windows组策略,黑客入门学习,前两天和大家分享了windows注册表的学习内容,大家了解到注册表是一个数据库,存储了windows系统中系统和应用软件的配置。很多黑客攻击是可以通过修改注册表配置来防止的,但是这些配置公布在注册表的每个角落,如果手动配置的话相当复杂。组策略将系统的重要配置功能收集到各种配置模块中,供管理人员直接使用,从而达到方便管理计算机的目的。
简单地说,组策略就是修改注册表中的配置。当然,组策略可以利用自己更完善的管理组织方式,管理和配置各种对象中的设置,这远比手动修改注册表方便、灵活、强大。
所以今天我们就来分享一下windows组策略的基本功能,常用功能的配置方法,以及如何利用组策略的安全设置来防御黑客。
一、windows组策略的基本作用
基本功能:
1.在日常工作中,在windows单机模式下,组策略中有很多有用的功能,比如本地安全策略。
本地安全策略是为登录到计算机的帐户定义一些安全设置。在没有集中管理active directory的情况下,本地管理员必须设置计算机的设置以确保其安全性。例如,限制用户如何设置密码,通过帐户策略设置帐户安全,通过锁定帐户策略阻止他人登录计算机,分配用户权限等。这些安全设置按组进行管理,这构成了的本地安全策略。
2.windows域中组策略的角色
它是组策略管理员为用户和计算机自定义和控制程序、网络资源和操作系统行为的主要工具。您可以通过组策略设置各种软件、计算机和用户策略。例如,您可以使用组策略向网络用户分发软件,设置用户可以运行的程序,自定义“开始”菜单并简化控制面板。此外,您可以添加可以在计算机上自动运行的脚本(当计算机启动或停止时,以及当用户登录或注销时),甚至可以配置internet explorer。组策略的优点是系统管理员可以灵活控制windows网络的客户端环境,更方便地管理整个网络。但是灵活性带来了复杂性。如何熟悉并熟练应用组策略是系统管理员必须解决的问题。如果能够正确灵活地使用组策略,windows系统将发挥更强大的作用,为个人用户和企业用户带来更大的好处。
二。常见的windows组策略配置方法
独立模式下的通用组策略:
(a)获取集团政策
访问组策略有两种方式:一种是通过gpedit.msc命令直接进入组策略窗口;第二步是打开控制台并添加组策略。
1.输入gpedit.msc命令访问并选择“开始”→“运行”,在弹出窗口中输入“gpedit.msc”,进入组策略窗口。组策略窗口的结构类似于资源管理器,左边是树形目录结构,由两个节点组成:计算机配置和用户配置。在这两个节点下,有三个节点:软件设置、windows设置和管理模板,这些节点下还有更多节点和设置。此时,点击右侧窗口中的节点或设置,会出现该节点或设置适用的平台和功能的描述。“计算机配置”和“用户配置”两个节点下的很多子节点和设置都是一样的,那么我们应该更改哪一个呢?“计算机配置”节点中的设置应用于整个计算机策略,此处修改的设置将应用于计算机中的所有用户。用户配置节点中的设置一般只适用于当前用户。如果您使用另一个用户名登录到计算机,这些设置将不起作用。但一般情况下,建议在“用户配置”节点下修改。本文也将主要讲解“用户配置”节点中各种设置的修改,以及“计算机配置”节点下的一些设置。其中“管理模板”的设置最多,应用最广,因此也是本文的重中之重。
2.通过控制台进入组策略,点击“开始”→“运行”,输入“mmc”,进入控制台窗口。在控制台窗口中单击“文件”→“添加/删除管理单元”,在弹出窗口中单击“添加”,然后选择“组策略”并单击“添加”,然后在下一个“选择组策略对象”对话框中选择一个对象。由于我们组策略的对象是“本地计算机”,所以没有必要更改它。如果是网络上的另一台计算机,请单击“浏览”选择这台计算机。此外,如果您想保存组策略控制台,并且您想能够选择通过命令行在控制台中打开组策略对象,请选择“从命令行启动时允许更改组策略管理单元的焦点”复选框。添加的最后一个组策略。
