，如图所示。第6步，依次单击展开计算机配置Windows设置安全设置帐户策略密码策略选项，然后在右边详细信息窗口中选择相应的密码策略选项配置即可。配置方法也是在相应选项上单击右键，然后再选择“属性”选项，打开的对话框与前图一样，参照即可。3. 您位于域控制器，或已安装 Windows Server 2003 管理工具包的工作站对于这种情形，密码策略的配置方法如下：第1步，执行开始管理工具Active Directory用户和计算机菜单操作，打开如图所示的“Active Directory用户和计算机”管理工具界面。第2步，在控制台树中要设置组策略的域或组织单位上（本例以域为例）单击右键，然后选择“属性”选项，在打开的对话框中选择“组策略”选项卡，对话框如图所示。第3步，选择对话框“组策略对象链接”列表中的项目以选择现有的组策略对象（GPO），然后单击“编辑”按钮。也可单击“新建”按钮创建新的GPO，然后再单击“编辑”按钮，都可打开如图所示“组策略编辑器”界面。第4步，在控制台树中依次单击展开以下选项计算机配置Windows设置安全设置帐户策略密码策略，展开后“密码策略”选项界面如图所示。在其中也包括本文前面所介绍的各密码策略选项。配置的方法也同上，不再赘述。Win2003 Server帐户和本地策略配置（下） 帐户锁定策略用于域帐户或本地用户帐户，它们确定某个帐户被系统锁定的情况和时间长短。这部分包含以下三个方面：帐户锁定时间帐户锁定阈值复位帐户锁定计数器1. 帐户锁定时间该安全设置确定锁定的帐户在自动解锁前保持锁定状态的分钟数。有效范围从0到99,999分钟。如果将帐户锁定时间设置为0，那么在管理员明确将其解锁前，该帐户将被锁定。如果定义了帐户锁定阈值，则帐户锁定时间必须大于或等于重置时间。默认值：无。因为只有当指定了帐户锁定阈值时，该策略设置才有意义。2. 帐户锁定阈值该安全设置确定造成用户帐户被锁定的登录失败尝试的次数。无法使用锁定的帐户，除非管理员进行了重新设置或该帐户的锁定时间已过期。登录尝试失败的范围可设置为0至999之间。如果将此值设为0，则将无法锁定帐户。对于使用Ctrl+Alt+Delete组合键或带有密码保护的屏幕保护程序锁定的工作站或成员服务器计算机上，失败的密码尝试计入失败的登录尝试次数中。默认值：0。3.复位帐户锁定计数器该安全设置确定在登录尝试失败计数器被复位为0（即0次失败登录尝试）之前，尝试登录失败之后所需的分钟数。有效范围为1到99,999分钟之间。如果定义了帐户锁定阈值，则该复位时间必须小于或等于帐户锁定时间。默认值：无，因为只有当指定了“帐户锁定阈值”时，该策略设置才有意义。它们的配置也要因当前用户所在的网络环境而定。对于本地计算机用户帐户，在如图1所示界面中配置；对于域中的成员服务器或工作站则在如图8所示对话框中配置；而对于域控制器用户则在如图11所示界面中配置。配置方法也是通过双击，或单击选择某帐户锁定策略选项，然后再单击右键，选择“属性”选项，都可打开类似如图所示对话框，在其中进行配置即可。Kerberos V5身份验证协议是用于确认用户或主机身份的身份验证机制，也是Windows 2000和Windows Server 2003系统默认的身份验证服务。Internet协议安全性（IPSec）可以使用Kerberos协议进行身份验证。对于在安装过程中所有加入到Windows Server 2003或Windows 2000域的计算机都默认启用Kerberos V5身份验证协议。Kerberos可对域内的资源和驻留在受信任的域中的资源提供单一登录。可通过那些作为帐户策略一部分的Kerberos安全设置来控制Kerberos配置的某些方面。例如，可设置用户的Kerberos 5票证生存周期。作为管理员，可以使用默认的kerberos策略，也可以更改它以适应环境的需要。