过期罐头电脑论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 2969|回复: 0
收起左侧

用组策略提高Windows7 安全性

[复制链接]
recaide 2011-6-10 10:24:39 | 显示全部楼层
针对Windows 7(以下简称Win7)的优化设置方法也层出不穷,用户常常 是东拼西凑,没个眉目 ,而且这些方法更是真伪难辨,效果到底如何也无从知晓。其实应用 Win7 的系统组策略功能,就可以实现Win7的系统优化。本文为大家解说 如何应用 组策略,让Win7变得更安全(注:组策略功能只在Win7专业版、旗舰版和企业版中提供)。
  文件失密 给驱动器穿上隐身衣
  驱动器主要包括硬盘、光驱和移动设备等,主要用于存储数据等。因而 ,限制驱动器的使用,可以有效避免 重要和机密的信息外泄,阻击病毒和木马的入侵,非常 必要。驱动器不同,限制方法也不同,而且同一种驱动器也有不同的限制级别。就说硬盘吧,一般有隐藏和禁止访问两种级别。隐藏级别比较初级,只是让驱动器不可见,一般用于防御 小孩和初级用户,而禁止访问则可彻底阻止驱动器的访问。对于移动设备,可以选择设置读、写和执行权限,不过病毒和木马一般通过执行恶意程序来传播,因而 禁止执行权限才最有效。
  初级防御 普通用户看不到
  家里电脑硬盘上有一些重要文件,不想让他人 看到,最简单的方法 就是把文件所在的驱动器隐藏起来。点击“开始”,在搜索框中输入“gpedit.msc”,确认后即打开了组策略编辑器,依次展开“用户配置→管理模板→Windows组件→Windows资源管理器”,在右边设置窗口中,进入“隐藏‘我的电脑’中这些指定的驱动器”,选择“已启用”,在下面的下拉列表当选 择需要. 隐藏的驱动器,然后确定。再进入“计算机”,方才 选择的驱动器图标就不见了。
  提示:这个方法只是隐藏驱动器图标,用户仍可使用其他方法访问驱动器的内容,如在地址栏中直接键入驱动器上的目录路径。另外,此设置不会阻止用户使用程序访问这些驱动器或其内容。
  高级防御 特权用户才能用
  系统盘里面有重要的系统文件,不能让他人 随意 修改或移动。特别是有些分区存有重要文件时,假如 只是隐藏驱动器,他人 还是可以 访问,这样当然不行!最安全的方法就是把相关驱动器保护起来,禁止无权限的用户访问。
  同样,在组策略管理器当中依次展开“用户配置→管理模板→Windows组件→Windows资源管理器”,进入“避免 从‘我的电脑’访问驱动器”,选择“已启用”,在下面的下拉列表当选 择需要. 禁止访问的驱动器,确定后即可生效。他人 再想访问相关驱动器时,会出现“限制”的提示窗口!当自己. 需要. 查看时,只需 把相关的策略设置从“已启用”改成“未配置”即可。
  提示:如何阻止其别人 使用组策略编辑呢?很简单,通过建立不同权限的用户,让其别人 使用普通User类型的账户(无权开启组策略编辑器)就可以了。
  禁用移动设备执行权限 断木马病毒后路
  移动设备(例如闪存、移动硬盘等)已经成为不少用户的标准配置,使用也最为普遍 。正因如此,它也成了病毒和木马传播的主要途径。而普通的限制读写权限并不能阻止病毒和木马入侵,由于 病毒传播都是通过执行病毒和木马程序来实现的,因而 禁用执行权限就能切断病毒传播途径。
  依次展开“计算机配置→管理模板→系统→可移动存储访问”,进入“可移动磁盘:回绝 执行权限”,选择“已启用”,确定后设置生效。移动设备上的可执行文件将不能执行,计算机也就不会再被病毒感染。而假如 需要. 执行,只需要. 拷贝到硬盘当中即可。
  上网冲浪 给浏览器穿上铁布衫
  电脑最重要的用处 之一就是上网,可是说实话,现在上网一点也不省心,病毒、木马和流氓软件横行,连不少大网站都会被挂马,用户真是防不胜防。而很多恶意软件都会窜改浏览器主页或浏览器的其他设置,一旦中招,打开浏览器就会弹出乌七八糟 的页面甚至是木马网站,让用户叫苦不及 !另外,有些用户应用 浏览器下载文件毫无规律,常常搞得文件紊乱 ,病毒文件一旦下载就很难清空 。因而 如何加强 浏览器的“免疫力”就显得特别重要。
  锁定主页
  主页被窜改是最常见的,而应用 组策略锁定后,就可以彻底解决这一问题。不只 不会再弹出乌七八糟 的页面,更是降低了再次中毒和中木马的几率。依次展开“用户配置→管理模板→Windows组件→Internet Explorer”,进入“禁用更改主页设置”,选择“已启用”,“选项”下面输入默认主页,确定后,设置生效。
  提示:启用此策略设置后,用户将无法对默认主页进行设置,因而 假如 需要. ,用户必须在修改设置前指定一个默认主页。
  冰封IE设置
  好像 上文所述,一旦系统中毒或中了木马,除了IE主页会被窜改,其他的IE设置也可能会被窜改。因而 给IE设置加上防护罩也是十分 有必要的。特别是IE设置一旦设定之后,可能长期都不会改动 ,因而 不如彻底冰封!
依次展开“用户配置→管理模板→Windows组件→Internet Explorer→Internet控制面板”,右边窗格有“禁用高级页”、“禁用连接页”、“禁用内容页”、“禁用常规页”、“禁用隐私页”、“禁用程序页”和“禁用安全页”,分别对应IE里“Internet选项”中的七个选项卡。如全部启用,打开“Internet选项”将出现“限制”的出错对话框,这就彻底杜绝了对IE浏览器设置的修改。

