Gamitin ang secpol.msc upang palakasin ang iyong seguridad sa Windows: isang praktikal na gabay at mahahalagang pag-aayos

Huling pag-update: Oktubre 23, 2025
May-akda: 2c0bi
  • Ang secpol.msc ay nagpapatupad ng mga panuntunan sa password at lockout na nagpapahusay ng lokal na proteksyon.
  • I-configure ang pagiging kumplikado, haba, kasaysayan, at mga petsa ng pag-expire; maiwasan ang reversible encryption.
  • Ang mga nabigong lockout ay pumipigil sa mga malupit na pag-atake; pagsamahin sa 2FA at GPO.

Lokal na Patakaran sa Seguridad sa Windows

Itinatago ng Windows ang napakalakas na mga tool na, kapag ginamit nang tama, makabuluhang nagpapataas ng proteksyon ng system; sa kanila, Lokal na Direktiba sa Seguridad naa-access sa secpol.msc Namumukod-tangi ito sa kakayahang magpataw ng malinaw na mga panuntunan sa mga password, account at pag-audit.

Kung naghahanap ka upang makontrol kung sino ang magla-log in, kung paano nagagawa ang mga password, at kung ano ang mangyayari pagkatapos ng ilang mga nabigong pagtatangka, ang console na ito ay nagbibigay sa iyo ng kontrol; plus, nagbibigay-daan sa iyo na patigasin ang seguridad nang hindi nag-i-install ng kahit ano (halimbawa, i-lock ang Windows upang mapataas ang seguridad) at may mga agarang pagbabago sa mismong koponan.

Ano ang Patakaran sa Lokal na Seguridad (secpol.msc)

Ang Local Security Policy —tinatawag ding LSP o Local Security Policy—ay isang MMC console kung saan maaari mong tukuyin Mga patakaran sa password, lockout ng account, pagtatalaga ng mga karapatan ng user, at mga opsyon sa seguridad; lokal ang saklaw nito, maliban kung ang computer ay kabilang sa isang domain at tumatanggap ng mga GPO na nananaig.

Hindi tulad ng Group Policy Editor (gpedit.msc), nakatutok ang secpol.msc sa mga setting ng seguridad, kaya Ito ang pinakadirektang paraan upang ayusin ang mga kritikal na hakbang gaya ng pinakamababang kumplikado o pagharang ng threshold para sa mga nabigong pagtatangka.

Paano buksan ang secpol.msc sa Windows

Mayroong ilang mga paraan upang ilunsad ang console; piliin ang isa na pinaka komportable para sa iyo at tandaan iyon Ito ay isang tool na isinama sa Pro, Education at Enterprise edition.

  • Simulan ang Paghahanap sa Menu: i-type ang Security Policy o secpol.msc at buksan ang kaukulang resulta para sa direktang pag-access.
  • Patakbuhin ang kahon (Win + R): pindutin ang Win + R, i-type secpol.msc at kumpirmahin gamit ang Enter para buksan kaagad ang console.
  • Control panel: buksan ang Control Panel, lumipat sa Malaking mga icon at pumapasok Mga Tool sa Windows > Patakaran sa Lokal na Seguridad upang i-load ito sa klasikong paraan.
  • Sa pamamagitan ng gpedit.msc: Kung mas gusto mo ang editor ng patakaran, pumunta sa Configuration ng Computer > Mga Setting ng Windows > Mga Setting ng Seguridad > Mga Patakaran sa Account, kung saan makikita ang parehong mga pangunahing kategorya.

Mahalaga: Kung hindi ito bumukas o nakakita ka ng error, malamang na gumagamit ka Windows Home, na hindi kasama ang secpol.msc; para kumpirmahin, pindutin ang Win + R, i-type winver at suriin ang edisyon na ipinapakita sa window.

Mga Patakaran sa Account: Mga Password at Lockout

Sa loob ng Mga Patakaran ng Account ay makakahanap ka ng dalawang mapagpasyang bloke; kapwa may pananagutan tiyak na itaas ang antas ng seguridad laban sa mga malupit na pag-atake at mahinang password.

Mga Patakaran sa Password

Buksan Mga Patakaran sa Account > Patakaran sa Password upang i-configure kung ano dapat ang mga password at kung gaano kadalas dapat i-renew ang mga ito; dito mo markahan ang pulang linya na Hindi makaka-cross ang mga user.

  • Dapat matugunan ng password ang mga kinakailangan sa pagiging kumplikado: Pinipilit ka nitong gumamit ng mga kumbinasyon na may uppercase, lowercase, mga numero, at mga espesyal na character, at iniiwasan ang pagkakatulad sa pangalan ng account; ang kahon na ito ay ang haligi na pinaka nagpapalubha sa mga awtomatikong pag-atake.
  • Nangangailangan ng kasaysayan ng password: pinipigilan ang muling paggamit ng huling N password; tukuyin, halimbawa, 20 mga entry upang Walang nagre-recycle ng lumang susi na maaaring tumagas.
  • Minimum na haba ng password: itinaas ang pinakamababang bilang ng mga character; kahit na ang aktibong kumplikado ay nagtatakda ng 6 bilang batayan, maghangad ng 10-12 o higit pa upang matiyak ang tunay na katatagan.
  • Pinakamataas na bisa ng password: Tinutukoy kung ilang araw mag-e-expire ang isang susi (42 bilang default) upang pilitin ang pagbabago nito sa pana-panahon; i-renew ito binabawasan ang window ng pagkakalantad sa kaso ng mga tagas.
  • Minimum na edad ng password: iwasan ang maraming nakakadena na pagbabago na sumusubok na iwasan ang kasaysayan; kung naghahanap ka ng flexibility, maaari mong panatilihin 0 araw upang hindi makahadlang sa mga lehitimong pagsasaayos.
  • Mag-imbak ng mga password na may reversible encryption: Huwag i-activate ito maliban kung mahigpit na kinakailangang compatibility, dahil katumbas ng halos simpleng imbakan ng teksto at nagpapahina sa sistema.

Direktiba sa Lockout ng Account

En Mga Patakaran sa Account > Patakaran sa Lockout ng Account Tinutukoy mo kung paano tumutugon ang system kapag may mga nabigong pagtatangka; maayos na na-configure, nip brute force attacks sa simula.

  • Threshold ng lock ng account: Bilang ng mga nabigong pagtatangka na pinapayagan bago i-block; magtakda ng maingat na halaga upang balansehin ang seguridad at kakayahang magamit.
  • Tagal ng lock ng account: Ang tagal ng oras na nananatiling naka-lock ang account; na may 0, isang administrator lamang ang makakapag-unlock nito, na ay mas mahigpit.
  • I-reset ang lock ng account pagkatapos: window ng oras upang i-reset ang counter ng pagkabigo; ayusin ang panahong ito upang maiwasan mga pagtatangka na ibinahagi sa paglipas ng panahon.

Bakit palakasin ang mga password gamit ang mga patakaran

Ang mga mahihinang password ay nananatiling paboritong entry point para sa mga umaatake; na may mahusay na tinukoy na mga patakaran, pinipigilan ka ng system na tumanggap ng mga mapanganib na password at nagpapaalala sa iyo kung kailan dapat baguhin ang mga ito.

Kalamangan

  • Kumplikado at haba: sa pamamagitan ng hinihingi na pagkakaiba-iba ng karakter at pinakamababang laki, maiikling walang kuwentang kumbinasyon at tumigil ka sa brute force.
  • Record: Iniiwasan mo ang paulit-ulit na mga password at kanselahin ang epekto na "bumalik sa parehong lumang password", na pinapagaan ang mga panganib pagkatapos ng pagtagas.
  • Mga kandado: Gamit ang mga threshold at timer, binabawasan mo ang mga pagtatangka sa paghula ng maramihang password sa wala.
  • Pag-renew at mga abiso: Paikot-ikot mong nire-refresh ang mga key at maaari mong i-configure ang mga pre-expire na notification sa huwag mahuli ang iyong mga daliri.
  • Ligtas na Imbakan: Ang mga password ay ginagamot ng naaangkop na mga mekanismo ng pag-encrypt, na binabawasan ang panloob na pagkakalantad.

Mga kawalan at pagsasaalang-alang

  • Pinaghihinalaang pagiging kumplikado: Kung ang mga patakaran ay masyadong mahigpit, ang ilang mga gumagamit ay nadidismaya at nagtatapos sa paglikha ng mga predictable pattern (hal., pagdaragdag ng “!” sa dulo).
  • Pagkalimot at suporta: Ang mga madalas na pagbabago ay nagpapataas ng mga pag-crash at mga support ticket, isang bagay na dapat maging operational planned.
  • Kakayahan: Ang ilang mas lumang software ay hindi tumatanggap ng mga kumplikadong password, kaya ito ay ipinapayong patunayan ang mga legacy na aplikasyon.
  • Sobrang kumpiyansa: Ang pagkakaroon ng mga patakaran ay hindi "kabuuang seguridad"; walang edukasyon at 2FA, may mga butas pa rin.

Sa mga tuntunin ng panganib, ang mga alphanumeric-only na password ay maaaring ma-crack sa ilang segundo gamit ang mga modernong GPU; pagtaas ng haba at pagkakaiba-iba, Papaganahin mo ang mga kumbinasyon hanggang sa maging unviable ang brute force. sa loob ng makatwirang panahon.