使用Kerberos V5进行成功的身份验证需要两个客户端系统都必须运行Windows 2000、Windows Server 2003家族或Windows XP Professional操作系统。如果客户端系统尝试向运行其他操作系统的服务器进行身份验证，则使用NTLM协议作为身份验证机制。NTLM身份验证协议是用来处理两台计算机（其中至少有一台计算机运行Windows NT 4.0或更早版本）之间事务的协议。使用Kerberos进行身份验证的计算机必须使其时间设置在5分钟内与常规时间服务同步，否则身份验证将失败。运行Windows Server 2003家族成员、Windows XP Professional或Windows 2000的计算机将自动更新当前时间，并将域控制器用作网络时间服务。Kerberos策略用于域用户帐户，确定与Kerberos相关的设置，例如票证的有效期限和强制执行。Kerberos策略不存在于本地计算机策略中。这部分包含以下几个方面：强制用户登录限制服务票证最长寿命用户票证最长寿命用户票证续订最长寿命计算机时钟同步的最大容差1. 强制用户登录限制本安全设置确定Kerberos V5密钥分发中心（KDC）是否要根据用户帐户的用户权限来验证每一个会话票证请求。验证每一个会话票证请求是可选的，因为额外的步骤需要花费时间，并可能降低服务的网络访问速度。默认值：已启用。2. 服务票证最长寿命该安全设置确定使用所授予的会话票证可访问特定服务的最长时间（以分钟为单位）。该设置必须大于10分钟并且小于或等于下面将要介绍的“用户票证最长寿命”选项中的设置。【说明】票证是用于安全原则的标识数据集，是为了进行用户身份验证而由域控制器发行的。Windows中的两种票证形式是票证授予式票证（TGT）和服务票证。票证授予式票证（TGT）是用户登录时，Kerberos密钥分发中心（KDC）颁发给用户的凭据。当服务要求会话票证时，用户必须向KDC递交TGT。因为TGT对于用户的登录会话活动通常是有效的，它有时称为“用户票证”。服务票证是由允许用户验证域中指定服务的KerberosV5票证授予服务（TGS）颁发的票证。如果客户端请求服务器连接时出示的会话票证已过期，服务器将返回错误消息。客户端必须从Kerberos V5密钥分发中心（KDC）请求新的会话票证。然而一旦连接通过了身份验证，该会话票证是否仍然有效就无关紧要了。会话票证仅用于验证和服务器的新建连接。如果用于验证连接的会话票证在连接时过期，则当前的操作不会中断。默认值：600分钟（10小时）。3. 用户票证最长寿命该安全设置确定用户票证授予票证（TGT）的最长使用时间（单位为小时）。用户TGT期满后，必须请求新的或“续订”现有的用户票证。默认值：10小时。4. 用户票证续订最长寿命该安全设置确定可以续订用户票证授予票证（TGT）的期限（以天为单位）。默认值：7天。5. 计算机时钟同步的最大容差本安全设置确定Kerberos V5所允许的客户端时钟和提供Kerberos身份验证的Windows Server 2003域控制器上的时间的最大差值（以分钟为单位）。为防止“轮番攻击”，Kerberos V5在其协议定义中使用了时间戳。为使时间戳正常工作，客户端和域控制器的时钟应尽可能的保持同步。换言之，应该将这两台计算机设置成相同的时间和日期。因为两台计算机的时钟常常不同步，所以管理员可使用该策略来设置Kerberos V5所能接受的客户端时钟和域控制器时钟间的最大差值。如果客户端时钟和域控制器时钟间的差值小于该策略中指定的最大时间差，那么在这两台计算机的会话中使用的任何时间戳都将被认为是可信的。默认值：5分钟。【注意】该设置并不是永久性的。如果配置该设置后重新启动计算机，那么该设置将被还原为默认值。