“黑客”入门进修之“Windows组策略”

2018-12-17

很多防护黑客攻击行为都可以用到修改注册表配置实现,但这些配置发布在注册表的各个角落,如果是手工配置就比较烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供管理人员直接使用,从而达到方便管理计算机的目的。

简单点说,组策略就是修改注册表中的配置。当然,组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。

所以今天我们就分享一下Windows组策略的基本作用、常规功能实现的配置方法,以及如何利用组策略的安全设置防护黑客入侵。

一、 Windows组策略的基本作用

基本作用:

1、日常工作中,在windows单机模式下,组策略中有很多比较有用的功能,例如,本地安全策略。

本地安全策略是对登陆到计算机上的账号定义一些安全设置,在没有活动目录集中管理的情况下,本地管理员必须为计算机进行设置以确保其安全。例如,限制用户如何设置密码、通过账户策略设置账户安全性、通过锁定账户策略避免他人登陆计算机、指派用户权限等。这些安全设置分组管理,就组成了的本地安全策略

2、组策略在windows域中的作用

组策略是管理员为用户和计算机自定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以设置各种软件、计算机和用户策略。例如,可使用"组策略"为网络用户分发软件、设定用户可以运行的程序、自定义"开始"菜单并简化"控制面板"。此外,还可添加能在计算机上(在计算机启动或停止时,以及用户登录或注销时)自动运行的脚本,甚至可配置Internet Explorer。组策略的优点是可以让系统管理员灵活控制Windows网络的客户端环境,更加方便地管理整个网络。但伴随着灵活性而来的是复杂性。如何熟悉、熟练应用组策略是系统管理员必须解决的一个问题。如果能够正确、灵活地运用组策略,就能使Windows系统发挥出更加强大的功能,为个人用户和企业用户带来更大的利益。

二、 常用的Windows组策略配置方法

单机模式下的常用组策略:

(一) 访问组策略

有两种方法可以访问组策略:一是通过gpedit.msc命令直接进入组策略窗口;二是打开控制台,将组策略添加进去。

1. 输入gpedit.msc命令访问 选择"开始"→"运行",在弹出窗口中输入"gpedit.msc",回车后进入组策略窗口。组策略窗口的结构和资源管理器相似,左边是树型目录结构,由"计算机配置"、"用户配置"两大节点组成。这两个节点下分别都有"软件设置"、"Windows设置"和"管理模板"三个节点,节点下面还有更多的节点和设置。此时点击右边窗口中的节点或设置,便会出现关于此节点或设置的适用平台和作用描述。"计算机配置"、"用户配置"两大节点下的子节点和设置有很多是相同的,那么我们该改哪一处?"计算机配置"节点中的设置应用到整个计算机策略,在此处修改后的设置将应用到计算机中的所有用户。"用户配置"节点中的设置一般只应用到当前用户,如果你用别的用户名登录计算机,设置就不会管用了。但一般情况下建议在"用户配置"节点下修改,本文也将主要讲解"用户配置"节点的各项设置的修改,附带讲解"计算机配置"节点下的一些设置。其中"管理模板"设置最多、应用最广,因此也是本文的重中之重。

2. 通过控制台访问组策略 单击"开始"→"运行",输入"mmc",回车后进入控制台窗口。单击控制台窗口的"文件"→"添加/删除管理单元",在弹出窗口单击"添加",之后选择"组策略"并单击"添加",在下一步的"选择组策略对象"对话框中选择对象。由于我们组策略对象就是"本地计算机",因此不用更改,如果是网络上的另一台计算机,那么单击"浏览"选择此计算机即可。另外,如果你希望保存组策略控制台,并希望能够选择通过命令行在控制台中打开组策略对象,请选中"当从命令行开始时,允许更改'组策略管理单元'的焦点"复选框。最后添加进来的组策略。

(二) 任务栏和"开始"菜单项目设置

本节点允许你为开始菜单、任务栏和通知区域添加、删除或禁用某一功能项目。依次展开"用户配置"→"管理模板"→"任务栏和'开始'菜单",在右边窗口便能看到"任务栏和'开始'菜单"节点下的具体设置,其状态都处在"未被配置"。

