Windows 密码管控问答

■江苏 孙秀洪

为了快速登录Windows 7系统，很多人将系统指定成自动登录方式，不过时间一长，登录密码很容易被忘掉。请问在忘记系统密码的情况下，怎样快速进行密码重置？

答、首先以管理员权限登录系统，右击“计算机”图标，点选右键菜单中的“管理”命令，弹出计算机管理窗口，逐一展开“系统工具”、“本地用户和组”、“用户”选项，选中需要重置密码的用户账号，同时用鼠标右键单击该账号，点选“设置密码”命令即可。

在网上银行交易或登录论坛博客时，IE 浏览器常常会自动记录下用户输入的账号名称与密码内容，这样一来就容易给用户自己带来安全威胁，请问如何让IE 浏览器自动清除这些被偷偷记录下来的隐私内容？

答：由于这些被记录的账号名称与密码内容全部被存储在IE 浏览器的临时文件夹中，因此只要让IE 浏览器在关闭之前自动清除其临时文件夹中的内容，就能达到保护安全隐私的目的了。要做到这一点，可以先打开系统注册表编辑窗口，依次展开该窗口左侧 的“HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMAIN”注册表分支，用鼠标双击目标分支下的字符串键值“Delete_Temp_Files_On_Exit”，在弹出的编辑对话框中输入“yes”字符，最后重启系统。

当然，不熟悉注册表设置的用户，也可以进入Internet选项对话框修改相关配置。依次点击IE 浏览器菜单栏中的“工具”、“Internet 选项”命令，弹出Internet 选项设置对话框，点击“内容”标签，在对应标签页面的“自动完成”位置处，按下“设置”按钮，进入自动完成设置对话框，按下窗口右下角区域的“删除自动完成历史记录”按钮。选中其后界面中的“密码”选项，再次登录曾经浏览过的站点，自动填充存储的密码内容，最后点击“删除”按钮，就能将自动存储的站点登录账号信息删除掉了。要让Windows 系统自带的IE 浏览器不自动存储站点登录密码时，可以将网页自动保存功能临时关闭掉。在进行这项操作时，先进入浏览器的内容标签设置页面，点击“自动完成”位置处的“设置”按钮，将其后页面中的“表单上的用户名和密码”选项取消选中，确认后保存设置即可。

为了让工作更高效，不少用户在通过远程桌面功能远程管理局域网中的重要主机系统时，都会选择自动记忆远程登录密码。不过，当Windows 系统被加入到局域网特定工作域后，再通过远程桌面功能连接重要主机系统时，系统却会弹出凭据无法工作之类的错误提示。请问怎样才能在远程桌面连接中，继续使用之前存储的登录凭据呢？

答：很简单！只要正确设置Windows 系统的凭据分配功能即可。首先使用“Win +R”快捷键，调用系统运行文本框，输入“gpedit.msc”命令，点击“确定”按钮，切换到Windows 系统组策略编辑窗口，在该编辑窗口的左侧列表中，依次展开“本地计算机策略”、“计算机配置”、“管理模板”、“系统”、“凭据分配”节点，用鼠标双击该节点下的“允许分配保存的凭据用于仅NTLM 服务器身份验证”选项，弹出对应选项设置对话框，选中“已启用”选项，同时点击“显示”按钮，弹出显示内容对话框，输入“termsrv/*”字符并将其添加进来，确认后重启Windows 系统即可。

倘若有一些可信任的新用户需要通过网络访问本地服务器系统，那么如何在服务器系统中为其创建一个安全可信用户账号呢？

答：可以先打开服务器系统的控制面板窗口，双击其中的“管理工具”图标，再在管理工具列表中双击“计算机管理”图标，弹出计算机管理窗口；展开左侧区域的“本地用户和组”节点，从中选择“用户”选项，同时用鼠标右键单击“用户”选项，并点选右键菜单中的“新用户”命令，弹出用户账号创建对话框；在这里，必须设置好新用户的名称以及密码，特别是要将密码设置得稍微复杂一些，以防止这个用户账号被他人轻易暴力破解；当然，我们在这里不要轻易将新用户账号添加到其他组用户中。

接下来，我们再打开服务器系统的资源管理器窗口，从中找到新用户需要访问的目标资源文件夹，同时用鼠标右键单击该文件夹图标，并点选快捷菜单中的“属性”命令，弹出目标文件夹的属性设置对话框；单击其中的“安全”标签，在对应标签设置页面中，单击“添加”按钮，打开用户账号选择对话框，从中将之前创建好的新用户账号选中并添加进来，最后再将合适的访问权限一并授予给新用户。