以上各Kerberos策略安全选项的配置方法如下：第1步，在组策略界面中，依次单击展开下列选项计算机设置Windows设置安全设置用户策略Kerberos策略，在右边详细信息窗口中将列出当前所有的Kerberos策略选项，如图所示。第2步，在详细信息窗口中显示了各Kerberos策略安全选项的当前配置，如果要重新配置某选项，可直接双击，也可在相应选项上单击右键，然后选择“属性”选项，都可打开类似如图所示的配置对话框。在这个对话框中可以选择是否启用或者重新配置该安全选项的参数值。选择好后单击“确定”按钮即可生效。对 Kerberos 策略的任何修改都将影响域中的所有计算机。Windows Server 2003系统审核策略的配置方法也要根据以下四种具体的情形而选择不同的配置方法。1. 对于本地计算机在这个情况下，审核策略的配置也是在 “本地安全设置”界面中进行的，只是此时要选择“本地策略”下的“审核策略”选项，如图所示。双击详细信息窗格中要更改审核策略设置的事件类别，或在相应审核策略事件上单击右键，然后选择“属性”选项，都可打开如图所示对话框（本例选择的是“审核登录事件”选项）。执行以下一个或两个操作，然后单击“确定”按钮使配置生效。要审核成功的尝试，请选中“成功”复选项。要审核未成功的尝试，请选中“失败”复选项。2. 您在一台域控制器上或已安装了Windows Server 2003管理工具包的工作站上这种情形下审核策略的配置方法如下：第1步，执行开始管理工具域控制器安全策略菜单操作，打开如图所示的“域控制器安全策略”管理工具界面。第2步，在控制台树中，按Windows设置安全设置本地策略审核策略顺序依次单击，展开各选项，直到“审核策略”选项。第3步，双击详细信息窗格中要更改审核策略设置的事件类别，或者在相应事件上单击右键，然后选择“属性”选项，同样会打开如图5所示的对话框。配置方法与前一种情形“本地计算机”中介绍的方法一样，参照即可。3. 您是在一台域控制器上或已安装了“管理工具包”的工作站上在这种应用情形中，审核配置的配置方法是在“Active Directory用户和计算机”管理工具中打开组策略进行的。不同的此时选择的是“本地策略”下的“审核策略”选项，如图所示。审核策略的配置方法与前两种情形中介绍的一样，不再赘述。4. 对于域或组织单位，您是在一台成员服务器上或已加入域的工作站上在这种情形中，审核策略的配置方法是在控制台中通过添加“组策略对象编辑器”管理单元进行的，参见图所示。不同的也只是在此处展开选择的是计算机配置Windows设置安全设置帐户策略审核策略选项。配置方法与上面介绍的三种情形完全一样，不再赘述。对于Windows Server 2003系统中，它还有许多安全策略选项配置，如文件系统、注册表和系统服务的本地计算机安全、用户权利、特权和登录权利、防火墙策略、域安全策略等，在此不一一介绍了。安全设置Windows组策略 有效阻止黑客 在本篇技术指南中，将概要介绍你如何修改最重要的组策略安全设置。你可以在采用Windows XP、2000和Server 2003操作系统的本地计算机上使用这些方法，或者在Server 2003和2000中的OU域名级上使用这些方法。为了简明扼要和提供最新的信息，我准备介绍一下如何设置基于Windows Server 2003的域名。请记住，这些只是你在你的域名中能够设置的组策略对象中最有可能出现问题的。按照我的观点，这些设置可以保持或者破坏Windows的安全。而且由于设置的不同，你的进展也不同。因此，我鼓励你在使用每一个设置之前都进行深入的研究，以确保这些设置能够兼容你的网络。如果有可能的话，对这些设置进行试验(如果你很幸运有一个测试环境的话)。如果你没有进行测试，我建议你下载和安装微软的组策略管理控制台(GPMC)来做这些改变。