1. 给"开始"菜单减肥

Windows XP的"开始"菜单的菜单项很多,可通过组策略将不需要的删除掉。以删除开始菜单中的"我的文档"图标为例看看其具体操作方法:在右边窗口中双击"从'开始'菜单上删除'我的文档'图标"项,在弹出对话框的"设置"标签中点选"已启用",然后单击"确定",这样在"开始"菜单中"我的文档"图标将会隐藏。

2. 防止隐私泄漏

在开始菜单中有一个"我最近的文档"菜单项,别人可通过此菜单访问你最近打开的文档,为安全起见,可删除此菜单项,并设置不保存最近打开的文档记录。双击"不要保留最近打开文档的记录"、"退出时清除最近打开的文档记录"、"从'开始'菜单上删除'文档'菜单"3项,在弹出对话框中点选"已启动"并确定即可。

3. 禁止随意修改任务栏和"开始"菜单

为保护自己好不容易设置好的任务栏和"开始"菜单,可双击启用下列各设置。 "阻止更改'任务栏和'开始'菜单 '设置":即从"开始"菜单的"设置"菜单项中删除"任务栏和'开始'菜单"项目,这个设置也可阻止用户打开"任务栏属性"对话框。"阻止访问任务栏的上下文菜单"(上下文菜单即单击右键弹出的快捷菜单):当鼠标右键单击任务栏及任务栏上项目时隐藏菜单,例如"开始"按钮、时钟和任务栏按钮,但不能禁止用户在其他地方更改。"锁定任务栏":启用此设置,可阻止用户移动任务栏或调整任务栏的大小,但自动隐藏和其他任务栏选项仍然在"任务栏属性"中可用。

4. 去掉Windows XP"开始"菜单中的图形化设置

Windows XP的"开始"菜单增添了许多图形化设置,其实可在组策略中将这些功能关闭。 "关闭个性化菜单":Windows XP会自动将最近使用的菜单项移动到开始菜单顶部,并且隐藏最近没有使用的菜单项,以此实现个性化菜单,启用此设置将关闭个性化菜单。"强制典型菜单":启用此设置,开始菜单就以Windows 2000样式显示典型的开始菜单,并且显示标准桌面图标。

5. 禁止"注销"和"关机"

进行三维动画设计和视频处理的朋友经常会为导出一个大型动画、视频文件而花几个小时,这时如果有人重新启动电脑或注销用户,那么前面所做的工作就会白白浪费,因此有必要禁止"开始"菜单中的"注销"、"关机"菜单项。你只需双击启用"删除'开始'菜单上的'注销'"和"删除和阻止访问'关机'命令"两项即可。后一设置不仅将从"开始"菜单中删除"关闭计算机"项,而且还会禁用"Windows 任务管理器"对话框中的"关机"选项。

(三) 桌面项目设置

在"组策略"的左窗口依次展开"用户配置"→"管理模板"→"桌面"节点,便能看到有关桌面的所有设置。此节点主要作用在于管理用户使用桌面的权利和隐藏桌面图标。

1. 隐藏不必要的桌面图标

桌面上的一些快捷方式我们可以轻而易举地删除,但要删除"我的电脑"、"回收站"、"网上邻居"等默认图标,就需要依靠"组策略"了。例如要删除"我的文档",只需在"删除桌面上的'我的文档'图标"一项中设置即可。

2. 禁止对桌面的改动

利用组策略可达到禁止别人改动桌面某些设置的目的。"禁止用户更改'我的文档'路径"项可防止用户更改"我的文档"文件夹的路径。"禁止添加、拖、放和关闭任务栏的工具栏"项可阻止用户从桌面上添加或删除任务栏。双击启用"退出时不保存设置"后,用户将不能保存对桌面的更改。最后,双击启用"隐藏和禁用桌面上的所有项目"设置项,将从桌面上删除图标、快捷方式以及其他默认的和用户定义的所有项目,连桌面右键菜单都将被禁止。