  提示:启动“禁用常规页”将会删除“Internet选项”中的“常规”选项卡。假如 启用此策略,则用户无法查看和更改主页、缓存、历史记录、网页外观以及辅助功能的设置。由于 此策略会删除“常规”选项卡,所以假如 设置此策略,则无须设置以下 Internet Explorer策略——“禁用更改主页设置”、“禁用更改Internet暂时 文件设置”、“禁用更改历史记录设置”、“禁用更改颜色设置”、“禁用更改链接颜色设置”、“禁用更改字体设置”、“禁用更改语言设置”和“禁用更改辅助功能设置”。
  权限管理 给系统配上火眼金睛
  现在有些软件真流氓,例如很多软件美其名曰为了方.便 他人 使用,却会在软件打包或者绿化的过程中恶意捆绑一些程序或者将一些网页也打包进去。方法一般很低级,无非是通过批处理文件和手动注入注册表信息来实现,因而 我们可以应用 组策略来禁止一些危险类型的文件运行。此外一些公共场所(如办公室等),很多软件都是不允许使用的(如聊天软件等),那么管理人员也可以应用 组策略来实现有效地管理。
  禁止危险文件运行
  有些类型的文件(如“.reg”注册表文件和“.bat”批处理文件)一般用户很少用得上,而且又很容易被病毒或木马应用 ,因而 禁止这些类型的文件运行就可以在一定水平 上保证 计算机的安全。
  依次展开“计算机配置→Windows设置→安全设置→软件限制策略”,在弹出的右键菜单上选择“创建软件限制策略”,会自动生成“安全级别”、“其他规则”、“强迫 ”、“指定的文件类型”和“受信任的发布者”五项。进入“指定的文件类型”的属性窗口,只留下需要. 禁止的文件类型,例如“bat批处理文件”,将其他的文件类型全部删除。假如 类型不在列表中,就直接在下面的“文件扩展名”文本框中输入要禁用的文件类型,添加进去即可。再进入“安全级别→不允许”,点击“设为默认”按钮,此策略即生效。再运行任何批处理文件时,就会被阻止执行。

  禁用程序 穿上马甲我也认识你
  除此之外,很多公司都不允许使用聊天软件。以QQ为例,假如 直接卸载QQ,使用者还可能再安装,或者把软件安装到其他位置。此时无妨 应用 组策略来轻松完成 。
  依次展开“计算机配置→Windows设置→安全设置→软件限制策略→其他规则”,选择“新建哈希规则”。点击“浏览”选择QQ的执行文件 “QQ.exe”,“文件信息”下面第一行就是生成的哈希值,这个值是独一 的,下面还会显示出文件的基础信息,“安全级别”选择“不允许”。确认、注销后,再次登录,设置即可生效。
  提示:采用哈希规则的益处 是不管程序被改名或是移动位置或其他任何操作,只需 哈希值被验证一致,那么限制就不会失效!因而 可以有效限制某些软件的运行。
您需要登录后才可以回帖 登录 | 注册

本版积分规则

一键重装系统|雨人系统下载|联系我们|网站地图|过期罐头电脑论坛

GMT+8, 2024-11-25 12:32 , Processed in 0.046266 second(s), 26 queries .

官方免责声明:本站内容来自网友和互联网.若侵犯到您的版权.请致信联系,我们将第一时间删除相关内容!

Powered by Discuz!

专注于win7_win10_win11系统下载装机

© 2010-2023 GQGTPC.Com

快速回复 返回顶部 返回列表