Windows操作系統(tǒng)中組策略的應(yīng)用無處不在，如何讓系統(tǒng)更安全，也是一個(gè)常論不休的話題，下面就讓我們一起來看看通過組策略如何給Windows系統(tǒng)練就一身金鐘罩。

一、給我們的IP添加安全策略

在“計(jì)算機(jī)配置”→“Windows設(shè)置”→“安全設(shè)置”→“IP 安全策略，在本地計(jì)算機(jī)”下與有與網(wǎng)絡(luò)有關(guān)的幾個(gè)設(shè)置項(xiàng)目（如圖1）。如果大家對Internet較為熟悉，那也可以通過它來添加或修改更多的網(wǎng)絡(luò)安全設(shè)置，這樣在Windows上運(yùn)行網(wǎng)絡(luò)程序或者暢游Internet時(shí)將會更加安全。 　　

圖 1 小提示 由于此項(xiàng)較為專業(yè)，其間會涉及到很多的專業(yè)概念，一般用戶用不到，在這里只是給網(wǎng)絡(luò)管理員們提個(gè)醒，因此在此略過。

二、隱藏驅(qū)動器平時(shí)我們隱藏文件夾后，別人只需在文件夾選項(xiàng)里顯示所有文件，就可以看見了，我們可以在組策略里刪除這個(gè)選項(xiàng)：選擇“用戶配置→管理模板→Windows組件→Windows資源管理器”（如圖2）。 　　

圖 2

三、禁用指定的文件類型

在“組策略”中，我們可以禁用SHS、MSI、BAT、CMD、COM、EXE等程序文件類型，而且不影響系統(tǒng)的正常運(yùn)行。這里假設(shè)我們要禁用注冊表的REG文件，不讓系統(tǒng)運(yùn)行REG文件，具體操作方法如下：

1. 打開組策略，點(diǎn)擊“計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→軟件限制策略”，在彈出的右鍵菜單上選擇“創(chuàng)建軟件限制策略”，即生成“安全級別”、“其他規(guī)則”及“強(qiáng)制”、“指派的文件類型”、“受信任的出版商”項(xiàng)(圖3)。

圖 3

2. 雙擊“指派的文件類型”打開“指派的文件類型屬性”窗口，只留下REG文件類型，將其他的文件全部刪除，如果還有其他的文件類型要禁用，可以再次打開這個(gè)窗口，在“文件擴(kuò)展名”空白欄里輸入要禁用的文件類型，將它添加上去。

3. 雙擊“安全級別→不允許的”項(xiàng)，點(diǎn)擊“設(shè)為默認(rèn)”按鈕。然后注銷系統(tǒng)或者重新啟動系統(tǒng)，此策略即生效，運(yùn)行REG文件時(shí)，會提示“由于一個(gè)軟件限制策略的阻止，Windows無法打開此程序”。

4.要取消此軟件限制策略的話，雙擊“安全級別→不受限的”，打開“不受限的 屬性”窗口，按“設(shè)為默認(rèn)值”即可。

如果你鼠標(biāo)右鍵點(diǎn)擊“計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→軟件限制策略→其他規(guī) 則”，你會看到它可以建立哈希規(guī)則、Internet 區(qū)域規(guī)則、路徑規(guī)則等策略，利用這些規(guī)則我們可以讓系統(tǒng)更加安全，比如利用“路徑規(guī)則”可以為電子郵件程序用來運(yùn)行附件的文件夾創(chuàng)建路徑規(guī)則，并將安全級 別設(shè)置為“不允許的”，以防止電子郵件病毒。

提示：為了避免“軟件限制策略”將系統(tǒng)管理員也限制，我們可以雙擊“強(qiáng)制”，選擇“除本地管理員以外的所有用戶”。如果用你的是文件類型限制策略，此選項(xiàng)可以確保管理員有權(quán)運(yùn)行被限制的文件類型，而其他用戶無權(quán)運(yùn)行。

