Windows操作系統(tǒng)中組策略的應(yīng)用無處不在,,如何讓系統(tǒng)更安全,也是一個(gè)常論不休的話題,,下面就讓我們一起來看看通過組策略如何給Windows系統(tǒng)練就一身金鐘罩,。
一、給我們的IP添加安全策略
在“計(jì)算機(jī)配置”→“Windows設(shè)置”→“安全設(shè)置”→“IP 安全策略,,在本地計(jì)算機(jī)”下與有與網(wǎng)絡(luò)有關(guān)的幾個(gè)設(shè)置項(xiàng)目(如圖1),。如果大家對(duì)Internet較為熟悉,那也可以通過它來添加或修改更多的網(wǎng)絡(luò)安全設(shè)置,,這樣在Windows上運(yùn)行網(wǎng)絡(luò)程序或者暢游Internet時(shí)將會(huì)更加安全,。
圖 1
小提示
由于此項(xiàng)較為專業(yè),其間會(huì)涉及到很多的專業(yè)概念,,一般用戶用不到,在這里只是給網(wǎng)絡(luò)管理員們提個(gè)醒,,因此在此略過,。
二、隱藏驅(qū)動(dòng)器
平時(shí)我們隱藏文件夾后,,別人只需在文件夾選項(xiàng)里顯示所有文件,,就可以看見了,我們可以在組策略里刪除這個(gè)選項(xiàng):選擇“用戶配置→管理模板→Windows組件→Windows資源管理器”(如圖2),。
圖 2
三,、禁用指定的文件類型
在“組策略”中,我們可以禁用SHS,、MSI,、BAT,、CMD、COM,、EXE等程序文件類型,,而且不影響系統(tǒng)的正常運(yùn)行。這里假設(shè)我們要禁用注冊(cè)表的REG文件,,不讓系統(tǒng)運(yùn)行REG文件,,具體操作方法如下:
1. 打開組策略,點(diǎn)擊“計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→軟件限制策略”,,在彈出的右鍵菜單上選擇“創(chuàng)建軟件限制策略”,,即生成“安全級(jí)別”、“其他規(guī)則”及“強(qiáng)制”,、“指派的文件類型”,、“受信任的出版商”項(xiàng)(圖3)。
圖 3
2. 雙擊“指派的文件類型”打開“指派的文件類型屬性”窗口,,只留下REG文件類型,,將其他的文件全部刪除,如果還有其他的文件類型要禁用,,可以再次打開這個(gè)窗口,,在“文件擴(kuò)展名”空白欄里輸入要禁用的文件類型,將它添加上去,。
3. 雙擊“安全級(jí)別→不允許的”項(xiàng),,點(diǎn)擊“設(shè)為默認(rèn)”按鈕。然后注銷系統(tǒng)或者重新啟動(dòng)系統(tǒng),,此策略即生效,,運(yùn)行REG文件時(shí),會(huì)提示“由于一個(gè)軟件限制策略的阻止,,Windows無法打開此程序”,。
4.要取消此軟件限制策略的話,雙擊“安全級(jí)別→不受限的”,,打開“不受限的 屬性”窗口,,按“設(shè)為默認(rèn)值”即可。
如果你鼠標(biāo)右鍵點(diǎn)擊“計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→軟件限制策略→其他規(guī)則”,,你會(huì)看到它可以建立哈希規(guī)則,、Internet 區(qū)域規(guī)則、路徑規(guī)則等策略,,利用這些規(guī)則我們可以讓系統(tǒng)更加安全,,比如利用“路徑規(guī)則”可以為電子郵件程序用來運(yùn)行附件的文件夾創(chuàng)建路徑規(guī)則,并將安全級(jí)別設(shè)置為“不允許的”,以防止電子郵件病毒,。
提示:為了避免“軟件限制策略”將系統(tǒng)管理員也限制,,我們可以雙擊“強(qiáng)制”,選擇“除本地管理員以外的所有用戶”,。如果用你的是文件類型限制策略,,此選項(xiàng)可以確保管理員有權(quán)運(yùn)行被限制的文件類型,而其他用戶無權(quán)運(yùn)行,。
四,、未經(jīng)許可,不得在本機(jī)登錄