3. 启用或禁止活动桌面

"Active Desktop"项,可根据自己的需要设置活动桌面的各种属性。"启用活动桌面"项可启用活动桌面并防止用户禁用它。"活动桌面墙纸"项可指定在所有用户的桌面上显示的桌面墙。而启用"不允许更改"项便可防止用户更改活动桌面配置。

(四) 隐藏或禁止控制面板项目

这里讲到的控制面板项目设置是指配置控制面板程序的各项设置,主要用于隐藏或禁止控制面板项目。在组策略左边窗口依次展开"用户配置"→"管理模板"→"控制面板"项,便可看到"控制面板"节点下面的所有设置和子节点。

1. 隐藏或禁止"添加/删除程序"项

展开"添加/删除程序"项:双击启用"删除'添加/删除程序'程序"设置项后,控制面板中的"添加/删除程序"项将被删除。此外在"添加或删除程序"对话框中共有3个页面:"更改或删除程序"、"添加新程序"以及"添加/删除Windows组件";而当你进入"添加新程序"页面时,会发现有3个选项:"从CD-ROM或软盘添加程序"、"从 Microsoft添加程序"以及"从网络中添加程序",如果你想这些具体页面或选项隐藏,可直接在组策略"添加/删除程序"项中将相应隐藏功能启用。

2. 隐藏或禁止"显示"项

展开"显示"项,发现这一项和上一项一样,可隐藏"显示属性"对话框中的选项卡。这里就不细讲了,例如双击启用"隐藏'桌面'选项卡"后,"显示窗口"中将不再出现"桌面"项。此外,在这里用户还可启用"删除控制面板中的'显示'",这样在控制面板中双击打开"显示"项时,就会弹出一个对话框提示你:系统管理员禁止使用"显示"控制面板。

3. 其他

依次展开"显示"→"桌面主题"项,双击启用"删除主题选项"、"阻止选择窗口和按钮式样"、"禁止选择字体大小"项后,可阻止他人更改主题、窗口和按钮式样、字体。展开"打印机"项,双击启用"阻止添加打印机"或"阻止删除打印机"可防止别的用户添加或删除打印机。最后,直接在"控制面板"一项下启用"禁止访问控制面板",控制面板将无法启动。

(五) 系统项目设置

这一项在"用户配置"→"管理模板"→"系统"中设置。组策略中对系统的设置涉及到登录、电源管理、组策略、脚本等很多项目,下面把和我们联系紧密的部分清理出来分类列举如下:

1. 登录时不显示欢迎屏幕界面

Windows 2000和Windows XP系统登录时默认情况下都有欢迎屏幕,虽然漂亮但也麻烦且延长登录时间,通过组策略便可将其除去。双击启用"系统"节点下的"登录时不显示欢迎屏幕",则每次用户登录时欢迎屏幕将隐藏。

2. 禁用注册表编辑器

为防止他人修改注册表,可在组策略中禁止访问注册表编辑器。双击启用"系统"节点下的"阻止访问注册表编辑器"项后,用户试图启动注册表编辑器时,系统将提示:注册编辑已被管理员停用。另外,如果你的注册表编辑器被锁死,也可双击此设置,在弹出对话框的"设置"标签中点选"未被配置"项,这样你的注册表便解锁了。如果要防止用户使用其他注册表编辑工具打开注册表,请双击启用"只运行许可的Windows应用程序"。

3. 关闭系统自动播放功能

一旦你将光盘插入光驱中,Windows XP就会开始读取光驱,并启动相关的应用程序。这样虽然给我们的工作带来了便利,在某些时候也带来了不少麻烦。在"系统"节点下有一项为"关闭自动播放"设置项,双击其并在弹出对话框的"设置"标签中点选"已启用",在"关闭自动播放"框中选择"CD-ROM启动器"或"所有驱动器"项即可。

4. 关闭Windows自动更新

每当用户连接到Internet,Windows XP就会搜索用户计算机上的可用更新,根据配置的具体情况,在下载的组件准备好安装时或在下载之前,给用户以提示。如果你不喜欢比尔老大这种自作主张的态度,可通过组策略关闭这一功能。只须双击"系统"节点下的"Windows自动更新"设置项,在弹出来的对话框中点选"已禁用"并确定即可。

