通過組策略配置Windows電腦是企業中最常見的一項任務。使用組策略設置和配置安全設置是Windows計算機的一大優勢。是的，現在很多操作系統都有不相上下的管理機制，但組策略從1998年10月發布的Windows NT 4.0 Service Pack 4中就存在了。

Roger A. Grimes自1990年就開始從事Windows計算機安全工作，十幾年的企業工作經驗令他熟悉和掌握了大量的組策略。單就系統來說，在Windows 8.1和Windows Server 2012 R2中就大約有3700多個設置。在海量設置中，Roger A. Grimes總結出了10個安全基礎組策略設置。

Top 10 Windows組策略設置

只要保證這10個Windows組策略設置正確，你的Windows環境會在很長一段時間內保持更加安全的狀態。這些組策略都在計算機配置\Windows設置\安全設置下。

重命名本地管理員帳戶：提高管理員帳戶的安全性，就會大大降低被侵的風險。

禁用來賓帳戶：最糟糕的事情就是使用該帳戶。因為它會允許任何人訪問Windows電腦，并且沒有密碼!

禁用LM和NTLM v1：LM(LAN Manager)和NTLMv1認證協議存在漏洞。使用NTLMv2和Kerberos。默認情況下，大多數Windows系統都會支持這四個協議。除非你有非常古老、沒有打補丁的系統(超過10年吧)。

禁用LM哈希存儲：LM哈希密碼很容易轉換為明文密碼。不要將它們存儲在Windows磁盤上，黑客會利用哈希轉儲工具找到它們。

密碼最小長度：你的最小密碼應該是12個字符或更多。如果你的密碼只有8個字符(最常見的大小)，出了問題可別抱怨。Windows密碼只有到達12個字符長度的時候才有一定的安全性。

密碼最長期限：大多數密碼的使用時間不應超過90天。但如果你用的是15個字符(或更長)，一年基本上是沒問題的。多個公開和私人研究已經證明，12個字符或更長的密碼是相對安全的，因為密碼破解的時間更長。

事件日志：小心你的事件日志。大多數的計算機受害者已經注意到黑客入侵前已經查看了他們的日志。

禁用匿名SID：SID(安全標識符)是分配給Windows或活動目錄中的每個用戶、組和其他安全對象的數字。在早期的操作系統版本中，匿名用戶可以查詢這些數據來識別重要用戶(如管理員)和組，當然黑客很喜歡利用這一點。

所有組中不要存在匿名賬戶：這兩個設置如果不正確，會讓匿名黑客訪問更多的系統內容。

啟用用戶帳戶控制(UAC)：最后，因為Windows Vista，UAC成了人們瀏覽網頁時的頭號保護工具。微軟的免費應用程序兼容性故障排除工具可以解決很多問題。

好消息：所有的這些設置在Windows Vista/Server 2008(之后版本)中都是正確的默認狀態。

在你開始關心組策略設置之前，有一些更重要的事情要做，比如完善的修補和防止用戶安裝木馬程序。