系统设置

一、组策略

• secpol.msc：本地安全策略的配置和管理。
• gpedit.msc：本地组策略编辑器。
• secedit (opens new window)：管理安全策略的命令行工具，主要用于配置、分析和应用本地安全设置。
• LGPO.exe (opens new window)：微软官方提供的本地组策略工具。

PolicyFileEditor

PolicyFileEditor (opens new window) 是一个用于管理 Windows 本地组策略的 PowerShell 模块。它允许用户使用 PowerShell 脚本直接修改本地组策略（Local Group Policy Object, LGPO），而无需手动打开 gpedit.msc 进行操作。

帐户锁定策略

可以在组策略编辑器的以下位置配置帐户锁定策略：

[计算机配置 \ Windows 设置 \ 安全设置 \ 帐户策略 \ 帐户锁定策略]

各项属性也在注册表 (opens new window)中有记录 (opens new window)：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

• 帐户锁定阈值 (opens new window)

  帐户锁定阈值 (opens new window)确定登录尝试次数，失败将导致用户帐户被锁定。

  可以将登录尝试次数设置为 1 到 999，也可以通过将值设置为 0 来指定永远不会锁定帐户。

使用 net accounts (opens new window) 命令设置账户锁定阈值（适用于本地账户）。

net accounts /lockoutthreshold:5

使用 gpupdate (opens new window) 命令刷新组策略。

gpupdate /force

使用 secedit (opens new window) 查看当前账户锁定策略。

secedit /export /cfg $env:TEMP\secpol.cfg
Get-Content $env:TEMP\secpol.cfg | Select-String "LockoutBadCount"

附件管理器

附件管理器在 Windows 中，用以帮助计算机防范不安全的附件，这些附件可能是随电子邮件接收的，也可能是来自 Internet 的不安全文件。

可以在组策略编辑器的以下位置配置附件管理器：

[用户配置 \ 管理模板 \ Windows 组件 \ 附件管理器]

• 文件附件中不保留区域信息

  设置为已启用可以关闭限制。

  # 通过修改注册表，来关闭文件中的区域信息
  Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Attachments" `
      -Name SaveZoneinformation `
      -Type DWord `
      -Value 1
  

不安全的来宾登录

假设已经配置好 SMB 服务器，却连不上 Samba 服务，可能是 SMB 服务使用了不安全的来宾登录 (opens new window)。默认情况下，SMB 客户端将拒绝不安全的来宾登录。

可以在组策略编辑器的以下位置启用不安全的来宾登录：

[计算机配置 \ 管理模板 \ 网络 \ Lanman 工作站]

协议版本：

• 在 Windows 中检测、启用和禁用 SMBv1、SMBv2 和 SMBv3 (opens new window)
• Stop using SMB1 (opens new window)

二、账户管理

本地账户

系统默认只能使用微软账户进行登录，可以通过一些被锁定的账户名来绕过限制。

no@thankyou.com
a@a.com

密码修改

电脑已解锁的状态下，可以通过 lusrmgr.msc 重置密码。

免密登录

配置注册表，启用无密码登录。

Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\PasswordLess\Device" `
    -Name DevicePasswordLessBuildVersion `
    -Type DWord `
    -Value 0

再通过 control userpasswords2 或 netplwiz 打开用户账户界面，启用无密码登录。

屏幕保护

可以通过 ms-settings:lockscreen (opens new window) 快速进入锁屏界面设置。

使用以下命令，可快速锁屏。

%windir%\system32\rundll32.exe user32.dll,LockWorkStation

三、硬件管理

休眠唤醒

ACPI (opens new window) 定义了以下几种休眠状态 (opens new window)：

• S0：正常工作状态。
• S1：CPU 停止执行指令，CPU 和 RAM 的电源保持不变，硬盘停转（唤醒时间 0 秒）。
• S2：CPU 断电，Dirty cache 被刷新到 RAM。
• S3：Suspend to RAM，除内存外，其他设备停止工作，即睡眠状态（唤醒时间 0.5 秒）。
• S4：Suspend to Disk，内存中的信息写入硬盘，所有部件停止，即休眠状态（唤醒时间 30 秒）。
• S5：Shutdown，关机状态。

查看系统上可用的睡眠状态。

powercfg /A

启用或禁用休眠功能。

powercfg /H on
powercfg /H off

如果长时间睡眠后无法正常唤醒，可以进行以下尝试。

1、在[设备管理器]中的[系统设备]里找到[Intel(R) Management Engine Interface]，在其[电源管理]中取消[允许计算机关闭此设备以节约电源]。
2、在[控制面板 \ 硬件和声音 \ 电源选项][选择电源按钮的功能][更改当前不可用的设置]，取消[启用快速启动]。
3、将[控制面板 \ 硬件和声音 \ 电源选项][更改计划设置][更改高级电源设置][睡眠][允许混合睡眠]更改为关闭。
4、禁用休眠功能。
5、运行[rundll32.exe desk.cpl,InstallScreenSaver]，将屏幕保护程序设置为[无]。
6、更新 ACPI 电源驱动程序和芯片组驱动程序。

四、命令

注册表编辑

reg (opens new window) 命令对注册表项中的注册表子项信息和值执行操作。

• reg add (opens new window)

  将新的子项或项添加到注册表中。

  # 修改注册表信息
  reg add "HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters" /v IPEnableRouter /t REG_DWORD /d 1 /f
  

服务管理

sc (opens new window) 命令与服务控制器和已安装的服务进行通信。

• sc config (opens new window)

  修改注册表和服务控制管理器数据库中服务项的值。

  # 配置服务启动方式
  sc config RemoteAccess start= auto
  

• sc start (opens new window)

  启动服务。

  sc start RemoteAccess