(2)任务栏和“开始”菜单项设置
此节点允许您添加、删除或禁用开始菜单、任务栏和通知区域的功能项目。依次展开“用户配置”→“管理模板”→“任务栏和开始菜单”,可以在右侧窗口的“任务栏和开始菜单”节点下看到具体的设置,它们的状态都是“未配置”。
1.为“开始”菜单减肥
windows的“开始”菜单中有很多菜单项,可以通过组策略删除。以删除开始菜单中的“我的文档”图标为例来看其具体操作方法:双击右侧窗口中的“从开始菜单中删除我的文档图标”项,在弹出的对话框中的“设置”选项卡中点击“启用”,再点击“确定”,这样“开始”菜单中的“我的文档”图标就会被隐藏。
2.防止隐私泄露
“开始”菜单中有一个“我最近的文档”菜单项,其他人可以通过它访问您最近打开的文档。为了安全起见,您可以删除此菜单项,并将最近打开的文档记录设置为不保存。双击“不保留最近打开文档的记录”、“退出时清除最近打开文档的记录”、“从‘开始’菜单中删除‘文档’菜单”,然后在弹出的对话框中点击“开始”并确认。
3.禁止随意修改任务栏和开始菜单。
要保护您设置的任务栏和开始菜单,您可以双击启用下列设置。”防止更改’任务栏和’开始’菜单’设置’:也就是说,从’开始’菜单的’设置’菜单项中删除’任务栏和’开始’菜单’项。这个设置也可以防止用户打开“任务栏属性”对话框。“阻止访问任务栏的上下文菜单”(上下文菜单是右击弹出的快捷菜单):当鼠标右击任务栏和任务栏上的项目时,开始按钮、时钟、任务栏按钮等菜单都是隐藏的,但不能禁止用户在别处更改。锁定任务栏:启用此设置以防止用户移动任务栏或调整任务栏的大小,但自动隐藏和其他任务栏选项仍可在任务栏属性中使用。
4.删除windows xp“开始”菜单中的图形设置。
windows开始菜单添加了许多图形设置,但是这些功能可以在组策略中关闭。“关闭个性化菜单”:windows xp会自动将最近使用的菜单项移动到开始菜单的顶部,并隐藏最近未使用的菜单项,实现个性化菜单。启用此设置将关闭个性化菜单。”强制典型菜单”:启用此设置时,开始菜单将以windows 2000的样式显示典型的开始菜单,并显示标准桌面图标。
5.禁止“注销”和“关机”。
从事3d动画设计和视频处理的朋友,往往会花上几个小时导出一个大型的动画和视频文件。这时候如果有人重启电脑或者注销用户,前面的工作就白费了,所以要禁止“开始”菜单中的“注销”和“关机”菜单项。你只需要双击“删除开始”菜单上的“注销”和“删除并阻止访问”关闭命令即可。此设置不仅会删除“开始”菜单中的“关闭计算机”项,还会禁用“windows任务管理器”对话框中的“关闭”选项。
(3)桌面项目设置
在组策略的左侧窗口,依次展开“用户配置”→“管理模板”→“桌面”节点,可以看到关于桌面的所有设置。本节点主要用于管理用户使用桌面的权限和隐藏桌面图标。
1.隐藏不必要的桌面图标
我们可以很容易地删除桌面上的一些快捷方式,但是要删除“我的电脑”、“回收站”、“我的网上邻居”等默认图标,就需要依靠“组策略”了。比如删除“我的文档”,只需在“删除桌面上我的文档图标”项中设置即可。
2.桌面没有变化。
组策略可用于禁止其他人更改某些桌面设置。“禁止用户更改我的文档路径”项可以防止用户更改我的文档文件夹的路径。“禁止添加、拖放和关闭任务栏的工具栏”项防止用户从桌面添加或删除任务栏。双击“退出时不保存设置”后,用户将无法保存对桌面的更改。最后双击启用设置项“隐藏并禁用桌面上的所有项目”,会从桌面上删除图标、快捷方式等默认和自定义的项目,甚至桌面右键菜单也会被禁止。