这个程序能够把组策略管理任务集中到一个单一的界面让你更全面地查看你的域名。要开始这个编辑流程，你就上载GPMC，扩展你的域名，用鼠标右键点击“缺省域名策略”，然后选择“编辑”。这样就装载了组策略对象编辑器。如果你要以更快的速度或者“次企业级”的方式编辑你的域名组策略对象，你可以在“开始”菜单中运行“gpedit.msc”。1.确定一个缺省的口令策略，使你的机构设置位于“计算机配置/Windows设置/安全设置/账号策略/口令策略”之下。2.为了防止自动口令破解，在“计算机配置/Windows设置/安全设置/账号策略/账号关闭策略”中进行如下设置:账号关闭持续时间(确定至少5-10分钟)账号关闭极限(确定最多允许5至10次非法登录)随后重新启动关闭的账号(确定至少10-15分钟以后)3.在“计算机配置/Windows设置/安全设置/本地策略/检查策略”中启用如下功能:检查账号管理检查登录事件检查策略改变检查权限使用检查系统事件理想的情况是，你要启用记录成功和失败的登录。但是，这取决于你要保留什么类型的记录以及你是否能够管理这些记录。Roberta Bragg在这里介绍了一些普通的检查记录设置。要记住，启用每一种类型的记录都需要你的系统处理器和硬盘提供更多的资源。4.作为增强Windows安全的最佳做法和为攻击者设置更多的障碍以减少对Windows的攻击，你可以在“计算机配置/Windows设置/安全设置/本地策略/安全选项”中进行如下设置:账号:重新命名管理员账号-不是要求更有效而是增加一个安全层(确定一个新名字)账号:重新命名客户账号(确定一个新名字)交互式登录:不要显示最后一个用户的名字(设置为启用)交互式登录:不需要最后一个用户的名字(设置为关闭)交互式登录: 为企图登录的用户提供一个消息文本(确定为让用户阅读banner text(旗帜文本)，内容大致为“这是专用和受控的系统。如果你滥用本系统，你将受到制裁。-首先让你的律师运行这个程序)交互式登录: 为企图登录的用户提供的消息题目-在警告!后面写的东西网络接入:不允许SAM账号和共享目录(设置为“启用”)网络接入:将“允许每一个人申请匿名用户”设置为关闭网络安全:“不得存储局域网管理员关于下一个口令变化的散列值”设置为“启用”关机:“允许系统在没有登录的情况下关闭”设置为“关闭”关机:“清除虚拟内存的页面文件”设置为“启用”如果你没有Windows Server 2003域名控制器，你在这里可以找到有哪些Windows XP本地安全设置的细节，以及这里有哪些详细的Windows 2000 Server组策略的设置。要了解更多的有关Windows Server 2003组策略的信息，请查看微软的专门网页本地策略和公钥策略本地策略 倘若在Win98工作站中通过“网上邻居”窗口，来访问WinXP操作系统的话，你会发现WinXP工作站会拒绝你的共享请求，这是怎么回事呢？原来WinXP系统在默认状态下是不允许以guest方式登录系统的，那么是不是将WinXP系统下的guest帐号“激活”，就能让WinXP工作站被随意共享了呢？其实不然，除了要将guest帐号启用起来，还需要指定guest帐号可以通过网络访问WinXP工作站的共享资源；下面就是让 WinXP被随意共享的具体实现步骤： 首先在WinXP工作站中，依次单击“开始”/“程序”/“管理工具”/“计算机管理”命令，在弹出的计算机管理界面中，再逐步展开“系统工具”、“本地用户和组”、“用户”分支，在对应“用户”分支的右边子窗口中，再双击“guest”选项，在弹出的帐号属性设置界面中，取消“帐号已停用”选项，再单击“确定”按钮，“guest”帐号就能被重新启用了； 接着打开系统的组策略编辑窗口，再用鼠标逐步展开其中的“本地计算机策略”、“计算机配置”、“Windows设置”、“安全设置”、“本地策略”、“用户权利指派”分支，在弹出的图2界面中，双击右侧子窗口中的“拒绝从网络访问这台计算机”项目，在接着出现的界面中，将guest帐号选中并删除掉，然后再单击一下“确定”按钮，那么WinXP工作站中的共享资源就能被随意访问了。在Windows XP/2003中实现远程关机（Windows XP/2003）在Windows XP/2003中，新增了一条命令行工具“shutdown”，它可以关闭或重新启动本地或远程计算机。利用它，我们不但可以注销用户、关闭或重新启动计算机，还可以实现定时关机、远程关机。该命令的语法格式如下： shutdown -i |-l|-s |-r |-a-f-mComputerName-t xx-c message-dp:xx:yy该命令具体的使用参数和技巧请参考Windows的帮助系统，帮助系统里面有全面的资料。我们现在简单地看一下该命令的一些基本用法：1）注销当前用户shutdown - l该命令只能注销本机用户，对远程计算机不适用。2）关闭本地计算机shutdown - s3）重启本地计算机shutdown - r4）定时关机shutdown - s -t 30指定在30秒之后自动关闭计算机。5）中止计算机的关闭。有时我们设定了计算机定时关机后，如果出于某种原因又想取消这次关机操作，就可以用shutdown - a来中止。在该命令的格式中，有一个参数-m ComputerName，用它可以指定将要关闭或重启的计算机名称，若省略的话则默认为对本机操作。你可以用以下命令来试一下：shutdown -s -m Anyes-solon -t 30在30秒内关闭计算机名为Anyes-solon（Anyes-solon为局域网内一台同样装有Windows XP/2003）的电脑。该命令执行后，计算机Anyes-solon一点反应都没有，屏幕上却提示“Access is denied （拒绝访问）”。出现这种情况是因为Windows XP默认的安全策略中，只有管理员组的用户才有权从远端关闭计算机，而一般情况下我们从局域网内的其他电脑访问该计算机时，则只有guest用户权限，所以当我们执行上述命令时，便会出现“拒绝访问”的情况。而我们利用组策略即可赋予guest用户远程关机的权限。打开“组策略控制台计算机配置Windows 设置安全设置本地策略用户权利指派中的从远端系统强制关机”，在弹出的对话框中显示目前只有“Administrators”组的成员才有权从远程关机；单击对话框下方的“添加用户或组”按钮，然后在新弹出的对话框中输入“guest”，再单击“确定”按钮。通过上述操作后，我们便给计算机Anyes-solon的guest用户授予了远程关机的权限。以后，倘若你要远程关闭计算机Anyes-solon，只要在网络中其他装有Windows XP/2003的计算机中输入以下命令shutdown -s -m Anyes-solon -t 60即可。这时，在Anyes-solon计算机的屏幕上将显示一个“系统关机”的对话框，在对话框下方还有一个计时器，显示离关机还有多少时间。在等待关机的时间里，用户还可以执行其他的任务，如关闭程序、打开文件等，但无法关闭该对话框，除非你用shutdown -a命令来中止关机任务.公钥策略 加密文件系统 (EFS) 是 Windows2000WindowsXP Professional 和 Windows Server 2003 的 NTFS 文件系统的一个组件。（Windows XP Home 不包含 EFS。）EFS 采用高级的标准加密算法实现透明的文件加密和解密。任何不拥有合适密钥的个人或者程序都不能读取加密数据。即便是物理拥有驻留加密文件的计算机，加密文件仍然受到保护。甚至是有权访问计算机及其文件系统的用户，也无法读取这些数据。还应该采取其他防御策略，加密这种解决方法不是解决每种威胁的恰当对策，加密只是其他防御策略之外的又一种有力措施。EFS 是 Windows 文件系统的内置文件加密工具。讨论：EFS加密文件夹无法打开怎么办 EFS（Encrypting File System，加密文件系统）是从Windows 2000开始就提出的一种基于NTFS文件系统的核心文件加密技术，主要是用于保护本地数据。在使用EFS加密文件的同时，也产生了诸多麻烦，比如重装系统后无法打开EFS加密过的文件夹等等，那么我们该如何解密?现在让我们先来看看大家的讨论。备份及导入密钥来解密为了防止在重装系统后无法打开加密文件夹，我们可以通过下面的方法来备份及导入密钥：点击“开始运行”，输入“certmgr.msc”，回车后打开证书管理器。展开“证书/个人/证书”，右键单击在右侧窗口中以用户名为名称的证书，在“所有任务”中选择“导出”打开证书导出向导。单击“下一步”之后选择“是，导出私钥”，单击“下一步”，选择默认导出文件格式，再单击“下一步”，输入保护密码和确认密码，单击“下一步”后指定文件名，最后单击“完成”即可。这样在重装系统之后，右键单击导出的私钥文件，选择“安装PFX”之后就可以一步一步导入私钥。导入完成后，就可以顺利地打开EFS加密的文件夹。软件的方法不可靠在没有备份密钥的情况下，要对EFS解密几乎是不可能的，虽然网上流行很多种方法，但是可行性微乎其微，劝大家放弃。因为某些EFS使用的是公钥证书对文件加密，而且在Windows 2000/XP中，每一个用户都使用了惟一的SID（安全标志）。第一次加密文件夹时，系统会根据加密者的SID生成该用户的密钥，并且会将公钥和密钥分开保存。如果在重装系统之前没有对当前的密钥进行备份，那就意味着无论如何都不可能生成此前的用户密钥，而解密文件不仅需要公钥，还需要密码，所以也就根本不能打开此前EFS加密过的文件夹。编者按：通过各位大虾的谈论，至少应该得出这样一个结论，在进行EFS加密后一定要进行证书备份。否则遇到特殊情况，那被加密过的文件夹就无法打开了。Windows 系统EFS加密出了问题怎么办？什么是EFS从Windows 2000开始，微软对NTFS文件系统进行了升级，将在Windows NT中使用的4.0升级为5.0，其最大的特点就是安全特性更加强大，特别是增加了加密文件系统EFS，用来在使用NTFS文件系统的卷上直接加密数据，能让用户在系统上使用公钥加密去保护私有的数据。你可以为某个隐私的文件或文件夹加密，以防止他人使用。没有正确权限的人即使能访问到硬盘，若试图操作加密的文件或文件夹，则会收到一条“拒绝访问”错误消息。另外，用户验证过程是在登录Windows时进行的，这就保证了EFS加密系统对计算机用户来说是透明的。通俗地说，只要具有权限的账户登录到Windows，就可以像打开任何一个普通文件一样使用自己加密的文件，而不像通常的加密软件会弹出一个对话框，让你输入密码，这就大大方便了使用者。用ESF加密文件当你使用了Windows 2000/XP/2003系统（注意Windows XP家庭版不支持EFS加密文件系统），且格式化磁盘为NTFS文件系统，你就具有了应用EFS的条件。要使用EFS加密，只须打开资源管理器，在需要加密的文件（夹）上点鼠标右键，选“属性”，在“属性” 对话框中点“高级”打开“高级属性”对话框，勾选“加密内容以便保护数据”（取消该选项前的钩即可解密文件）。“确定”后点击“应用”，如果加密的是文件夹，则会弹出图2所示对话框，你可以根据需要选择是仅加密此文件夹还是将此文件夹下的子文件夹和文件也一起最后点击“确定”后，在默认情况下，一般你会发现文件（夹）在资源管理器中显示的颜色变为彩色，表示已经被加密（或压缩）了。提示：你也可以不使文件（夹）变色，在资源管理器中，点“工具文件夹选项查看”，将“用彩色显示加密或压缩的NTFS文件”取消即可。EFS加密解密技巧在实际应用中，我们还可以通过各种技巧来完成EFS加密的相关操作。1.添加“加密”右键菜单如果觉得上述加密方法还是太烦琐，可以在“运行”中输入“regedit”，打开注册表编辑器，找到HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced，在右边窗口中点击鼠标右键，选择“新建Dword值”，取键名为“EncryptionContextMenu”，并设置键值为“1”。退出注册表编辑器，打开资源管理器，任意选中一个NTFS分区上的文件（夹），点鼠标右键，菜单中多出了一个“加（解）密”的选项。你可以直接点击此菜单，即可完成加密解密操作。2.禁止加密某个文件夹如果你想设置禁止加密某个文件夹，可以在这个文件夹中创建一个名为“Desktop.ini”的文件，然后用记事本编辑内容为：EncryptionDisable=1但是这个方法不能禁止已加密文件夹的文件以及子文件夹。3.彻底禁止EFS加密要在机器上彻底禁用EFS加密，可以通过修改注册表实现。点击“开始运行”，输入“Regedit”回车，打开注册表编辑器，找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionEFS，在“编辑”菜单上点击“新建Dword值”，输入“EfsConfiguration”作为键名，并设置键值为“1”，这样本机的EFS加密就被禁用了。如果想重新使用EFS加密时，只要把键值改为“0”即可。备份加密证书重新安装系统后要打开加密文件的解决办法EFS加密原理让我们来简单了解一下EFS是如何工作的。在EFS中，数据靠FEK（文件加密钥匙）加密，而FEK跟用户的公钥一起加密保存；解密的时候顺序刚好相反，首先用私钥解密出FEK，然后用FEK解密数据。简言之，系统是靠你的公钥/私钥（统称密钥）来加解密的。那么密钥从何而来呢?密钥是通过用户的SID产生的。在Windows 2000/XP中，每一个用户都有一个SID（安全标示符），首次使用EFS时，系统会根据SID首先生成密钥。SID都是惟一的，如同人的指纹，因而用户的密钥也绝不会相同，这就保证了EFS加密的可靠。目前，据官方消息说EFS还未证实被破解过。需要注意的是，如果重新安装了系统，就会产生一个新的SID，即使你安装系统的时候采用的是原来的用户名和密码，也无法直接打开原来被加密的文件（夹）了，很多朋友经常由于忽略了这一点而导致数据损失。备份密钥既然EFS采用加密密钥来进行加解密，那么只要加密密钥存在，我们就能恢复数据。因此，将密钥备份下来以作不时之需是最好的办法。点击“开始运行”，在“运行”对话框中输入“certmgr.msc”打开证书管理器，打开“证书当前用户”下的“个人证书”，只要你做过加密操作，右边窗口就会有与用户名同名的（如果有多份证书，选“预期目的”为“加密文件系统”）证书。选中证书后点鼠标右键，选“所有任务导出”，在弹出的“证书导出向导”中，选择“导出私钥”，并按照向导的要求输入密码来保护导出的私钥，最后存储为一个PFX后缀的文件。当加密文件的账户出现问题或重新安装了系统后需要访问或解密以前加密的文件时，只要使用鼠标右键单击备份的证书，选择“安装PFX”，系统将弹出“证书导入向导”，键入当初导出证书时输入用于保护备份证书的密码，然后选择让向导“根据证书类型，自动选择证书存储区”即可。完成后就可以访问以前的加密文件了。提示：需要注意的是，任何其他用户只要获得了你备份的证书，都可以对你的加密文件进行解密，因此一定要确保备份证书的安全性。小知识1.把未加密的文件复制到已经加密的文件夹中，这些文件会被自动加密。2.若是将加密文件移动到NTFS分区上，数据会保留加密属性；如果移动到FAT（FAT32）区上，这些数据将会被自动解密。