5. Ctrl+Alt+Del选项

若Windows XP用户已取消"使用欢迎屏幕"项,若同时按下"Ctrl+Alt+Del"键,便会弹出一个"Windows安全"对话框,此对话框中有"锁定计算机"、"注销"、"关机"、"更改密码"、"任务管理器"、"取消"6个功能按钮。大家都知道这里的每个按钮对系统都起着关键的作用。为了阻止别人操作,可通过组策略屏蔽这些按钮。 找到"系统"下的"Ctrl+Alt+Del选项",双击启用"删除任务管理器"、"删除'锁定计算机'"、"删除改变密码"、"删除注销"项便能屏蔽掉"Windows安全"对话框的"任务管理器"、"锁定计算机"、"更改密码"、"取消"4个功能按钮。 注意:"注销"、"关机"两个菜单项的屏蔽,在"用户配置"→"管理模板"→"任务栏和'开始'菜单"节点下。

(六) 隐藏或删除Windows XP资源管理器中的项目

一直以来,资源管理器就是Windows系统中最重要的工具,如何高效、安全地管理资源也一直是电脑用户的不懈追求。依次展开"用户配置"→"管理模板"→"Windows组件"→"Windows资源管理器"项,可以看到"Windows资源管理器"节点下的所有设置。下面就来看看怎样通过组策略实现资源管理器个性化。

1. 删除"文件夹选项"

"文件夹选项"是资源管理器中一个重要的菜单项,通过它可修改文件的查看方式,编辑文件类型的打开方式。我们自己对其设定好后,为了防止他人随意更改,可将此菜单项删除,你只须双击启用"从'工具'菜单删除'文件夹选项'菜单"便能完成这一设置。

2. 隐藏"管理"菜单项

在资源管理器中右键单击"我的电脑"出现的快捷菜单中有一个"管理"菜单项,通过此菜单项,可以打开一个包含"事件查看器"、"本地用户和组"、"设备管理器"、"磁盘管理"等众多工具的"计算机管理"窗口。为了保障你的计算机免受他人无意破坏,可通过双击启用"隐藏Windows资源管理器上下文菜单上的'管理'项目"项来屏蔽此菜单项。

3. 其他项目的隐藏

此外通过启用"隐藏'我的电脑'中的这些指定的驱动器"可隐藏你指定的驱动器。还可通过启用"'网上邻居'中不含'整个网络'"屏蔽掉"整个网络"项。双击启用"删除CD烧录功能"删除Windows XP自带的光盘刻录功能。双击启用"不要将已删除的文件移到'回收站'"则以后删除文件时将不进入回收站直接删除掉。当然还有不少项目这里没有讲到,大家可根据需要自行探讨,进行适当的配置。

(七) IE浏览器项目设置

在组策略左边窗口中依次展开"用户配置"→"管理模板"→"Windows组件"→"Internet Explorer"项,在右边窗口中便能看到"Internet Explorer"节点下的所有设置和子节点。IE是Windows XP自带的网页浏览器,也是大多数用户采用的浏览器,但其安全性也为人所诟病,下面就通过组策略来对其进行"改造"。

1. 在IE工具栏添加快捷方式

不知道大家注意到了没有,不少软件在安装完之后都会在IE工具栏上添加图标,单击其便能启用相应程序。其实用组策略可以在IE工具栏上为任何程序添加快捷方式,这里举例说明如何添加一个ICQ的启动图标。展开"Internet Explorer维护"下的"浏览器用户界面",双击"浏览器工具栏自定义"设置项,在弹出来的对话框中单击"添加"按钮,在"浏览器工具栏按钮信息"对话框的"工具栏标题"中输入:ICQ,在"工具栏操作"中输入D:FunICQLiteICQLite.exe,然后再随便选择一个"颜色图标"和"灰度图标",当然你也可以用ExeScope等来提取ICQ的图标)。单击"确定"后IE工具栏中便多了一个ICQ图标!