3.启用或禁用活动桌面
“活动桌面”项,可以根据自己的需要设置活动桌面的各种属性。“启用活动桌面”项目启用活动桌面,并防止用户禁用它。“活动桌面壁纸”项目可以指定显示在所有用户桌面上的桌面墙。启用“不允许更改”项目可以防止用户更改active desktop配置。
(4)隐藏或禁止控制面板项目
这里说的控制面板项目设置是指配置控制面板程序的设置,主要用于隐藏或禁止控制面板项目。在组策略左侧窗口,依次展开“用户配置”→“管理模板”→“控制面板”,可以看到控制面板节点下的所有设置和子节点。
1.隐藏或禁止“添加/删除程序”项目
展开“添加/删除程序”项:双击启用“删除”添加/删除程序设置项后,控制面板中的“添加/删除程序”项将被删除。此外,“添加或删除程序”对话框中有三个页面:“更改或删除程序”、“添加新程序”和“添加/删除windows组件”;当你进入“添加新程序”页面时,你会发现三个选项:“从光盘或软盘添加程序”、“从微软添加程序”和“从网络添加程序”。如果要隐藏这些特定的页面或选项,可以直接在组策略的“添加/删除程序”项中启用相应的隐藏功能。
2.隐藏或禁止“显示”项目
展开“显示”项,发现这个项和上一项一样,可以隐藏“显示属性”对话框中的选项卡。这里就不赘述了。比如双击启用“隐藏桌面标签”后,“桌面”项将不再出现在“显示窗口”中。另外,在这里,用户还可以启用“删除控制面板中的‘显示’”,这样当双击控制面板中的“显示”项时,会弹出一个对话框,提示您系统管理员禁止使用“显示”控制面板。
3.其他的
依次展开“显示”→“桌面主题”,双击启用“删除主题选项”、“禁止选择窗口和按钮样式”、“禁止选择字体大小”,防止他人更改主题、窗口和按钮样式及字体。展开“打印机”项,双击启用“防止添加打印机”或“防止删除打印机”以防止其他用户添加或删除打印机。最后,在“控制面板”项目的正下方,“不要访问控制面板”被启用,控制面板将不会启动。
(5)系统项目设置
此项在“用户配置”→“管理模板”→“系统”中设置。组策略中的系统设置涉及登录、电源管理、组策略、脚本等多项。这里把与我们密切相关的部分整理出来,列举如下:
1.登录时不显示欢迎屏幕界面。
windows 2000和windows xp系统在登录时默认有一个欢迎屏幕。虽然很漂亮,但是很麻烦,延长了登录时间。可以通过组策略将其删除。双击“系统”节点下的“登录时不显示欢迎屏幕”,用户每次登录时都会隐藏欢迎屏幕。
2.禁用注册表编辑器
为了防止其他人修改注册表,可以在组策略中禁止对注册表编辑器的访问。当用户在双击“系统”节点下的“阻止访问注册表编辑器”项后试图启动注册表编辑器时,系统会提示该注册编辑器已被管理员禁用。另外,如果你的注册表编辑器被锁定了,你也可以双击这个设置,在弹出的对话框的“设置”标签中点击“未配置”项,这样你的注册表就会被解锁。要防止用户使用其他注册表编辑工具打开注册表,请双击以启用“仅运行授权的windows应用程序”。
3.关闭系统自动播放功能。
将光盘插入光驱后,windows xp将开始读取光驱并启动相关应用程序。虽然这给我们的工作带来了便利,但在某些情况下也带来了很多麻烦。在“系统”节点下,有一个“关闭自动播放”的设置项。双击它,在弹出对话框的“设置”选项卡中点击“启用”。在“关闭自动播放”框中,选择“cd-rom启动器”或“所有驱动器”。
4.关闭windows自动更新