四、未經(jīng)許可，不得在本機(jī)登錄

使用電腦時(shí)，我們有時(shí)要離開座位一段時(shí)間。如果有很多正在打開的文檔還沒有處理完成或者 正在下載東西、掛POPO等等，為了避免有人動用電腦，我們一般會把電腦鎖定。但是在局域網(wǎng)中，為了方便網(wǎng)絡(luò)登錄，我們有時(shí)候會建立一些來賓賬戶，如果對 方利用這些賬戶來注銷當(dāng)前賬戶登錄到別的賬戶，那就麻煩了。既然我們不能刪除或禁用這些賬戶，那么我們可以通過“組策略”來禁止一些賬戶在本機(jī)上登錄，讓 對方只能通過網(wǎng)絡(luò)登錄。

在“組策略”窗口中依次打開“計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→本地策略→用戶權(quán)限分配”，然后雙擊右側(cè)窗格的“拒絕本地登錄”項(xiàng)，在彈出的窗口中添加要禁止的用戶或組即可實(shí)現(xiàn)(圖4)。

圖 4

如果我們想反其道而行之，禁止用戶從網(wǎng)絡(luò)登錄，只能從本地登錄，可以雙擊“拒絕從網(wǎng)絡(luò)訪問這臺計(jì)算機(jī)”項(xiàng)將用戶加上去。

五、給“休眠”和“待機(jī)”加個(gè)密碼

只有“屏幕保護(hù)”有密碼是遠(yuǎn)遠(yuǎn)不夠安全的，我們還要給“休眠”和“待機(jī)”加上密碼，這樣 才會更安全。讓我們來給“休眠”和“待機(jī)”加上密碼吧。在“組策略”窗口中展開“用戶配置→管理模板→系統(tǒng)→電源管理”，在右邊的窗格中雙擊“從休眠/掛 起恢復(fù)時(shí)提示輸入密碼”，將其設(shè)置為“已啟用”(圖5)，那么當(dāng)我們從“待機(jī)”或“休眠”狀態(tài)返回時(shí)將會要求你輸入用戶密碼。

圖 5

六、自動給操作做個(gè)記錄

在“計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→本地策略→審核策略”上，我們可以看到 它可以審核策略更改、登錄事件、對象訪問、過程追蹤、目錄服務(wù)訪問、特權(quán)使用等(圖6)。這些審核可以記錄下你某年某月某日某時(shí)某分某秒做過了什么操作： 幾時(shí)登錄、關(guān)閉系統(tǒng)或更改過哪些策略等等。

圖 6

我們應(yīng)該養(yǎng)成經(jīng)常在“控制面板→管理工具→事件查看器”里查看事件的好習(xí)慣。比如，當(dāng)你 修改過“組策略”后，系統(tǒng)就發(fā)生了問題，此時(shí)“事件查看器”就會及時(shí)告訴你改了哪些策略。在“登錄事件”里，你可以查看到詳細(xì)的登錄事件，知道有人曾嘗試 使用禁用的賬戶登錄、誰的賬戶密碼已過期……而要啟用哪些審核，只要雙擊相應(yīng)的項(xiàng)目，選中“成功”和“失敗”兩個(gè)選項(xiàng)即可。

注意：Windows XP Home Edition沒有“組策略”，只有Windows XP Professional版本才有“組策略”，這一點(diǎn)注意。

七、限制IE瀏覽器的保存功能

當(dāng)多人共用一臺計(jì)算機(jī)時(shí)，為了保持硬盤的整潔，需要對瀏覽器的保存功能進(jìn)行限制使用，那 么如何才能實(shí)現(xiàn)呢?具體方法為：選擇“用戶設(shè)置”→“管理模板” →“Windows組件”→“Internet Explorer”→“瀏覽器菜單”分支。雙擊右側(cè)窗格中的“‘文件’菜單：禁用‘另存為…’菜單項(xiàng)”，在打開的設(shè)置窗口中選中“已啟用”單選按鈕(如圖 7)。

圖 7

提示

我們還可以對“‘文件’菜單：禁用另存為網(wǎng)頁菜單項(xiàng)”、“‘查看’菜單：禁用‘源文件’菜單項(xiàng)”和“禁用上下文菜單”等策略項(xiàng)目進(jìn)行修改，這樣我們的IE將會安全一些。