2. 让IE插件不再骚扰你

我们平常上网浏览网页时,总会弹出一些诸如"是否安装Flash插件"、"是否安装3721网络实名"的提示,就像广告窗口一样烦人。实际上我们可在组策略中通过启用"Internet Explorer"节点下的"禁用Internet Explorer组件的自动安装"来禁止这种提示的出现。不过有时这一功能也是很用的,所以在禁止此功能之前请稍加考虑。

3. 保护好你的个人隐私

一般通过单击IE工具栏上的"历史"按钮,便可了解以前浏览过的网页和文件。为保密起见,你可以通过双击启用"Internet Explorer"节点下的"不要保留最近打开文档的记录"和"退出时清除最近打开的文档记录"两个设置项,这样再单击IE工具栏上的"历史"按钮,你访问过的历史网页记录将全部消失。

4. 禁止项

如果不希望他人对你的主页进行修改,可启用"Internet Explorer"节点下的"禁用更改主页设置"设置项禁止别人更改你的主页.你也可通过访问"浏览器菜单",启用其中的设置项对IE浏览器的若干菜单项进行屏蔽。最后,在"Internet控制面板"节点下,你还可对"Internet选项"对话框中的部分选项卡进行隐藏.

域环境下常用的组策略:

1、 域控下更改客户端桌面壁纸

前提:确保网络是可通达,防火墙处于关闭状态,图片格式为.jpg,共享目录应为域控C盘。步骤:(1)在域控C盘建立共享文件夹desk,为可读模式,将共享图片desk.jpg存放在共享目录下。(2)开始菜单→管理工具→组策略管理→找到对应的组织单位→创建相应OU→命名为"壁纸"→右击编辑→用户下配置→策略→管理模板→桌面→Active Desktop→启用Active Desktop、启用不允许更改、启用桌面墙纸(墙纸名称为\192.168.200.20deskdesk.jpg)→强制刷新组策略(gpupdate /force)→重新启动客户端生效。

2、发布通告信息

前提:在AD用户与计算机中将Computer中的计算机移动到与其相对应的组织单位中。

步骤:开始→管理工具→组策略管理→找到对应的组织单位→创建相应OU→命名为"通告"→右击编辑→计算机配置下→策略→windows设置→安全设置→本地策略→安全选项→交互式登陆:试图登陆的用户的消息标题、消息文本→输入要求内容→强制刷新组策略(gpupdate /force)→重新启动客户端生效。

3、禁用命令行

步骤:开始→管理工具→组策略管理→找到对应的组织单位→创建相应OU→命名为"禁用命令行"→右击编辑→用户配置下→策略→管理模板→"开始"菜单和任务栏→从开始菜单中删除"运行"菜单→强制刷新组策略(gpupdate /force)→重新启动客户端生效。

注意事项:此操作不收computer下计算机是否在用户组织单位下影响。

4、发布办公室软件

步骤:(1)下载office (寻找PRO11.MSI)→cmd→msiexec -a+(拖拽第一步的路径)→Enter→弹出管理员安装→填写产品秘钥→放在C盘下共享文件夹下。(2)开始→管理工具→组策略管理→找到对应的组织单位→创建相应OU→命名为"禁用命令行"→右击编辑→用户配置下→策略→软件设置→软件安装→右击新建→数据包→网络(此路径必须为网络)→源PC→找到共享文件夹下的.MSI软件→打开→已分配(分配为强制安装,发布时客户端具有自主性)。

5、更改客户端用户密码策略

步骤:开始→管理工具→组策略管理→找到对应的组织单位→创建相应OU→命名为"禁用命令行"→右击编辑→计算机配置→策略→windows设置→安全设置→账户策略→密码策略、密码长度最小值等,可依据需要定制→在AD用户与计算机→找到相应计算机重置密码。

6、文档共享

步骤:(1)在域控C盘下新建共享文件夹"文档共享"→右击共享→给everyone读写权限→开始→管理工具→AD用户与计算机→选中需要漫游用户→右击属性→配置文件→配置文件路径:\192.168.1.10文档共享%username%→应用确定→刷新组策略。(2)进入C盘下→右击"文档共享"文件夹→属性→安全→高级→所有者→编辑→选中Administrator和(替换子容器和对象的所有者)→应用确定,重启客户端。(3)进入"共享文档"→右击用户文件夹→属性→安全→编辑→添加→高级→立即查找→选中对应的客户端→确定一键到底→刷新组策略(guupdate /force),重启客户端,此时,域内添加到漫游中的可以脱离物理机,文件随账号漫游。