每当用户连接到internet时,windows xp都会在用户的计算机上搜索可用的更新。根据具体的配置,它会在下载的组件准备安装时或下载前提示用户。如果你不喜欢big bill自作主张的态度,可以通过组策略关闭这个功能。只需双击“系统”节点下的“windows自动更新”设置项,在弹出的对话框中点击“禁用”并确认即可。
5.ctrl alt del选项
如果windows xp用户已经取消了“欢迎屏幕”项,如果同时按下“ctrl alt del”键,会弹出一个“windows安全”对话框。这个对话框有六个功能按钮:“锁定电脑”、“注销”、“关机”、“修改密码”、“任务管理器”、“取消”大家都知道这里的每一个按钮在系统中都起着关键的作用。为了防止其他人操作,您可以通过组策略阻止这些按钮。在“系统”下找到“ctrl alt del选项”,双击启用“删除任务管理器”、“删除‘锁定电脑’”、“删除更改密码”、“删除注销”,屏蔽掉“windows安全”对话框中的“任务管理器”、“锁定电脑”、“更改密码”、“取消”四项。注意:“注销”和“关机”菜单项的屏蔽在“用户配置”→“管理模板”→“任务栏和开始菜单”的节点下。
(6)隐藏或删除windows xp资源管理器中的项目
一直以来,资源管理器都是windows系统中最重要的工具,如何高效安全地管理资源是计算机用户不懈的追求。依次展开“用户配置”→“管理模板”→“windows组件”→“windows资源管理器”,可以看到“windows资源管理器”节点下的所有设置。让我们看看如何通过组策略来个性化资源管理器。
1.删除“文件夹选项”
“文件夹选项”是资源管理器中的一个重要菜单项,通过它可以修改文件的查看方式,编辑文件类型的打开方式。我们自己设置好之后,为了防止别人随意更改,可以删除这个菜单项。您只需双击启用“从工具菜单中删除文件夹选项菜单”即可完成此设置。
2.隐藏“管理”菜单项
在浏览器中右键点击“我的电脑”,快捷菜单中有“管理”菜单项。通过此菜单项,您可以打开一个“计算机管理”窗口,其中包含许多工具,如“事件查看器”、“本地用户和组”、“设备管理器”和“磁盘管理”。为了保护您的计算机免受他人的无意破坏,您可以双击启用“隐藏windows资源管理器上下文菜单上的‘管理’项”来阻止此菜单项。
3.隐藏其他项目
此外,您可以通过启用“在我的电脑中隐藏这些指定的驱动器”来隐藏指定的驱动器。您也可以通过启用“整个网络不包括在‘网上邻居’中”来屏蔽“整个网络”项目。双击“删除光盘刻录功能”,删除windows xp自带的光盘刻录功能。双击“不要将已删除的文件移动到‘回收站’”以在不进入回收站的情况下删除文件。当然,这里还有很多项目没有提到,大家可以根据自己的需求去摸索,做出合适的配置。
(七)ie浏览器项目设置
在组策略左侧窗口中展开“用户配置”→“管理模板”→“windows组件”→“internet explorer”,在右侧窗口中可以看到“internet explorer”节点下的所有设置和子节点。ie windows xp自带的网页浏览器也是大多数用户采用的浏览器,但其安全性也饱受诟病。在这里,我们将通过组策略来“改造”它。
1.在ie工具栏中添加快捷方式
不知道大家有没有注意到,很多软件在安装后都会在ie工具栏上添加图标,点击图标就可以启用相应的程序。事实上,组策略可以用来在ie工具栏上添加任何程序的快捷方式。这里有一个例子来说明如何添加一个icq的启动图标。展开“internet explorer维护”下的“浏览器用户界面”,双击“浏览器工具栏定制”设置项,在弹出的对话框中点击“添加”按钮,在“浏览器工具栏按钮信息”对话框的“工具栏标题”中输入:icq,在“工具栏操作”中输入d:\fun\icqlite\icqlite.exe点击“确定”,ie工具栏中就会出现一个icq图标!
2.让ie插件不再骚扰你
通常我们在上网的时候,会弹出一些“是否安装flash插件”、“是否安装3721网络实名”之类的提示,就像广告窗口一样烦人。实际上,我们可以通过启用组策略中“internet explorer”节点下的“禁用internet explorer组件的自动安装”来禁止此提示。不过,有时候这个功能也很有用,所以禁用之前请稍微考虑一下。
3.保护您的隐私
一般点击ie工具栏上的“历史”按钮,就可以知道之前浏览过的网页和文件。为了保密,可以双击“internet explorer”节点下的“不保留最近打开文档的记录”和“退出时清除最近打开文档的记录”设置,然后点击ie工具栏上的“历史”按钮,所有访问过的历史网页记录都会消失。
4.违禁物品
如果不希望别人修改你的j9九游会登录主页,可以在“internet explorer”节点下启用“禁止更改j9九游会登录主页设置”的设置项,禁止别人更改你的j9九游会登录主页。也可以进入“浏览器菜单”,启用设置项屏蔽ie浏览器的部分菜单项。最后,在“internet控制面板”节点下,可以隐藏“internet选项”对话框中的一些选项卡。
域环境中的通用组策略:
1.在域控制下更改客户端桌面壁纸。
前提:确保网络可访问,防火墙关闭,图片格式。jpg,共享目录应该是域控制c驱动器。步骤:(1)在域控制c盘上建立一个共享文件夹桌面,处于可读模式,将共享图片desk.jpg存放在共享目录下。(2)开始菜单→管理工具→组策略管理→找到对应的组织单位→创建对应的ou→命名为“壁纸”→右键编辑→用户下配置→策略→管理模板→桌面→活动桌面→启用活动桌面,不启用任何更改,启用桌面壁纸(壁纸的名称为\ \ 192.168.200.20 \ \ \ \ \ \ \ \
2.发布公告信息。
前提:在ad用户和计算机中,将计算机中的计算机移动到其对应的组织单元中。
步骤:开始→管理工具→组策略管理→找到对应的组织单位→创建对应的ou→命名为“公告”→右键编辑→计算机配置→策略→windows设置→安全设置→本地策略→安全选项→交互登录:用户尝试登录的消息标题和消息正文→输入所需内容→强制刷新组策略(gpupdate /force)→重启客户端生效。
3.禁用命令行
步骤:开始→管理工具→组策略管理→找到对应的组织单位→创建对应的ou→命名为“禁用命令行”→右击编辑→用户配置→策略→管理模板→“开始”菜单和任务栏→从开始菜单删除“运行”菜单→强制刷新组策略(gpupdate /force)→重启客户端生效。
注意:此操作不接受计算机下的计算机是否受用户的组织单位影响。
4.发布办公软件。
步骤:(1)下载office(找pro11。msi)→cmd→msiexec -a (拖动第一步的路径)→回车→弹出管理员安装→填写产品密钥→放入c盘下的共享文件夹(2)开始→管理工具→组策略管理→找到相应的组织单位→创建相应的ou→命名为“禁用命令行”→右键编辑→用户配置→策略→软件设置→软件安装→右键新建→数据包→网络(此路径必须是网络)→源pc→找到。共享文件夹中的msi软件→打开→分配(分配为强制安装
5.更改客户端用户密码策略。
步骤:开始→管理工具→组策略管理→找到对应的组织单位→创建对应的ou→命名为“禁用命令行”→右键编辑→计算机配置→策略→windows设置→安全设置→帐户策略→密码策略、最小密码长度等。,可以根据需要定制→在ad用户和电脑中→找到对应的电脑重置密码。
6.文档共享
步骤:(1)在域控制c盘下新建一个共享文件夹“document share”→右键单击共享→授予所有人读写权限→开始→管理工具→ad用户和计算机→选择要漫游的用户→右键单击属性→配置文件→配置文件路径:\ \ 192 . 168 . 1 . 10 \ document share \ % username %→应用确定。(2)进入c盘→右击“文档共享”文件夹→属性→安全→高级→所有者→编辑→选择管理员和(替换子容器和对象的所有者)→应用确定,重启客户端。(3)进入“共享文档”→右击用户文件夹→属性→安全→编辑→添加→高级→立即查找→选择对应客户端→确认一键到底→刷新组策略(guupdate /force),重启客户端。此时,添加到域中漫游的文件可以离开物理机,随帐户漫游。