为了避免暴力破解事件，不少用户开启了系统登录次数限制功能，比方说，如果输入密码错误3 次时，Windows系统会在一定时间内禁止对应账号再次登录。尽管Windows 系统也具有登录次数限制功能，不过在缺省状态下，该功能却被关闭了，请问如何启动运行Windows 系统的登录次数限制功能？

答：首先使用“Win+R”快捷功能键，调出系统运行对话框，在其中执行“gpedit.msc”命令，弹出系统组策略编辑窗口。找到该窗口左侧列表中的“本地计算机策略”、“计算机配置”、“Windows 设置”、“安全设置”、“账户锁定策略”节点，用鼠标双击该节点下的“账户锁定阈值”选项，切换到对应选项设置框，在这里我们看到Windows 系统缺省没有对登录次数进行锁定，按需定义好错误登录次数上限（该数值取值范围为“0-999”），确认后保存设置操作。

之后，Windows 系统会给出帐户锁定时间以及重置帐户锁定计数器时间的建议数值。如果登录Windows 系统的错误次数，超过指定上限数值时，Windows 系统会按照既定时间自动锁定当前用户帐户。倘若要改变账户锁定时间时，可以双击“建议的数值改动”列表中的“账户锁定时间”策略，在其后界面中设置好合适数值，系统缺省数值为“30 分钟”，再打开“重置账户锁定计数器”选项设置界面，设置好在某次登录尝试失败后，将登录尝试失败计数器重置为0 次错误登录尝试之前需要的时间，该数值范围是1 到99999 分钟。

有时，网络管理员在进行远程管理操作时，为了图方便，不设置远程登录密码，日后他们在进行远程控制操作时，就不需要进行网络验证，就能直接登录进入局域网服务器系统了，很显然这对服务器系统来说是非常危险的。为了保证远程控制的安全，请问如何才能强制对用户进行网络验证？

答：首先在服务器系统中依次点选“开始”、“运行”选项，打开对应系统的运行文本框，在其中执行“regedit”字符串命令，弹出注册表控制台界面；逐一展开该界面左侧 的HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon，将“Winlogon”子项下面的“DefaultUserName”、“DefaultPassword”、“AutoAdminlogon”键值全部选中并删除掉。

其次再打开服务器系统的“开始”菜单，点选“运行”命令，在弹出的系统运行框中执行“control userpasswords2”命令，进入用户账户设置对话框；点选“用户”选项卡，选中需要对服务器系统进行远程控制的特定账号，再将“要使用本机，用户必须输入用户和密码”选项选中，最后单击“确定”按钮执行设置保存操作，这么一来服务器系统日后就会强制对用户进行网络验证操作了。

为了更进一步地控制网络访问安全，Windows Server 2008 服务器系统特意提出了网络身份验证功能，这种功能强制用户必须在安全性能更高的Windows Vista 以上版本的计算机系统中，才能有权利对服务器系统进行远程控制操作，要启用该功能时我们可以按照如下方法进行操作：

首先依次点选Windows Server 2008 服务器系统的“开始”/“设置”/“控制面板”选项，弹出系统控制面板窗口，逐一点选其中的“系统和维护”、“系统”图标，再单击其后界面左侧列表中的“远程设置”按钮，弹出远程设置对话框；将该对话框中的“只允许运行带网络身份验证的远程桌面的计算机连接(更安全)”选项选中，这么一来我们就能将服务器系统的网络身份验证功能成功启用起来了，日后远程控制用户只有从安全性能更高的计算机系统中，才能有资格对服务器系统进行远程控制操作。

从Vista系统开始，BitLocker 使用密码保护数据文件的功能就出现了，在Windows 7 系统中该功能得到了完善。请问如何在Windows 7 系统中，使用BitLocker 密码保护功能加密重要数据文件呢？

答：正常情况下，打开Windows 7 系统的计算机窗口，用鼠标右键单击任意一个磁盘分区，从右键菜单中都能找到“启用BitLocker”命令。

要是右键菜单中没有“启用BitLocker”命令，那说明系统目前还不能支持BitLocker 加密功能，此时必须依次单击“开始”、“运行”命令，在弹出的系统运行对话框中，执行“Services.msc”命令，展开系统服务列表窗口，在这里将“BDESVC”、“ShellHWDetection”等系统服务启动成功。

这样Windows 系统就能支持BitLocker 加密功能了。

要对某个保存了重要数据的磁盘分区进行加密操作时，只要用鼠标右键单击目标磁盘分区，点选右键菜单中的“启用BitLocker”命令，之后BitLocker 功能会对目标磁盘驱动器进行扫描，扫描结束后会弹出加密对话框；选中“使用密码解锁驱动器”选项，同时正确设置好加密密码，这样BitLocker 功能就会开始执行加密操作，整个过程可能需要一定的时间。成功启用了BitLocker 功能后，如果访问目标磁盘分区时，就必须先进行解锁操作，访问操作结束关闭磁盘分区窗口后，BitLocker功能就不会对目标磁盘分区再次自动上锁了，这样其他用户日后不需要加密密码就能访问目标磁盘分区了，显然这样的加密效果并不十分安全。