7、文件夹重定向

步骤:(1)在域控C盘下新建共享文件夹"文件"→右击共享→给everyone读写权限→开始→管理工具→组策略管理→找到对应的组织单位→创建相应OU→命名为"文件夹重定向"→右击编辑→用户配置下→策略→windows设置→文件夹重定向→文档→右击属性→目标下设置行:基本--将每个人的文件夹重定向到同一个位置(注意在右面设置选项下含增加兼容性操作)→目标文件夹位置行:在根目录路径下位每一用户创建一个文件夹→根路径行:浏览(注意此处应为网络路径)应用、确定→刷新组策略。(2)进入C盘下→右击"文件"→属性→安全→高级→所有者→编辑→选中administrator和替换子容器和对象的所有者→确定。再次进入"文件"→访问用户文件夹→右击My Documents→右击属性→安全→编辑→添加→高级→立即查找→添加相应的用户→给完整权限→确定到底。

8、禁止所有用户加入域,只允许主管可以将计算机加入域

步骤:(1)开始→管理工具→ADSI编辑器→右击ADSI编辑器→连接到→勾选"选择或键入域服务器(s)":lv.com(域控的域名)→确定→点击"默认命名上下文"→右击"DC=lv,DC=com"→属性→将"ms-DS-MachineAccountQuota"→"10"修改成"0".(2)AD用户与计算机→右击"市场部"(组织单位)→委派控制(E)→下一步→添加→高级→立即查找→王经理(主管)→确定→下一步→勾选要委派的任务→创建、删除和管理用户账户、重置用户密码并强制在下次登录时更改密码、读取所有用户信息→下一步→完成→强制刷新组策略→重新启动客户端。

9、禁用客户端ip功能

步骤:开始→管理工具→组策略编辑→Default Domain Policy 右击→编辑→计算机配置→策略→windows设置→安全设置→系统服务→Network Connections→改成自动→编辑安全设置→删除所有组或用户名→添加→Domain Admins、Everyone→前者给完整权限,后者给读取权限→应用,确定→刷新全区策略,重启客户端。

10、设置客户端IE主页及其相应权限设置

步骤:(1)开始→管理工具→组策略管理→找到对应的组织单位→创建相应OU→命名为"修改主页"→右击编辑→用户配置下→策略→windows设置→Internet Explor 维护→URL→重要URL→自定义主页:http//www.google.com.hk(公司主页)→应用,确定,刷新组策略。(2)开始→管理工具→组策略管理→找到对应的组织单位→创建相应OU→命名为"修改主页"→右击编辑→计算机配置下→管理模板→windows组件→Internet Explorer→Internet 控制面板→Internet 区域→安全页→Internet 区域→允许下载等设置。

11、限制软件使用


步骤:(1)开始→管理工具→组策略管理→找到对应的组织单位→创建相应OU→命名为"修改主页"→右击编辑→用户配置下→策略→管理模板→系统(在最右侧寻找策略)→不要运行指定的windows应用程序→启用→显示→添加应用程序的启动项名称(192.168.200.20/pub/sample/cal.exe)→应用,确定,刷新策略,重启客户端。(2)开始→管理工具→组策略管理→找到对应的组织单位→创建相应OU→命名为"修改主页"→右击编辑→计算机配置下→策略→windows设置→安全设置→软件限制策略→右击创建→安全级别→设置"不受限"为默认→进入"其他规则"→右击新建哈希规则、路径规则→确认到相同路径下的软件即可。

12、禁用注册表编辑器、命令提示符

步骤:开始→管理工具→组策略管理→找到对应的组织单位→创建相应OU→命名为"修改主页"→右击编辑→用户配置下→策略→管理模板→系统(在最右侧寻找策略)→系统阻止访问注册表编辑工具、命令提示符→启用→刷新组策略,重新启动客户端。