7.文件夹重定向
步骤:(1) 在域控制c盘下新建一个共享文件夹“文件”→右键共享→授予所有人读写权限→开始→管理工具→组策略管理→找到对应的组织单位→创建对应的ou→命名为“文件夹重定向”→右键编辑→用户配置→策略→windows设置→文件夹重定向→文档→右键属性→设置目标:基本-位置下的行(注意添加兼容性包含在右边的设置选项下) →目标文件夹位置行:在根目录路径下为每个用户创建一个文件夹→根路径行:浏览(注意这应该是网络路径)应用,确定→刷新组策略。 (2)转到c盘→右键“文件”→属性→安全→高级→所有者→编辑→选择管理员,替换子容器和对象的所有者→确定。再次进入“文件”→访问用户文件夹→右键单击我的文档→右键单击属性→安全→编辑→添加→高级→立即查找→添加相应用户→授予完全权限→确定到最后。
8.禁止所有用户加入域,只有管理员可以将计算机加入域。
步骤:(1)开始→管理工具→adsi编辑器→右击adsi编辑器→连接到→勾选“选择或键入域服务器”:lv.com(域名控制)→确定→点击“默认命名上下文”→右击“dc=lv,dc = com”→属性→更改“ms-ds-machineaccountoquota”→“10”为“0”。(2)ad用户和电脑→右键“市场部”(组织单元)→委托控制(e)→下一步→添加→高级→立即查找→王经理(主管)→王经理
9.禁用客户端ip功能
步骤:开始→管理工具→组策略编辑→默认域策略右键→编辑→计算机配置→策略→windows设置→安全设置→系统服务→网络连接→更改为自动→编辑安全设置→删除所有组或用户名→添加→域管理员、每个人→前者给予完全权限,后者给予读取权限→应用,确定→刷新整个区域策略,重新启动客户端。
10.设置客户端iej9九游会登录主页及其对应的权限设置。
步骤:(1)开始→管理工具→组策略管理→找到对应的组织单位→创建对应的ou→命名为“修改j9九游会登录主页”→右键编辑→用户配置→策略→windows设置→ internet explorer维护→网址→重要网址→自定义j9九游会登录主页:http//www.google.com.hk(公司j9九游会登录主页)→申请,确认。(2)开始→管理工具→组策略管理→找到相应的组织单位→创建相应的ou→命名为“修改j9九游会登录主页”→右键编辑→在计算机配置下→管理模板→windows组件→internet explorer→internet控制面板→internet区域→安全页面→internet区域→允许下载等设置。
1.限制软件的使用
步骤:(1)开始→管理工具→组策略管理→查找对应的组织单位→创建对应的ou→命名为“修改j9九游会登录主页”→右键编辑→用户配置→策略→管理模板→系统(在最右边查找策略)→不运行指定的windows应用程序→启用→显示→添加应用程序的启动项名称(192.168。(2)开始→管理工具→组策略管理→找到对应的组织单位→创建对应的ou→命名为“修改j9九游会登录主页”→右键编辑→计算机配置→策略→windows设置→安全设置→软件限制策略→右键创建→安全级别→设置“无限制”为默认→输入“其他规则”→右键新建哈希规则和路径规则→确认
12.禁用注册表编辑器和命令提示符。
步骤:开始→管理工具→组策略管理→找到对应的组织单位→创建对应的ou→命名为“修改j9九游会登录主页”→右键编辑→用户配置→策略→管理模板→系统(在最右边寻找策略)→系统阻止访问注册表编辑工具和命令提示符→启用→刷新组策略,重启客户端。
第三,使用组策略的安全设置来防御黑客入侵。
(1)向我们的ip添加安全策略