另外，NTFS分区上保存的文件不能同时被压缩和加密。3.Windows的系统文件和系统文件夹不能被加密。用恢复代理解密文件删除用户后打开加密文件的解决办法EFS加密是安全可靠的，那么，一旦用户账户被删除，就像开头提到的那位，重新创建一个相同的用户可以打开吗?答案当然是否定的，重新创建的用户虽然与以前用户同名，但是系统却不会分配相同的SID（记住，不可能存在相同SID！除非是克隆系统），因此密钥也不同，加密的文件自然就无法打开了。当然，这种情况也不是完全没有解决的办法，因为用EFS加密过的文件，除了加密者本人之外还有“恢复代理”可以打开。恢复代理是一种特殊的用户，作用是解开用EFS加密的文件。对于Windows 2000来说，在单机和工作组环境下，默认的恢复代理是 Administrator ；Windows XP在单机和工作组环境下没有默认的恢复代理。而在域环境中就完全不同了，所有加入域的Windows 2000/XP计算机，默认的恢复代理全部是域管理员。所以我说那位网友是幸运的，因为他用的是Windows 2000，可以用Administrator这个用户登录系统，然后就能直接打开或者解密文件。大量使用Windows XP的朋友就没有那么幸运了，由于没有默认的恢复代理，事先又没有设置恢复代理，一旦用户被删除，你面临的将是数据的丢失。因此如果你使用的是Windows XP用户，请事先设置恢复代理。设置Windows XP恢复代理1.首先确定用哪个用户作为恢复代理，可以设置任何用户，比如你想让USER成为恢复代理，就用USER账户登录系统（一般建议使用Administrator作为恢复代理）。2.在“运行”中输入“cipher /rc：test”（test可以是任何其它名字），回车后系统会提示询问是否用密码把证书保护起来，你可以自己设置一个密码，也可不需要密码保护就直接按回车。完成后我们在C盘的根目录下可以发现test.cer和test.pfx两个文件（在资源管理器中点“工具文件夹选项查看”，取消“隐藏已知文件类型的扩展名”才能看到文件后缀名）。3.先使用鼠标右键单击PFX文件，选择“安装PFX”，将弹出“证书导入向导”，如果提示输入密码，就输入步骤2中设置的密码，选中“标示此私钥为可导出的”，下一步选择“根据证书类型，自动选择证书存储区”导入证书。4.在“运行”中输入“gpedit.msc”并回车，打开组策略编辑器。在“计算机配置Windows设置安全设置公钥策略正在加密文件系统”下，点击鼠标右键，并选择“添加数据恢复代理”，按“添加故障恢复代理向导”打开test.cer，完成后即成功将USER用户设置为指定恢复代理现在，登录USER用户，就可以解密所有在指定恢复代理后被加密的文件（夹）了。注意，在设置恢复代理前已经加密的文件是不能解密的，所以必须未雨绸缪，事先设置恢复代理。EFS加密疑难解答1.重装系统后默认的恢复代理是否能恢复以前的加密数据?不能，假设Administrator用户是默认恢复代理，重装系统后，这个Administrator的SID已经发生了变化，所以不能作为以前用户的恢复代理了，只有将备份的证书导入才能打开文件。2.被EFS加密过的数据是否绝对安全?不是，安全永远是相对的。EFS加密过的文件，如果不是用户本人或恢复代理，虽然无法打开加密文件，但是仍然可以删除，所以对于重要文件，最佳的做法是NTFS权限和EFS加密配合使用。只有同时具有NTFS权限以及密钥，才能操作文件。3.我用的是Windows 2000系统，在局域网中且加入了域，我用Administrator为何不能解密文件?由于加入域中，默认的恢复代理是域管理员，而不是本地管理员了，所以必须以管理员身份登录域，才能解密。4.用Ghost备份了系统，恢复系统后可以打开以前的加密文件吗?这要看