三、利用组策略的安全设置防御黑客入侵

(一)、给我们的IP添加安全策略

在"计算机配置"→"Windows设置"→"安全设置"→"IP 安全策略,在本地计算机"下与有与网络有关的几个设置项目。如果大家对Internet较为熟悉,那也可以通过它来添加或修改更多的网络安全设置,这样在Windows上运行网络程序或者畅游Internet时将会更加安全。

小提示 :由于此项较为专业,其间会涉及到很多的专业概念,一般用户用不到,在这里只是给网络管理员们提个醒,因此在此略过。

(二)、隐藏驱动器

平时我们隐藏文件夹后,别人只需在文件夹选项里显示所有文件,就可以看见了,我们可以在组策略里删除这个选项:选择"用户配置→管理模板→Windows组件→Windows资源管理器"。

(三)、禁用指定的文件类型

在"组策略"中,我们可以禁用SHS、MSI、BAT、CMD、COM、EXE等程序文件类型,而且不影响系统的正常运行。这里假设我们要禁用注册表的REG文件,不让系统运行REG文件,具体操作方法如下:

1. 打开组策略,点击"计算机配置→Windows设置→安全设置→软件限制策略",在弹出的右键菜单上选择"创建软件限制策略",即生成"安全级别"、"其他规则"及"强制"、"指派的文件类型"、"受信任的出版商"项。

2. 双击"指派的文件类型"打开"指派的文件类型属性"窗口,只留下REG文件类型,将其他的文件全部删除,如果还有其他的文件类型要禁用,可以再次打开这个窗口,在"文件扩展名"空白栏里输入要禁用的文件类型,将它添加上去。

3. 双击"安全级别→不允许的"项,点击"设为默认"按钮。然后注销系统或者重新启动系统,此策略即生效,运行REG文件时,会提示"由于一个软件限制策略的阻止,Windows无法打开此程序"。

4.要取消此软件限制策略的话,双击"安全级别→不受限的",打开"不受限的 属性"窗口,按"设为默认值"即可。

如果你鼠标右键点击"计算机配置→Windows设置→安全设置→软件限制策略→其他规则",你会看到它可以建立哈希规则、Internet 区域规则、路径规则等策略,利用这些规则我们可以让系统更加安全,比如利用"路径规则"可以为电子邮件程序用来运行附件的文件夹创建路径规则,并将安全级别设置为"不允许的",以防止电子邮件病毒。

提示:为了避免"软件限制策略"将系统管理员也限制,我们可以双击"强制",选择"除本地管理员以外的所有用户"。如果用你的是文件类型限制策略,此选项可以确保管理员有权运行被限制的文件类型,而其他用户无权运行。

(四)、未经许可,不得在本机登录

使用电脑时,我们有时要离开座位一段时间。如果有很多正在打开的文档还没有处理完成或者正在下载东西、挂POPO等等,为了避免有人动用电脑,我们一般会把电脑锁定。但是在局域网中,为了方便网络登录,我们有时候会建立一些来宾账户,如果对方利用这些账户来注销当前账户登录到别的账户,那就麻烦了。既然我们不能删除或禁用这些账户,那么我们可以通过"组策略"来禁止一些账户在本机上登录,让对方只能通过网络登录。

在"组策略"窗口中依次打开"计算机配置→Windows设置→安全设置→本地策略→用户权限分配",然后双击右侧窗格的"拒绝本地登录"项,在弹出的窗口中添加要禁止的用户或组即可实现。 如果我们想反其道而行之,禁止用户从网络登录,只能从本地登录,可以双击"拒绝从网络访问这台计算机"项将用户加上去。

(五)、给"休眠"和"待机"加个密码

只有"屏幕保护"有密码是远远不够安全的,我们还要给"休眠"和"待机"加上密码,这样才会更安全。让我们来给"休眠"和"待机"加上密码吧。在"组策略"窗口中展开"用户配置→管理模板→系统→电源管理",在右边的窗格中双击"从休眠/挂起恢复时提示输入密码",将其设置为"已启用",那么当我们从"待机"或"休眠"状态返回时将会要求你输入用户密码。