在“电脑配置”→“windows设置”→“安全设置”→“ip安全策略”下,“本地电脑”下有几项与网络相关的设置。如果你对互联网比较熟悉,也可以通过它来添加或修改更多的网络安全设置,这样在windows上运行网络程序或者上网都会比较安全。
提示:由于这个物品比较专业,会涉及到很多专业概念,一般用户用不到。在这里,它只是对网络管理员的一个提醒,所以我将在这里跳过它。
(2)隐藏驱动器
通常我们隐藏文件夹后,其他人只需要显示文件夹选项中的所有文件,就可以看到了。我们可以在组策略中删除这个选项:选择“用户配置→管理模板→windows组件→windows资源管理器”。
(3)禁用指定的文件类型。
在“组策略”中,我们可以禁用shs、msi、bat、cmd、com、exe等程序文件类型。而不影响系统的正常运行。这里,假设我们要禁用注册表的reg文件,阻止系统运行reg文件。具体操作方法如下:
1.打开组策略,点击“计算机配置→windows设置→安全设置→软件限制策略”,在弹出的右键菜单中选择“创建软件限制策略”,会生成“安全级别”、“其他规则”、“强制”、“分配的文件类型”、“受信任的发行者”项。
2.双击“分配的文件类型”打开“分配的文件类型属性”窗口,只保留reg文件类型,删除所有其他文件。如果有其他要禁用的文件类型,可以再次打开此窗口,在“文件扩展名”空白条中输入要禁用的文件类型并添加。
3.双击“安全级别→不允许”项,然后单击“设为默认值”按钮。然后注销系统或者重启系统,这个策略就会生效。运行reg文件时,会提示“由于软件限制策略,windows无法打开此程序”。
4.要取消这个软件限制策略,双击“安全级别→无限制”,打开“无限制属性”窗口,按“设为默认”。
如果用鼠标右键点击“计算机配置→windows设置→安全设置→软件限制策略→其他规则”,会看到它可以建立哈希规则、internet区域规则、路径规则等策略。通过使用这些规则,我们可以使系统更加安全。例如,使用“路径规则”可以为电子邮件程序用来运行附件的文件夹创建路径规则,并将安全级别设置为“不允许”以防止电子邮件病毒。
提示:为了避免“软件限制策略”限制系统管理员,我们可以双击“强制”,选择“除本地管理员以外的所有用户”。如果使用文件类型限制策略,此选项可以确保管理员有权运行受限制的文件类型,而其他用户无权运行它。
(4)未经许可,不得登录本机。
使用电脑时,我们有时不得不离开座位一会儿。如果有很多打开的文档还没有处理或者正在下载东西,挂popo等。,为了避免有人使用电脑,我们通常会锁定电脑。但是,在局域网中,为了方便网络登录,我们有时会设置一些来宾帐户。如果对方用这些账号注销当前账号,登录其他账号,那就麻烦了。由于我们无法删除或禁用这些账号,所以可以通过组策略禁止部分账号登录本机,这样对方就只能通过网络登录了。
在“组策略”窗口中,依次打开“计算机配置→windows设置→安全设置→本地策略→用户权限分配”,然后双击右窗格中的“拒绝本地登录”项,在弹出窗口中添加要禁止的用户或组。如果要反其道而行之,禁止用户从网络登录,只能在本地登录。您可以双击“拒绝从网络访问这台计算机”来添加用户。
(5)为“睡眠”和“待机”添加密码
只有“屏保”的密码是远远不安全的。我们必须为“休眠”和“待机”添加密码,以使其更加安全。让我们给“休眠”和“待机”添加密码。在“组策略”窗口中,展开“用户配置→管理模板→系统→电源管理”,双击右窗格中的“从休眠/挂起状态恢复时提示输入密码”,将其设置为“已启用”。然后,当我们从“待机”或“休眠”状态返回时,我们会要求您输入用户密码。
(6)自动记录操作。
在“计算机配置→windows设置→安全设置→本地策略→审计策略”上,我们可以看到它可以审计策略更改、登录事件、对象访问、进程跟踪、目录服务访问、特权使用等。这些审计可以记录你在某个时间,某个时刻,某个时刻,某个时刻做了什么:你什么时候登录,什么时候关闭系统或者改变策略等等。