使用電腦時(shí),,我們有時(shí)要離開座位一段時(shí)間,。如果有很多正在打開的文檔還沒有處理完成或者正在下載東西、掛POPO等等,,為了避免有人動(dòng)用電腦,,我們一般會(huì)把電腦鎖定。但是在局域網(wǎng)中,,為了方便網(wǎng)絡(luò)登錄,,我們有時(shí)候會(huì)建立一些來賓賬戶,如果對(duì)方利用這些賬戶來注銷當(dāng)前賬戶登錄到別的賬戶,,那就麻煩了,。既然我們不能刪除或禁用這些賬戶,那么我們可以通過“組策略”來禁止一些賬戶在本機(jī)上登錄,,讓對(duì)方只能通過網(wǎng)絡(luò)登錄,。
在“組策略”窗口中依次打開“計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→本地策略→用戶權(quán)限分配”,然后雙擊右側(cè)窗格的“拒絕本地登錄”項(xiàng),,在彈出的窗口中添加要禁止的用戶或組即可實(shí)現(xiàn)(圖4),。
圖 4
如果我們想反其道而行之,禁止用戶從網(wǎng)絡(luò)登錄,,只能從本地登錄,,可以雙擊“拒絕從網(wǎng)絡(luò)訪問這臺(tái)計(jì)算機(jī)”項(xiàng)將用戶加上去。
五,、給“休眠”和“待機(jī)”加個(gè)密碼
只有“屏幕保護(hù)”有密碼是遠(yuǎn)遠(yuǎn)不夠安全的,,我們還要給“休眠”和“待機(jī)”加上密碼,這樣才會(huì)更安全,。讓我們來給“休眠”和“待機(jī)”加上密碼吧,。在“組策略”窗口中展開“用戶配置→管理模板→系統(tǒng)→電源管理”,,在右邊的窗格中雙擊“從休眠/掛起恢復(fù)時(shí)提示輸入密碼”,,將其設(shè)置為“已啟用”(圖5),那么當(dāng)我們從“待機(jī)”或“休眠”狀態(tài)返回時(shí)將會(huì)要求你輸入用戶密碼。
圖 5
六,、自動(dòng)給操作做個(gè)記錄
在“計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→本地策略→審核策略”上,,我們可以看到它可以審核策略更改、登錄事件,、對(duì)象訪問,、過程追蹤、目錄服務(wù)訪問,、特權(quán)使用等(圖6),。這些審核可以記錄下你某年某月某日某時(shí)某分某秒做過了什么操作:幾時(shí)登錄、關(guān)閉系統(tǒng)或更改過哪些策略等等,。
圖 6
我們應(yīng)該養(yǎng)成經(jīng)常在“控制面板→管理工具→事件查看器”里查看事件的好習(xí)慣,。比如,當(dāng)你修改過“組策略”后,,系統(tǒng)就發(fā)生了問題,,此時(shí)“事件查看器”就會(huì)及時(shí)告訴你改了哪些策略。在“登錄事件”里,,你可以查看到詳細(xì)的登錄事件,,知道有人曾嘗試使用禁用的賬戶登錄、誰的賬戶密碼已過期……而要啟用哪些審核,,只要雙擊相應(yīng)的項(xiàng)目,,選中“成功”和“失敗”兩個(gè)選項(xiàng)即可。
注意:Windows XP Home Edition沒有“組策略”,,只有Windows XP Professional版本才有“組策略”,,這一點(diǎn)注意。
七,、限制IE瀏覽器的保存功能
當(dāng)多人共用一臺(tái)計(jì)算機(jī)時(shí),,為了保持硬盤的整潔,需要對(duì)瀏覽器的保存功能進(jìn)行限制使用,,那么如何才能實(shí)現(xiàn)呢?具體方法為:選擇“用戶設(shè)置”→“管理模板”→“Windows組件”→“Internet Explorer”→“瀏覽器菜單”分支,。雙擊右側(cè)窗格中的“‘文件’菜單:禁用‘另存為…’菜單項(xiàng)”,在打開的設(shè)置窗口中選中“已啟用”單選按鈕(如圖7),。
圖 7
提示
我們還可以對(duì)“‘文件’菜單:禁用另存為網(wǎng)頁菜單項(xiàng)”,、“‘查看’菜單:禁用‘源文件’菜單項(xiàng)”和“禁用上下文菜單”等策略項(xiàng)目進(jìn)行修改,這樣我們的IE將會(huì)安全一些,。