为了保证用户每次访问加密磁盘分区时，都要输入加密密码，我们可以依次单击“开始”、“所有程序”、“附件”选项，用鼠标右键单击下拉菜单中的“命令提示符”，从右键菜单中执行“以管理员身份运行”命令，打开DOS 命令行工作窗口，在其中执行“manage-bde-lock X:”命令（其中X 为目标磁盘的分区名称），这样用户日后每次都需要通过密码才能访问目标磁盘分区。

日后，要是不想使用BitLocker 加密功能时，可以依次单击“开始”、“控制面板”命令，在其后弹出的系统控制面板窗口中，用鼠标双击“BitLocker 驱动器加密”图标，在其后弹出的列表中我们能很直观地看到每个磁盘分区的加密状态；单击目标磁盘分区旁边的“关闭BitLocker”按钮，之后对磁盘分区进行解锁操作，再关闭BitLocker 功能，需要提醒用户注意的是，解锁分区和加密分区需要耗费相同的时间。

由于Windows 8 系统的图片密码功能，不包含任何字符信息，黑客按照常规方法尝试暴力破解系统登录密码时，肯定不会成功，那么系统安全防范能力自然会增强不少，那么如何设置图片密码呢？

答：首先打开Windows 8系统的控制面板窗口，依次点击“用户账户和家庭安全”、“用户账户”图标，切换到用户账户管理窗口。点击“电脑设置中更改我的账户信息”按钮，弹出电脑设置窗口，在该设置窗口的用户选项设置页面中，按下“创建图形密码”按钮，展开图形密码创建向导框，先将原始密码输入，并点击“选择图片”按钮，进入文件选择设置框，将自己喜欢的或很熟悉的图片选中并导入进来，同时按下“使用这张图片”按钮。

之后在导入的图片上分别定义三个手势标记，所有手势标记自己都要记住。定义完手势后，还要对所标记的位置进行验证。通常情况下，在定义手势标志时，尽量画个圆点或直线标记，因为它们十分容易记忆，而且日后输入时也很方便高效，不过安全性上会稍微差一些。经过上述操作后，图片密码内容就被成功设置好了。现在，就来试试登录效果，相信Windows 8 系统登录操作明显会比以前安全许多。

某人从安装了Windows XP系统的客户端计算机中，尝试访问局域网中Windows 10 系统主机中的共享文件时，尽管没有启用密码保护共享功能，不过访问操作还是只停留在发现层面，而无法对共享资源进行拷贝、移动操作，不知道是什么原因？

答：正常情况下，Windows 10 系统中只要有文件夹被设置成共享状态，那么系统的“网络发现”、“文件和打印机共享”等组件就已经被启用，要是在共享访问时，还是无法正常访问内容时，多半是Windows XP 系统不支持128 位加密。此时，不妨依次选择“开始”、“设置”、“控制面板”选项，单击系统控制面板窗口中的“网络和共享中心”图标，点击其后界面中的“高级共享设置”图标，展开文件共享连接设置区域，选中“为使用40 或56 位加密的设备启用文件共享”，点击“保存修改”按钮返回，这样就能解决上述故障了。

在网络环境下，登录访问多台重要主机是常有的事情，这些主机系统的登录密码单纯依靠头脑记忆，很容易产生混淆，那么有没有更好的办法管理这些主机系统的登录密码呢？

答：很简单！在Windows 7系统中，我们可以利用系统自带的凭据管理器，来管理众多的系统登录密码，日后访问这些重要主机系统时，根本不需要输入账号与密码就能进行登录操作，从而大大提高登录效率。要使用凭据管理器功能管理系统登录密码时，可以先打开Windows 7 系统的“开始”菜单，点选“控制面板”命令，在弹出的系统控制面板窗口中，依次单击“凭据管理器”、“添加Windows 凭据”图标，展开凭据设置界面；

在该界面的“目标地址”位置处输入重要主机的IP 地址或名称，之后将登录该主机系统使用的账号名称与密码输入其中，再按“确定”按钮，这样登录密码就被管理起来了；同样地，再依次将其他重要主机系统的登录账号与密码添加到凭据管理器中。日后，需要登录某台主机系统时，只需要打开凭据管理器列表，单击目标主机的地址记录，凭据管理器就会自动进行登录操作，整个过程不再需要用户手工输入登录账号与密码。