我们要养成在控制面板→管理工具→事件查看器中查看事件的好习惯。例如,当你修改“组策略”时,系统出现了问题。这个时候“事件查看器”会及时告诉你哪些策略被修改了。在“登录事件”中,您可以查看详细的登录事件,并了解有人试图使用禁用的帐户登录,并且其帐户密码已过期…以及要启用哪些审计,只需双击相应的项目并选择“成功”和“失败”选项。
注意:在windows xp家庭版中没有“组策略”。只有windows xp professional版本有“组策略”。请注意这点。
(7)限制ie浏览器的保存功能。
多人共用一台电脑时,为了保持硬盘整洁,需要限制浏览器的保存功能的使用,那么如何实现呢?具体方法是:选择“用户设置”→“管理模板”→“windows组件”→“internet explorer”→“浏览器菜单”分支。双击右窗格中的“文件”菜单:禁用“另存为…”菜单项,并在打开的设置窗口中选择“启用”单选按钮。提示:我们还可以修改“‘文件’菜单:禁用另存为网页的菜单项”、“视图’菜单:禁用源文件的菜单项”、“禁用上下文菜单”等策略项,这样我们的ie会更安全。
(8)禁止修改ie浏览器j9九游会登录首页。
如果你不希望别人或者网络上的某些恶意代码随意更改你设置的ie浏览器的j9九游会登录主页,我们可以选择“用户配置”→“管理模板”→“windows组件”→“internet explorer”分支,然后在右窗格中双击“禁用更改j9九游会登录主页设置”策略将其启用。
1.它为项目提供禁用功能,如更改历史设置、更改颜色设置和更改internet临时文件设置。如果启用此策略,ie浏览器“常规”选项卡的“j9九游会登录主页”区域中的设置将在“internet选项”对话框中灰显。
2.如果设置了位于“用户配置”→“管理模板”→“windows组件”→“internet explorer”→“internet控制面板”中的“禁用常规页面”策略,则没有必要设置该策略,因为“禁用常规页面”策略会删除界面上的“常规”选项卡。
3.一步步展开“用户设置”→“管理模板”→“windows组件”→“internet explorer”分支,我们可以在其下找到“internet控制面板”、“脱机页”、“浏览器菜单”、“工具栏”、“持久行为”、“管理员批准的控件”等策略选项。完全可以用来打造一个很有个性很安全的ie。
(9)隐藏管理员。
windows的默认系统管理员帐户名是administrator。所以为了防止有人恶意破解系统管理员的管理员账号密码,我们可以把管理员换成另一个名字来加强安全性。点击“开始→运行”,进入gpedit.msc,打开“组策略”,如图9,选择“计算机配置→windows设置→安全设置→本地策略→安全选项”,双击右窗格的“帐户:重命名系统管理员帐户”,在上面输入你想要的用户名。重启电脑后,输入的新用户名会立即生效。如果创建一个新的guest用户,用户名是administrator,然后添加一个非常复杂的密码会更安全。
提示:要防止人们在windows的登录框中看到已登录的用户名,请双击“交互式登录:不显示最后一个用户名”子项目,并选择“启用”以启用此策略。这样,最后登录到计算机的用户名将不会显示在windows的登录屏幕上。
(10).禁用ie组件的自动安装
选择“计算机配置”→“管理模板”→“windows组件”→“internet explorer”项目,双击右边窗口中的“禁用internet explorer组件自动安装”项目,在打开的窗口中选择“启用”单选按钮,将禁止internet explorer自动安装组件。这样就可以在用户访问需要某个组件的网站时,阻止ie浏览器下载该组件,对ie的篡改也将得到遏制!相对来说,ie会安全很多!
免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。 本文链接:https://www.andon8.com/207310.html