八、禁止修改IE瀏覽器的主頁

如果您不希望他人或網(wǎng)絡(luò)上的一些惡意代碼對自己設(shè)定的IE瀏覽器主頁進(jìn)行隨意更改的話， 我們可以選擇“用戶配置”→“管理模板”→“Windows 組件”→“Internet Explorer”分支，然后在右側(cè)窗格中，雙擊“禁用更改主頁設(shè)置”策略啟用即可(如圖8)。

圖 8

小提示

(1)在圖8，還提供了更改歷史記錄設(shè)置、更改顏色設(shè)置和更改Internet臨時(shí)文件設(shè)置等項(xiàng)目的禁用功能。如果啟用了這個(gè)策略，在IE瀏覽器的“Internet 選項(xiàng)”對話框中，其“常規(guī)”選項(xiàng)卡的“主頁”區(qū)域的設(shè)置將變灰。

(2)如果設(shè)置了位于“用戶配置”→“管理模板”→“Windows 組件”→“Internet Explorer”→“Internet 控制面板”中的“禁用常規(guī)頁”策略，則無需設(shè)置該策略，因?yàn)椤敖贸Ｒ?guī)頁”策略將刪除界面上的“常規(guī)”選項(xiàng)卡。

(3)逐級展開“用戶設(shè)置”→“管理模板”→“Windows組件 ”→“Internet Explorer”分支，我們可以在其下發(fā)現(xiàn) “Internet控制面板”、“脫機(jī)頁”、“瀏覽器菜單”、“工具欄”、“持續(xù)行為”和“管理員認(rèn)可的控件”等策略選項(xiàng)。利用它可以充分打造一個(gè)極有個(gè) 性和安全的IE。

九、把Administrator藏起來

Windows系統(tǒng)默認(rèn)的系統(tǒng)管理員賬戶名是Administrator。因此，為了避 免有人惡意破解系統(tǒng)管理員Administrator賬戶的密碼，我們可以將Administrator改為其他名字以加強(qiáng)安全。點(diǎn)擊“開始→運(yùn)行”，輸 入gpedit.msc，打開“組策略”，如圖9所示，選擇 “計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→本地策略→安全選項(xiàng)”，在右邊窗格里雙擊“賬戶：重命名系統(tǒng)管理員賬戶”項(xiàng)，在上面輸入你想要的用戶名。重 新啟動計(jì)算機(jī)后，輸入的新用戶名即刻生效。如果再新建一個(gè)Guest用戶，用戶名為Administrator，然后再加上十分復(fù)雜的密碼就更安全。

圖 9

提示：為了避免讓人在Windows的登錄框中看到曾經(jīng)登錄過的用戶名，就要雙擊“交互式登錄：不顯示上次的用戶名”子項(xiàng)，選擇“已啟用”將該策略啟用。這樣上次登錄到計(jì)算機(jī)的用戶名就不會顯示在Windows的登錄畫面中。

十.禁用IE組件自動安裝

選擇“計(jì)算機(jī)配置”→“管理模板”→“Windows組件”→“Internet Explorer”項(xiàng)目，雙擊右邊窗口中“禁用 Internet Explorer組件的自動安裝”項(xiàng)目，在打開的窗口中選擇“已啟用”單選按鈕(如圖10)，將會禁止 Internet Explorer 自動安裝組件。這樣可以防止 Internet Explorer 在用戶訪問到需要某個(gè)組件的網(wǎng)站時(shí)下載該組件，篡改IE的行為也會得到遏制!相對來說IE也會安全許多!

圖 10

小提示

如果禁用該策略或不對其進(jìn)行配置，則用戶在訪問需要某個(gè)組件的網(wǎng)站時(shí)，將會收到一則消息，提示用戶下載并安裝該組件。有時(shí)用戶看也不看就選擇“安裝”則往往會出問題。網(wǎng)上的很多惡意代碼往往都是這樣工作的。

【編輯推薦】

1. Window 7實(shí)戰(zhàn)技巧避免硬件安全問題
2. Windows 7為系統(tǒng)安全管理員帶來什么
3. Windows 7平臺上10大國外殺毒軟件