除了管理Windows 凭据外，Windows 7 系统的凭据管理器功能还允许我们管理基于证书的凭据、普通凭据，很显然，巧妙利用这些凭据，可以管理各种类型的加密密码。

请问如何让Windows 系统在成功完成登录操作后，尽快启动屏幕密码保护功能，以便不让坏人有机可趁？

答：先打开系统运行对话框，输入“regedit”命令，将鼠标定位到HKEY_CURRENT_USERControlPaneldesktop 注册表目录上，在该目录下创建字符串键值“ScreenSaveActive”，同时将其数值设置为“1”，这样本地系统的屏幕保护功能就被强行启用了。

之后，在相同的注册表目录下手工创建一个“ScreenSaverlsSecure”字符串键值，将其数值也设置为1，这样就能强制Windows 系统启用密码保护功能了。完成上述设置后，只要一分钟内没有对系统操作时，密码保护的屏幕保护功能就会启动启用。

如果远程桌面连接密码设置得不够复杂，那么非法用户就可能会通过暴力破解方式窃取登录密码，请问如何强制用户为远程桌面连接设置比较复杂的密码？

答：可以启用密码策略强制用户为远程桌面连接设置复杂密码。例如，在启用Windows 7 系统的密码策略时，可以先打开该系统的运行文本框，执行“gpedit.msc”命令，切换到系统组策略编辑窗口，在该窗口的左侧位置处依次展开“计算机配置”、“Windows 设置”、“安全设置”、“账户策略”、“密码策略”分支，在该分支下有六个有关密码的设置策略选项，用鼠标双击“密码必须符合复杂性要求”选项，打开目标组策略属性设置窗口；选中“已启用”选项，再按“确定”按钮，这样Windows 7 系统的远程桌面连接密码设置得不够复杂时，系统就会自动弹出相关提示。同样，可以根据实际需求，依次对“密码最长使用期限”、“密码长度最小值”、“强制密码历史”、“密码最短使用期限”等策略进行设置，最后按“确定”按钮执行设置保存操作，这么一来远程桌面连接密码就会被强行设置得复杂了。

不少用户为了方便登录，有时会将系统登录密码设置为空白，日后在进行网络登录或系统登录时，不需要输入密码就能快速完成登录操作了。不过，空白密码的启用，往往会给网络访问或本地系统带来很大的安全威胁。请问在安全性要求较高的场合下，如何禁止登录操作使用空白密码？

答：首先依次单击“开始”、“运行”命令，从弹出的系统运行对话框中，输入“gpedit.msc”命令，单击回车键后，打开系统组策略编辑窗口。其次从该窗口的左侧区域逐一展开“本地计算机策略”、“计算机配置”、“Windows 设置”、“安全设置”、“本地策略”、“安全选项”分支上，用鼠标双击目标分支下的“帐户:使用空密码的本地帐户只允许进行控制台登录”选项，从弹出对应选项设置窗口中，选择“已启用”选项，再单击“确定”按钮保存设置操作，这样空白密码的用户日后就不能进行网络登录或系统登录操作了。

为了提高网络访问效率，不少人会在首次访问网络时，选择保存账号与密码，日后就能实现自动连接了。不过，在多人共用一台系统的环境下，保存在系统中的网络访问账号与密码内容，很容易被他人使用，从而给网络访问带来安全威胁。请问如何快速删除访问不同网络的账号与密码信息？

答：首先依次单击本地系统“开始”、“控制面板”选项，从弹出的系统控制面板窗口中，点击“用户账户”图标，切换到用户账户管理窗口，单击左侧区域的“管理网络密码”按钮，弹出对应设置对话框。

其次将出现在列表中对应不同网络的账号名称选中，再单击“删除”按钮，这样访问目标网络的账号与密码就会被自动删除掉了；按照同样的操作方法，依次将其他网络的访问账号与密码也删除掉，最后点击“确定”按钮即可。

Windows 8 系统启动成功后，默认会弹出登录锁屏界面，用户只有选择合适账号名称，同时输入正确密码内容，才能成功进入Windows 8 系统Metro 界面。要想让系统登录效率更高时，有没有办法将登录锁屏界面屏蔽掉？

答：很简单！首先使用“Win+X”快捷键，调出系统快捷菜单，点击“运行”命令，打开系统运行框，输入“gpedit.msc”命令并回车，进入系统组策略编辑界面，找到该编辑界面左侧列表中的“本地计算机策略”、“计算机配置”、“管理模板”、“控制面板”、“个性化”节点，用鼠标双击目标节点下的“不显示锁屏”选项，选中这里的“已启用”选项，将该配置功能重新启用，最后点击“确定”按钮执行设置保存操作，日后Windows 8 系统就能成功屏蔽登录锁屏界面了，此时系统登录效率就会明显提升。