1 使用组策略
在“开始”菜单中,单击“运行”命令项,输入gpedit.msc并确定,即可运行程序。组策略的主界面共分为左右两个窗口,左边窗口中的“本地计算机”策略由“计算机配置”和“用户配置”两个子键构成,右边窗口中是针对左边某一配置可以设置的具体策略,共有三种状态,分别是:未配置、已启用、已禁用。
组策略中的“计算机配置”是对整个计算机中的系统配置进行设置的,它对当前计算机中所有用户的运行环境都起作用;而“用户配置”则是对当前用户的系统配置进行设置的,它仅对当前用户起作用。比如“计算机配置”和“用户配置”都提供了“停用自动播放”功能的设置,但效果是不同的;如果是在“计算机配置”中选择了该功能,那么所有用户的光盘自动运行功能都会失效;如果是在“用户配置”中选择的该功能,那么仅仅是该用户的光盘自动运行功能失效,其他用户则不受影响。
2 组策略实战演练
2.1 保护个人文档隐私
在开始菜单中有一个“我最近的文档”菜单项,可以记录你曾经访问过的文件。这个功能可以方便用户再次打开该文件,但别人也可通过此菜单访问你最近打开的文档,为安全起见,有时需要屏蔽此功能。只要将组策略控制台“任务栏和开始菜单”右侧窗格中的“不要保留最近打开文档的记录”和“退出时清除最近打开的文档的记录”两个策略启用即可。
同时要注意如果启用此策略设置但不启用“从开始菜单中删除文档菜单”策略设置,“文档”菜单还会出现在“开始”菜单上,但是该菜单为空菜单。如果启用此策略设置,后来又禁用它并将它设置为“未配置”,则启用策略设置之前保存的文档快捷方式会重新出现在“文档”菜单和应用程序的“文件”菜单中。
2.2 禁止修改IE浏览器的主页
如果不希望他人对IE浏览器主页进行随意更改,依次展开“用户配置→管理模板→Windows组件→Internet Explorer→工具栏”,然后选择“禁用更改主页设置”组策略并启用即可。
提示:如果您已经设置了位于“组策略控制台→用户配置→管理模板→Windows组件→Internet Explorer→Internet Explorer控制面板”中的“禁用常规页”策略,则无须再设置该策略。
2.3 管理IE加载项
许多Active控件都是通过IE的加载项来实现安装并应用的,而它又是病毒和木马蔓延的主要途径,打开“计算机设置→管理模板→Windows组件→Internet Explorer”,将右侧的“禁用Internet Explorer组件的自动安装”和“禁止用户启动或禁用加载项”的属性都设置为“已启用”,则可防止用户下载到一些有害的IE组件,从而提高系统的安全性。
2.4 禁用注册表编辑器
为了防止他人进入电脑后对注册表文件进行修改,打开“用户配置→系统”中的“阻止访问注册表编辑工具”并启用此策略,用户再试图启动注册表编辑器 (Regedit.exe及Regedt32.exe) 的时候,系统会禁止这类操作并弹出警告消息。
2.5 彻底禁止访问“控制面板”
如果不希望其他用户访问计算机的“控制面板”,打开“用户配置→管理模板→扩展面板”中的“禁止访问控制面板”并启用此策略, 可以防止他人启动“控制面板”(或运行任何“控制面板”项目)。另外,这个设置将从“开始”菜单中删除“控制面板”,并在资源管理器中删除“控制面板”文件夹。
2.6 防止木马运行
如果不希望他人随意运行电脑上的程序时,可打开“用户配置→管理模板→系统”中的“只运行许可的Windows应用程序”并启用此策略,然后点击下面的“允许的应用程序列表”边的“显示”按钮,弹出一个“显示内容”对话框,在此单击“添加”按钮来添加允许运行的应用程序即可。
提示:运用此策略可防止木马的运行,但由于所有未加入列表中的程序都会被禁止运行,因此如果安装了新的软件,千万不要忘记将相关的执行命令加入到组策略中去。
2.7 增强帐号密码的复杂性
依次展开“计算机配置→Windows设置→安全设置→帐户策略→密码策略”,在右侧框体中找到“密码必须符合复杂性要求”项,双击打开选中“已启用”,最后点击“确定”按钮。然后,打开“密码长度最小值”项,为帐号密码设置最短字符限制。这样以来,密码的安全性就大大增强了。
2.8 限定匿名用户共享访问内容
打开“计算机配置→Windows设置→安全设置→本地策略→安全选项”项目,在右侧窗口找到“网络访问:可匿名访问的共享”选项并双击,将系统默认的允许访问的共享资源全部选中并删除后,可根据实际情况将的确需要向匿名用户长期开放的目标共享文件夹添加进来,再单击“确定”按钮,完成上面操作后,再分别打开“网络访问:可匿名访问的命名管道”策略和“网络访问:可远程访问的注册表路径”策略的属性窗口,将多余的共享资源项目全部删除掉,这样匿名用户就只能访问指定的共享文件夹了。
组策略在Windows系统中越来越占据着举足轻重的地位,以上只是我在教学和使用过程中的一点心得,还有更多的组策略应用等着您的挖掘,让您通过对组策略的个性化设置,不仅能够充分展示计算机的个性,而且可以让操作系统越来越安全。
摘要:组策略是管理员为计算机和用户定义的, 用来控制应用程序、系统设置和管理模板的一种机制。简单点说, 组策略就是修改注册表中的配置。当然, 组策略使用自己更完善的管理组织方法, 可以对各种对象中的设置进行管理和配置, 远比手工修改注册表方便、灵活, 功能也更加强大。
关键词:组策略,技巧,Windows XP教学
参考文献
[1] 王淑江, 刘晓辉.Windows2000/XP/2003组策略实战指南[M].人民邮电出版社.
[2] Derek Melber (美) .微软组策略专家组.Windows Server2008与Windows Vista组策略参考大全[M].人民邮电出版社.
[3] 精通Windows XP疑难解析与技巧1200例[M].中国铁道出版社.