Sa mga kapaligirang may napakataas na pangangailangan, ang pagiging kumplikado ay maaaring palawigin ng a Custom na Passfilt.dll upang harangan ang mga partikular na pattern o suriin ang mga diksyunaryo; mag-ingat, mas mahigpit ang panuntunan, mas malamang na iyon dagdagan ang pagkarga ng suporta.

Ano dapat ang magandang password

Ang isang malakas na susi ay dapat na natatangi bawat serbisyo upang maiwasan ang mga epekto ng domino: kung magnakaw sila ng isa, hindi nila ito matagumpay na masusubok sa iba.

Iwasan ang personal na data at mga salita sa diksyunaryo; ito ay higit na mabuti na ito ay random at may halo ng uppercase, lowercase, mga numero at mga simbolo, nang walang malinaw na mga pattern.

Mahalaga ang haba: ang bawat karagdagang karakter ay nagpaparami ng mga kumbinasyon; nilalayon nitong 12 o higit pang mga character kung maaari, nang hindi isinakripisyo ang kakayahang pamahalaan.

I-configure ang mga patakaran sa password nang hakbang-hakbang

Pag-access sa secpol.msc > Mga Patakaran sa Account > Patakaran sa Password at i-edit ang bawat parameter ayon sa iyong mga layunin sa seguridad.

  • I-activate ang pagiging kumplikado: I-enable ang "Dapat matugunan ng mga password ang mga kinakailangan sa pagiging kumplikado" upang mangailangan ng iba't ibang uri ng character at maiwasan ang pagkakatulad ng pangalan.
  • Itaas ang pinakamababang haba: mula 6 hanggang 10-12 bilang batayan, at kung ang pagiging kritikal ay nagbibigay-katwiran dito, tumataas pa lalo.
  • I-set up ang kasaysayan: maglagay ng value na tulad ng 20 para walang makakaya ulitin ang mga kamakailang password.
  • Ayusin ang mga petsa ng pag-expire: Tumukoy ng maximum na bisa (hal., 30-60 araw), at kung gusto mong maiwasan ang "paglukso" ng password upang iwasan ang kasaysayan, magtakda ng makatwirang minimum.
  • Huwag paganahin ang reversible encryption: Panatilihing naka-disable ang opsyong ito maliban kung hindi maiiwasan ang pagiging tugma sa mga mas lumang protocol.

Kung mas gusto mo ang Group Policy Editor, pumunta sa gpedit.msc > Computer Configuration > Windows Settings > Security Settings > Account Policy > Password Policy at ilapat ang parehong mga pagbabago; sa domain, ang panuntunan ng domain controller GPOs.

I-verify na gumagana ang iyong configuration

Pumunta sa Start > Settings > Accounts > Sign-in options at gumawa ng password na iyon ay hindi sumusunod sa iyong mga patakaran (halimbawa, 12345); Magpapakita ang Windows ng babala na nagsasaad na tinanggihan ang patakaran.

Ito ang pinakamahusay na pagsubok sa usok: kung pinipigilan ng system ang mahihinang password, ang iyong mga patakaran ay inilapat nang tama at ang mga gumagamit ay kailangang mag-adjust sa kanila.

Baguhin ang iyong password sa Windows 10 at Windows 11

Sa Windows 10, pumunta sa Start > Settings > Accounts > Sign-in options, piliin Password > Baguhin at kumpletuhin ang pag-verify ng account upang tukuyin ang bagong password.

Sa Windows 11, magkapareho ang landas: Start > Settings > Accounts > Sign-in options at pagkatapos Password > Baguhin; Kung gumagamit ka ng PIN, maaari mo rin itong i-update mula sa parehong screen.

Tinitiyak ng pag-renew ng iyong kredensyal na may wastong patakaran na ang iyong bagong password matugunan ang haba, kumplikado at kasaysayan, pagpapalakas ng lokal na pag-access.

Pantulong na seguridad: lampas sa password

Ang pangalawang layer ay gumagawa ng pagkakaiba: aktibo two-factor authentication (2FA/MFA) sa tuwing magagawa mo (kahaliling email, SMS, o mga app tulad ng Authenticator), lalo na para sa mga online na account.

Sa mga sensitibong sitwasyon, gamitin mga digital na sertipiko (mga card o FNMT) upang mag-sign access at magtalaga ng responsibilidad ay nagdaragdag ng traceability at itinaas ang security bar.

Para sa matinding pangangailangan, ang password ay i-filter sa pamamagitan ng Custom na Passfilt.dll nagbibigay-daan sa iyong tanggihan ang mga partikular na key o pattern at magsagawa ng mga pagsusuri sa diksyunaryo, kasama ang nauugnay na gastos sa pagpapatakbo.

Mga karagdagang patakaran sa gpedit na nagpapalakas sa Windows

Higit pa sa mga password, nag-aalok ang gpedit.msc ng mga tweak na nagpapalakas ng kontrol at seguridad. mga setting ng seguridad; mahusay na ginamit, umakma sa depensang ipinataw ng secpol.msc.

  • Limitahan ang Control Panel/Mga Setting: Pinipigilan ang mga hindi gustong pagbabago sa ibinahaging kagamitan o kagamitan sa paaralan.
  • Pigilan ang command prompt: Bina-block ang CMD at .bat/.cmd execution para mabawasan ang attack surface.
  • Huwag paganahin ang Windows Installer: Nililimitahan ang mga hindi awtorisadong pag-install ng Win32, na naglalaman ng malware at bloatware.
  • Iwasan ang sapilitang pag-restart dahil sa Windows Update: ipinagpaliban ang pag-restart habang naka-log in, pagbibigay ng kontrol sa gumagamit.
  • I-block ang awtomatikong pag-update ng driver: inaayos ang mga partikular na driver kapag nabigo ang generic na bersyon.
  • Huwag paganahin ang mga naaalis na drive: maikling basahin/sulat sa naaalis na media, isang klasikong vector ng impeksyon.
  • Itago ang mga notification: Bawasan ang mga distractions at i-customize ang taskbar batay sa paggamit.
  • Pigilan ang OneDrive: kapaki-pakinabang kung gumagamit ang organisasyon ng ibang cloud provider o gusto bawasan ang pagkakalantad.
  • Tanggalin Windows defender (kung gumagamit ng ibang suite): iniiwasan ang mga salungatan kapag may panlabas na solusyon sa seguridad.
  • Mga script sa startup/shutdown: ino-automate ang mga gawaing pang-administratibo sa pagsisimula, pagsara, at pag-login/pag-logoff.

Mga kapaligiran ng kumpanya: AD, GPO, at mga third-party na application

Sa domain, ang mga patakaran ay pinamamahalaan mula sa Domain Controller na may GPMC o sa pamamagitan ng MDM, at sila ay nangunguna sa mga lokal na setting; malinaw na idokumento ang pagkakasunud-sunod ng pangunguna.

Kung isinasama mo ang mga panlabas na application (hal. Citrix), maaaring mayroon pagpapatunay laban sa Active Directory na may mga user na makikita sa app; suriin na walang mga salungatan sa pagitan ng sariling patakaran ng application at ang isa na minana mula sa AD.

Kapag may mga imbalances, minsan sapat na i-update ang profile o reprovision accessBagama't bihira ang pagkabigo ng system, ang kadahilanan ng tao ay madalas na nagpapaliwanag ng pagkalito sa pagitan ng mga layer ng pagpapatunay.

Magandang kagawian para sa "neutral" at magagamit na mga patakaran

Ang pagdidisenyo ng hinihingi ngunit makakamit na mga pamantayan ay susi: isang imposibleng patakaran tumutulak patungo sa hindi ligtas na mga shortcut at puspos ng suporta.

  • Makatwirang haba at pagiging kumplikado: Humingi ng iba't-ibang, ngunit iwasan ang pabagu-bagong mga kinakailangan na hindi nagbibigay ng tunay na seguridad.
  • Ipagbawal ang personal na data: I-block out ang mga pangalan, petsa, at predictable pattern para sa itaas ang bar.
  • Mga balanseng panahon ng pagbabago: tukuyin ang mga expiration date na hindi naghihikayat ng maliliit na variation (hal. “Q1”, “Q2”…).
  • Pagsasanay at mga paalala: ginagabayan ang mga gumagamit ng mga halimbawa at mga abiso sa pag-expire upang mabawasan ang mga insidente.
  • 2FA bilang isang safety net: pinagsasama ang isang malakas na password sa isang pangalawang kadahilanan upang palakasin ang pag-access.
  • Accessibility: Isinasaalang-alang nito ang mga espesyal na pangangailangan at teknikal na limitasyon upang iyon ang pulitika ay gumagana para sa lahat.

Kapag pinamamahalaan ang mga panuntunang ito, umasa sa GPO (domain) o mga lokal na patakaran (mga indibidwal na computer) at sinasamahan ng edukasyon sa mabuting kagawian: mga natatanging password, pangunahing tagapamahala, at walang pagbabahagi ng kredensyal.

Sa secpol.msc nasasaklawan mo ang mga base: malalakas na password, matinong expiration, at lockout kapag nabigo. Kung ihanay mo rin ang gpedit.msc upang limitahan ang ibabaw ng pag-atake at gamitin ang 2FA/AD kung saan naaangkop, Ang Windows ay kapansin-pansing mas nakabaluti laban sa mga pagkakamali ng tao at mga awtomatikong pag-atake.

Kaugnay na artikulo:
Mga Kapaki-pakinabang na Tip upang Pahusayin ang Seguridad ng Windows