(六)、自动给操作做个记录

在"计算机配置→Windows设置→安全设置→本地策略→审核策略"上,我们可以看到它可以审核策略更改、登录事件、对象访问、过程追踪、目录服务访问、特权使用等。这些审核可以记录下你某年某月某日某时某分某秒做过了什么操作:几时登录、关闭系统或更改过哪些策略等等。

我们应该养成经常在"控制面板→管理工具→事件查看器"里查看事件的好习惯。比如,当你修改过"组策略"后,系统就发生了问题,此时"事件查看器"就会及时告诉你改了哪些策略。在"登录事件"里,你可以查看到详细的登录事件,知道有人曾尝试使用禁用的账户登录、谁的账户密码已过期……而要启用哪些审核,只要双击相应的项目,选中"成功"和"失败"两个选项即可。

注意:Windows XP Home Edition没有"组策略",只有Windows XP Professional版本才有"组策略",这一点注意。

(七)、限制IE浏览器的保存功能

当多人共用一台计算机时,为了保持硬盘的整洁,需要对浏览器的保存功能进行限制使用,那么如何才能实现呢?具体方法为:选择"用户设置"→"管理模板"→"Windows组件"→"Internet Explorer"→"浏览器菜单"分支。双击右侧窗格中的"'文件'菜单:禁用'另存为…'菜单项",在打开的设置窗口中选中"已启用"单选按钮。 提示 :我们还可以对"'文件'菜单:禁用另存为网页菜单项"、"'查看'菜单:禁用'源文件'菜单项"和"禁用上下文菜单"等策略项目进行修改,这样我们的IE将会安全一些。

(八)、禁止修改IE浏览器的主页

如果您不希望他人或网络上的一些恶意代码对自己设定的IE浏览器主页进行随意更改的话,我们可以选择"用户配置"→"管理模板"→"Windows 组件"→"Internet Explorer"分支,然后在右侧窗格中,双击"禁用更改主页设置"策略启用即可。

1、提供了更改历史记录设置、更改颜色设置和更改Internet临时文件设置等项目的禁用功能。如果启用了这个策略,在IE浏览器的"Internet 选项"对话框中,其"常规"选项卡的"主页"区域的设置将变灰。

2、如果设置了位于"用户配置"→"管理模板"→"Windows 组件"→"Internet Explorer"→"Internet 控制面板"中的"禁用常规页"策略,则无需设置该策略,因为"禁用常规页"策略将删除界面上的"常规"选项卡。

3、逐级展开"用户设置"→"管理模板"→"Windows组件"→"Internet Explorer"分支,我们可以在其下发现"Internet控制面板"、"脱机页"、"浏览器菜单"、"工具栏"、"持续行为"和"管理员认可的控件"等策略选项。利用它可以充分打造一个极有个性和安全的IE。

(九)、把Administrator藏起来

Windows系统默认的系统管理员账户名是Administrator。因此,为了避免有人恶意破解系统管理员Administrator账户的密码,我们可以将Administrator改为其他名字以加强安全。点击"开始→运行",输入gpedit.msc,打开"组策略",如图9所示,选择"计算机配置→Windows设置→安全设置→本地策略→安全选项",在右边窗格里双击"账户:重命名系统管理员账户"项,在上面输入你想要的用户名。重新启动计算机后,输入的新用户名即刻生效。如果再新建一个Guest用户,用户名为Administrator,然后再加上十分复杂的密码就更安全。

提示:为了避免让人在Windows的登录框中看到曾经登录过的用户名,就要双击"交互式登录:不显示上次的用户名"子项,选择"已启用"将该策略启用。这样上次登录到计算机的用户名就不会显示在Windows的登录画面中。

(十).禁用IE组件自动安装

选择"计算机配置"→"管理模板"→"Windows组件"→"Internet Explorer"项目,双击右边窗口中"禁用Internet Explorer组件的自动安装"项目,在打开的窗口中选择"已启用"单选按钮,将会禁止 Internet Explorer 自动安装组件。这样可以防止 Internet Explorer 在用户访问到需要某个组件的网站时下载该组件,篡改IE的行为也会得到遏制!相对来说IE也会安全许多!