八,、禁止修改IE瀏覽器的主頁
如果您不希望他人或網(wǎng)絡(luò)上的一些惡意代碼對(duì)自己設(shè)定的IE瀏覽器主頁進(jìn)行隨意更改的話,我們可以選擇“用戶配置”→“管理模板”→“Windows 組件”→“Internet Explorer”分支,,然后在右側(cè)窗格中,,雙擊“禁用更改主頁設(shè)置”策略啟用即可(如圖8),。
圖 8
小提示
(1)在圖8,還提供了更改歷史記錄設(shè)置,、更改顏色設(shè)置和更改Internet臨時(shí)文件設(shè)置等項(xiàng)目的禁用功能,。如果啟用了這個(gè)策略,在IE瀏覽器的“Internet 選項(xiàng)”對(duì)話框中,,其“常規(guī)”選項(xiàng)卡的“主頁”區(qū)域的設(shè)置將變灰,。
(2)如果設(shè)置了位于“用戶配置”→“管理模板”→“Windows 組件”→“Internet Explorer”→“Internet 控制面板”中的“禁用常規(guī)頁”策略,則無需設(shè)置該策略,,因?yàn)椤敖贸R?guī)頁”策略將刪除界面上的“常規(guī)”選項(xiàng)卡,。
(3)逐級(jí)展開“用戶設(shè)置”→“管理模板”→“Windows組件”→“Internet Explorer”分支,我們可以在其下發(fā)現(xiàn)“Internet控制面板”,、“脫機(jī)頁”,、“瀏覽器菜單”、“工具欄”,、“持續(xù)行為”和“管理員認(rèn)可的控件”等策略選項(xiàng),。利用它可以充分打造一個(gè)極有個(gè)性和安全的IE。
九,、把Administrator藏起來
Windows系統(tǒng)默認(rèn)的系統(tǒng)管理員賬戶名是Administrator,。因此,為了避免有人惡意破解系統(tǒng)管理員Administrator賬戶的密碼,,我們可以將Administrator改為其他名字以加強(qiáng)安全,。點(diǎn)擊“開始→運(yùn)行”,輸入gpedit.msc,,打開“組策略”,,如圖9所示,選擇“計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→本地策略→安全選項(xiàng)”,,在右邊窗格里雙擊“賬戶:重命名系統(tǒng)管理員賬戶”項(xiàng),,在上面輸入你想要的用戶名。重新啟動(dòng)計(jì)算機(jī)后,,輸入的新用戶名即刻生效,。如果再新建一個(gè)Guest用戶,用戶名為Administrator,,然后再加上十分復(fù)雜的密碼就更安全,。
圖 9
提示:為了避免讓人在Windows的登錄框中看到曾經(jīng)登錄過的用戶名,就要雙擊“交互式登錄:不顯示上次的用戶名”子項(xiàng),,選擇“已啟用”將該策略啟用,。這樣上次登錄到計(jì)算機(jī)的用戶名就不會(huì)顯示在Windows的登錄畫面中。
十.禁用IE組件自動(dòng)安裝
選擇“計(jì)算機(jī)配置”→“管理模板”→“Windows組件”→“Internet Explorer”項(xiàng)目,,雙擊右邊窗口中“禁用Internet Explorer組件的自動(dòng)安裝”項(xiàng)目,,在打開的窗口中選擇“已啟用”單選按鈕(如圖10),,將會(huì)禁止 Internet Explorer 自動(dòng)安裝組件。這樣可以防止 Internet Explorer 在用戶訪問到需要某個(gè)組件的網(wǎng)站時(shí)下載該組件,,篡改IE的行為也會(huì)得到遏制!相對(duì)來說IE也會(huì)安全許多!
圖 10
小提示
如果禁用該策略或不對(duì)其進(jìn)行配置,則用戶在訪問需要某個(gè)組件的網(wǎng)站時(shí),,將會(huì)收到一則消息,,提示用戶下載并安裝該組件。有時(shí)用戶看也不看就選擇“安裝”則往往會(huì)出問題,。網(wǎng)上的很多惡意代碼往往都是這樣工作的,。
