电脑技术学习

利用Win7系统组策略让Win7变得更安全

dn001

  针对Windows 7(以下简称Win7)的优化设置方法也层出不穷,用户往往是东拼西凑,没个头绪,而且这些方法更是真伪难辨,效果到底如何也无从知晓。其实利用Win7的系统组策略功能,就可以实现Win7的系统优化。本文为大家讲解如何利用组策略,让Win7变得更安全。

  注:组策略功能只在Win7专业版、旗舰版和企业版中提供。

  文件保密 给驱动器穿上隐身衣

  驱动器主要包括硬盘、光驱和移动设备等,主要用于存储数据等。因此,限制驱动器的使用,可以有效防止重要和机密的信息外泄,阻击病毒和木马的入侵,十分必要。驱动器不同,限制方法也不同,而且同一种驱动器也有不同的限制级别。就说硬盘吧,一般有隐藏和禁止访问两种级别。隐藏级别比较初级,只是让驱动器不可见,一般用于防范小孩和初级用户,而禁止访问则可彻底阻止驱动器的访问。对于移动设备,可以选择设置读、写和执行权限,不过病毒和木马一般通过执行恶意程序来传播,因此禁止执行权限才最有效。

  初级防御 普通用户看不到

  家里电脑硬盘上有一些重要文件,不想让别人看到,最简单的办法就是把文件所在的驱动器隐藏起来。点击“开始,在搜索框中输入“gpedit.msc,确认后即打开了组策略编辑器,依次展开“用户配置→管理模板→Windows组件→Windows资源管理器,在右边设置窗口中,进入“隐藏‘我的电脑’中这些指定的驱动器,选择“已启用,在下面的下拉列表中选择需要隐藏的驱动器,然后确定。再进入“计算机,刚才选择的驱动器图标就不见了。

  提示:这个方法只是隐藏驱动器图标,用户仍可使用其他方法访问驱动器的内容,如在地址栏中直接键入驱动器上的目录路径。另外,此设置不会阻止用户使用程序访问这些驱动器或其内容。

  高级防御 特权用户才能用

  系统盘里面有重要的系统文件,不能让别人随便修改或移动。特别是有些分区存有重要文件时,如果只是隐藏驱动器,别人还是能够访问,这样当然不行!最安全的方法就是把相关驱动器保护起来,禁止无权限的用户访问。

  同样,在组策略管理器当中依次展开“用户配置→管理模板→Windows组件→Windows资源管理器,进入“防止从‘我的电脑’访问驱动器,选择“已启用,在下面的下拉列表中选择需要禁止访问的驱动器,确定后即可生效(如图1所示)。别人再想访问相关驱动器时,会出现“限制的提示窗口!当自己需要查看时,只要把相关的策略设置从“已启用改成“未配置即可。  

  提示:如何阻止其他人使用组策略编辑呢?很简单,通过建立不同权限的用户,让其他人使用普通User类型的账户(无权开启组策略编辑器)就可以了。

  针对Windows 7(以下简称Win7)的优化设置方法也层出不穷,用户往往是东拼西凑,没个头绪,而且这些方法更是真伪难辨,效果到底如何也无从知晓。其实利用Win7的系统组策略功能,就可以实现Win7的系统优化。本文为大家讲解如何利用组策略,让Win7变得更安全。

  注:组策略功能只在Win7专业版、旗舰版和企业版中提供。

  文件保密 给驱动器穿上隐身衣

  驱动器主要包括硬盘、光驱和移动设备等,主要用于存储数据等。因此,限制驱动器的使用,可以有效防止重要和机密的信息外泄,阻击病毒和木马的入侵,十分必要。驱动器不同,限制方法也不同,而且同一种驱动器也有不同的限制级别。就说硬盘吧,一般有隐藏和禁止访问两种级别。隐藏级别比较初级,只是让驱动器不可见,一般用于防范小孩和初级用户,而禁止访问则可彻底阻止驱动器的访问。对于移动设备,可以选择设置读、写和执行权限,不过病毒和木马一般通过执行恶意程序来传播,因此禁止执行权限才最有效。

