【51CTO獨(dú)家特稿】關(guān)于組策略有很多需要我們掌握的知識。本文主要介紹Windows配置“Windows設(shè)置”里的安全設(shè)置，如下圖：

(1).賬戶策略

在這里可以設(shè)置密碼和賬戶的鎖定策略。例如，在這部分組策略中，我們可以設(shè)置密碼最小長度或者密碼需要包含復(fù)雜字符。

(2).本地策略

“本地策略”下有三個安全策略項(xiàng)，通過配置可以實(shí)現(xiàn)Windows系統(tǒng)的各種安全需求。例如，其中的“審計策略”用于配置服務(wù)器的Windows安全事件日志收集哪些事件;“用戶權(quán)限分配”用于配置哪些用戶能通過“遠(yuǎn)程桌面”訪問指定的服務(wù)器或工作站;使用“安全選項(xiàng)”配置以確定是否激活指定系統(tǒng)上的“管理員”賬戶以及重命名“管理員”賬戶。

“審計策略”：允許我們控制Windows安全事件日志能收集哪些事件類型，在此指定成功或失敗的事件，用于審計從活動目錄訪問到系統(tǒng)對象訪問(如文件和注冊表鍵)的各種事件類型。

“用戶權(quán)限分配”是組策略中另一個強(qiáng)大的安全工具，能用于控制誰能在指定系統(tǒng)上做什么事情。用戶權(quán)限的例子包括“本地登錄”權(quán)限，用于控制誰能交互式登錄服務(wù)器或工作站的控制臺;“加載和卸載設(shè)備驅(qū)動”權(quán)限，用于賦予組或用戶安裝設(shè)備驅(qū)動的權(quán)限。

另外，還有一些與安全相關(guān)的Windows組策略設(shè)置：

禁用指定的文件類型

在“組策略”中，我們可以禁用SHS、MSI、BAT、CMD、COM、EXE等程序文件類型，而且不影響系統(tǒng)的正常運(yùn)行。這里假設(shè)我們要禁用注冊表的REG文件，不讓系統(tǒng)運(yùn)行REG文件，具體操作方法如下：

1. 打開組策略，點(diǎn)擊“計算機(jī)配置→Windows設(shè)置→安全設(shè)置→軟件限制策略”，在彈出的右鍵菜單上選擇“創(chuàng)建軟件限制策略”，即生成“安全級別”、“其他規(guī)則”及“強(qiáng)制”、“指派的文件類型”、“受信任的出版商”項(xiàng)。

2. 雙擊“指派的文件類型”打開“指派的文件類型屬性”窗口，只留下REG文件類型，將其他的文件全部刪除，如果還有其他的文件類型要禁用，可以再次打開這個窗口，在“文件擴(kuò)展名”空白欄里輸入要禁用的文件類型，將它添加上去。

3. 雙擊“安全級別→不允許的”項(xiàng)，點(diǎn)擊“設(shè)為默認(rèn)”按鈕。然后注銷系統(tǒng)或者重新啟動系統(tǒng)，此策略即生效，運(yùn)行REG文件時，會提示“由于一個軟件限制策略的阻止，Windows無法打開此程序”。

4.要取消此軟件限制策略的話，雙擊“安全級別→不受限的”，打開“不受限的 屬性”窗口，按“設(shè)為默認(rèn)值”即可。

提示：為了避免“軟件限制策略”將系統(tǒng)管理員也限制，我們可以雙擊“強(qiáng)制”，選擇“除本地管理員以外的所有用戶”。如果用你的是文件類型限制策略，此選項(xiàng)可以確保管理員有權(quán)運(yùn)行被限制的文件類型，而其他用戶無權(quán)運(yùn)行。

未經(jīng)許可，不得在本機(jī)登錄

使用電腦時，我們有時要離開座位一段時間。為了避免有人動用電腦，我們一般會把電腦鎖定。但是在局域網(wǎng)中，為了方便網(wǎng)絡(luò)登錄，我們有時候會建立一些來賓賬戶，如果對方利用這些賬戶來注銷當(dāng)前賬戶登錄到別的賬戶，那就麻煩了。既然我們不能刪除或禁用這些賬戶，那么我們可以通過“組策略”來禁止一些賬戶在本機(jī)上登錄，讓對方只能通過網(wǎng)絡(luò)登錄。

在“組策略”窗口中依次打開“計算機(jī)配置→Windows設(shè)置→安全設(shè)置→本地策略→用戶權(quán)限分配”，然后雙擊右側(cè)窗格的“拒絕本地登錄”項(xiàng)，在彈出的窗口中添加要禁止的用戶或組即可實(shí)現(xiàn)。

如果我們想反其道而行之，禁止用戶從網(wǎng)絡(luò)登錄，只能從本地登錄，可以雙擊“拒絕從網(wǎng)絡(luò)訪問這臺計算機(jī)”項(xiàng)將用戶加上去。

給“休眠”和“待機(jī)”加個密碼

在“組策略”窗口中展開“用戶配置→管理模板→系統(tǒng)→電源管理”，在右邊的窗格中雙擊“從休眠/掛起恢復(fù)時提示輸入密碼”，將其設(shè)置為“已啟用”，那么當(dāng)我們從“待機(jī)”或“休眠”狀態(tài)返回時將會要求你輸入用戶密碼。

禁止修改IE瀏覽器的主頁

如果您不希望他人或網(wǎng)絡(luò)上的一些惡意代碼對自己設(shè)定的IE瀏覽器主頁進(jìn)行隨意更改的話，我們可以選擇“用戶配置”→“管理模板”→“Windows 組件”→“Internet Explorer”分支，然后在右側(cè)窗格中，雙擊“禁用更改主頁設(shè)置”策略啟用即可。

逐級展開“用戶設(shè)置”→“管理模板”→“Windows組件”→“Internet Explorer”分支，我們可以在其下發(fā)現(xiàn)“Internet控制面板”、“脫機(jī)頁”、“瀏覽器菜單”、“工具欄”、“持續(xù)行為”和“管理員認(rèn)可的控件”等策略選項(xiàng)。利用它可以充分打造一個極有個性和安全的IE。

把Administrator藏起來

Windows系統(tǒng)默認(rèn)的系統(tǒng)管理員賬戶名是Administrator。因此，為了避免有人惡意破解系統(tǒng)管理員Administrator賬戶的密碼，我們可以將Administrator改為其他名字以加強(qiáng)安全。選擇“計算機(jī)配置→Windows設(shè)置→安全設(shè)置→本地策略→安全選項(xiàng)”，在右邊窗格里雙擊“賬戶：重命名系統(tǒng)管理員賬戶”項(xiàng)，在上面輸入你想要的用戶名。重新啟動計算機(jī)后，輸入的新用戶名即刻生效。如果再新建一個Guest用戶，用戶名為Administrator，然后再加上十分復(fù)雜的密碼就更安全。

為了避免讓人在Windows的登錄框中看到曾經(jīng)登錄過的用戶名，就要雙擊“交互式登錄：不顯示上次的用戶名”子項(xiàng)，選擇“已啟用”將該策略啟用。這樣上次登錄到計算機(jī)的用戶名就不會顯示在Windows的登錄畫面中。

禁用IE組件自動安裝

選擇“計算機(jī)配置”→“管理模板”→“Windows組件”→“Internet Explorer”項(xiàng)目，雙擊右邊窗口中“禁用Internet Explorer組件的自動安裝”項(xiàng)目，在打開的窗口中選擇“已啟用”單選按鈕，將會禁止 Internet Explorer 自動安裝組件。這樣可以防止 Internet Explorer 在用戶訪問到需要某個組件的網(wǎng)站時下載該組件，篡改IE的行為也會得到遏制!相對來說IE也會安全許多。

【51CTO獨(dú)家特稿，合作站點(diǎn)轉(zhuǎn)載請注明原文譯者和出處?！?/p>

【編輯推薦】

1. 組策略與桌面管理相結(jié)合 保護(hù)用戶數(shù)據(jù)安全
2. Windows系統(tǒng)組策略中的八個酷炫小技巧
3. 組策略關(guān)閉Windows7的自動播放功能
4. Windows 2008組策略ADMX文件配置攻略