  初级防御 普通用户看不到

  家里电脑硬盘上有一些重要文件,不想让别人看到,最简单的办法就是把文件所在的驱动器隐藏起来。点击“开始,在搜索框中输入“gpedit.msc,确认后即打开了组策略编辑器,依次展开“用户配置→管理模板→Windows组件→Windows资源管理器,在右边设置窗口中,进入“隐藏‘我的电脑’中这些指定的驱动器,选择“已启用,在下面的下拉列表中选择需要隐藏的驱动器,然后确定。再进入“计算机,刚才选择的驱动器图标就不见了。

  提示:这个方法只是隐藏驱动器图标,用户仍可使用其他方法访问驱动器的内容,如在地址栏中直接键入驱动器上的目录路径。另外,此设置不会阻止用户使用程序访问这些驱动器或其内容。

  高级防御 特权用户才能用

  系统盘里面有重要的系统文件,不能让别人随便修改或移动。特别是有些分区存有重要文件时,如果只是隐藏驱动器,别人还是能够访问,这样当然不行!最安全的方法就是把相关驱动器保护起来,禁止无权限的用户访问。

  同样,在组策略管理器当中依次展开“用户配置→管理模板→Windows组件→Windows资源管理器,进入“防止从‘我的电脑’访问驱动器,选择“已启用,在下面的下拉列表中选择需要禁止访问的驱动器,确定后即可生效(如图1所示)。别人再想访问相关驱动器时,会出现“限制的提示窗口!当自己需要查看时,只要把相关的策略设置从“已启用改成“未配置即可。  

  提示:如何阻止其他人使用组策略编辑呢?很简单,通过建立不同权限的用户,让其他人使用普通User类型的账户(无权开启组策略编辑器)就可以了。

 权限管理 给系统配上火眼金睛

  现在有些软件真流氓,例如很多软件美其名曰为了方便别人使用,却会在软件打包或者绿化的过程中恶意捆绑一些程序或者将一些网页也打包进去。方法一般很低级,无非是通过批处理文件和手动注入注册表信息来实现,因此我们可以利用组策略来禁止一些危险类型的文件运行。此外一些公共场所(如办公室等),很多软件都是不允许使用的(如聊天软件等),那么管理人员也可以利用组策略来实现有效地管理。

  禁止危险文件运行

  有些类型的文件(如“.reg注册表文件和“.bat批处理文件)一般用户很少用得上,而且又很容易被病毒或木马利用,因此禁止这些类型的文件运行就可以在一定程度上保障计算机的安全。

  依次展开“计算机配置→Windows设置→安全设置→软件限制策略,在弹出的右键菜单上选择“创建软件限制策略,会自动生成“安全级别、“其他规则、“强制、“指定的文件类型和“受信任的发布者五项。进入“指定的文件类型的属性窗口,只留下需要禁止的文件类型,例如“bat批处理文件,将其他的文件类型全部删除。如果类型不在列表中,就直接在下面的“文件扩展名文本框中输入要禁用的文件类型,添加进去即可。再进入“安全级别→不允许,点击“设为默认按钮,此策略即生效。再运行任何批处理文件时,就会被阻止执行。

  禁用程序 穿上马甲我也认识你

  除此之外,很多公司都不允许使用聊天软件。以QQ为例,如果直接卸载QQ,使用者还可能再安装,或者把软件安装到其他位置。此时不妨利用组策略来轻松搞定。

  依次展开“计算机配置→Windows设置→安全设置→软件限制策略→其他规则,选择“新建哈希规则(如图4所示)。点击“浏览选择QQ的执行文件“QQ.exe,“文件信息下面第一行就是生成的哈希值,这个值是唯一的,下面还会显示出文件的基本信息,“安全级别选择“不允许。确认、注销后,再次登录,设置即可生效。  

  提示:采用哈希规则的好处是不管程序被改名或是移动位置或其他任何操作,只要哈希值被验证一致,那么限制就不会失效!因此可以有效限制某些软件的运行。

标签: