針對Windows 的優化設置方法也層出不窮用戶往往是東拼西湊沒個頭緒而且這些方法更是真偽難辨效果到底如何也無從知曉其實利用Win的系統組策略功能就可以實現Win的系統優化本文為大家講解如何利用組策略讓Win變得更安全
注組策略功能只在Win專業版旗艦版和企業版中提供
文件保密 給驅動器穿上隱身衣
驅動器主要包括硬盤光驅和移動設備等主要用於存儲數據等因此限制驅動器的使用可以有效防止重要和機密的信息外洩阻擊病毒和木馬的入侵十分必要驅動器不同限制方法也不同而且同一種驅動器也有不同的限制級別就說硬盤吧一般有隱藏和禁止訪問兩種級別隱藏級別比較初級只是讓驅動器不可見一般用於防范小孩和初級用戶而禁止訪問則可徹底阻止驅動器的訪問對於移動設備可以選擇設置讀寫和執行權限不過病毒和木馬一般通過執行惡意程序來傳播因此禁止執行權限才最有效
初級防御 普通用戶看不到
家裡電腦硬盤上有一些重要文件不想讓別人看到最簡單的辦法就是把文件所在的驅動器隱藏起來點擊“開始”在搜索框中輸入 “gpeditmsc”確認後即打開了組策略編輯器依次展開“用戶配置→管理模板→Windows組件→Windows資源管理器”在右邊設置窗口中進入“隱藏‘我的電腦’中這些指定的驅動器”選擇“已啟用”在下面的下拉列表中選擇需要隱藏的驅動器然後確定再進入“計算機”剛才選擇的驅動器圖標就不見了
提示這個方法只是隱藏驅動器圖標用戶仍可使用其他方法訪問驅動器的內容如在地址欄中直接鍵入驅動器上的目錄路徑另外此設置不會阻止用戶使用程序訪問這些驅動器或其內容
高級防御 特權用戶才能用
系統盤裡面有重要的系統文件不能讓別人隨便修改或移動特別是有些分區存有重要文件時如果只是隱藏驅動器別人還是能夠訪問這樣當然不行!最安全的方法就是把相關驅動器保護起來禁止無權限的用戶訪問
同樣在組策略管理器當中依次展開“用戶配置→管理模板→Windows組件→Windows資源管理器”進入“防止從‘我的電腦’訪問驅動器”選擇“已啟用”在下面的下拉列表中選擇需要禁止訪問的驅動器確定後即可生效(如圖所示)別人再想訪問相關驅動器時會出現“限制”的提示窗口!當自己需要查看時只要把相關的策略設置從“已啟用”改成“未配置”即可
提示如何阻止其他人使用組策略編輯呢?很簡單通過建立不同權限的用戶讓其他人使用普通User類型的賬戶(無權開啟組策略編輯器)就可以了
禁用移動設備執行權限 斷木馬病毒後路
移動設備(例如閃存移動硬盤等)已經成為不少用戶的標准配置使用也最為廣泛正因如此它也成了病毒和木馬傳播的主要途徑而普通的限制讀寫權限並不能阻止病毒和木馬入侵因為病毒傳播都是通過執行病毒和木馬程序來實現的因此禁用執行權限就能切斷病毒傳播途徑
依次展開“計算機配置→管理模板→系統→可移動存儲訪問”進入“可移動磁盤拒絕執行權限”選擇“已啟用”確定後設置生效移動設備上的可執行文件將不能執行計算機也就不會再被病毒感染而如果需要執行只需要拷貝到硬盤當中即可
上網沖浪 給浏覽器穿上鐵布衫
電腦最重要的用途之一就是上網可是說實話現在上網一點也不省心病毒木馬和流氓軟件橫行連不少大網站都會被掛馬用戶真是防不勝防而很多惡意軟件都會竄改浏覽器主頁或浏覽器的其他設置一旦中招打開浏覽器就會彈出亂七八糟的頁面甚至是木馬網站讓用戶叫苦不迭!另外有些用戶利用浏覽器下載文件毫無規律常常搞得文件混亂病毒文件一旦下載就很難清除因此如何增強浏覽器的“免疫力”就顯得特別重要
鎖定主頁
主頁被竄改是最常見的而利用組策略鎖定後就可以徹底解決這一問題不僅不會再彈出亂七八糟的頁面更是降低了再次中毒和中木馬的幾率依次展開“用戶配置→管理模板→Windows組件→Internet Explorer”進入“禁用更改主頁設置”選擇“已啟用”“選項”下面輸入默認主頁確定後設置生效(如圖所示)
提示啟用此策略設置後用戶將無法對默認主頁進行設置因此如果需要用戶必須在修改設置前指定一個默認主頁
冰封IE設置
如同上文所述一旦系統中毒或中了木馬除了IE主頁會被竄改其他的IE設置也可能會被竄改因此給IE設置加上防護罩也是非常有必要的特別是IE設置一旦設定之後可能長期都不會改變因此不如徹底冰封!
依次展開“用戶配置→管理模板→Windows組件→Internet Explorer→Internet控制面板”右邊窗格有“禁用高級頁”“禁用連接頁”“禁用內容頁”“禁用常規頁”“禁用隱私頁”“禁用程序頁”和“禁用安全頁”分別對應IE裡“Internet選項”中的七個選項卡(如圖所示)如全部啟用打開“Internet選項”將出現“限制”的出錯對話框這就徹底杜絕了對IE浏覽器設置的修改
提示啟動“禁用常規頁”將會刪除“Internet選項”中的“常規”選項卡如果啟用此策略則用戶無法查看和更改主頁緩存歷史記錄網頁外觀以及輔助功能的設置因為此策略會刪除“常規”選項卡所以如果設置此策略則無須設置以下Internet Explorer策略——“禁用更改主頁設置”“禁用更改Internet臨時文件設置”“禁用更改歷史記錄設置”“禁用更改顏色設置”“禁用更改鏈接顏色設置”“禁用更改字體設置”“禁用更改語言設置”和“禁用更改輔助功能設置”
權限管理 給系統配上火眼金睛
現在有些軟件真流氓例如很多軟件美其名曰為了方便別人使用卻會在軟件打包或者綠化的過程中惡意捆綁一些程序或者將一些網頁也打包進去方法一般很低級無非是通過批處理文件和手動注入注冊表信息來實現因此我們可以利用組策略來禁止一些危險類型的文件運行此外一些公共場所(如辦公室等)很多軟件都是不允許使用的(如聊天軟件等)那麼管理人員也可以利用組策略來實現有效地管理
禁止危險文件運行
有些類型的文件(如“reg”注冊表文件和“bat”批處理文件)一般用戶很少用得上而且又很容易被病毒或木馬利用因此禁止這些類型的文件運行就可以在一定程度上保障計算機的安全
依次展開“計算機配置→Windows設置→安全設置→軟件限制策略”在彈出的右鍵菜單上選擇“創建軟件限制策略”會自動生成“安全級別”“其他規則”“強制”“指定的文件類型”和“受信任的發布者”五項進入“指定的文件類型”的屬性窗口只留下需要禁止的文件類型例如 “bat批處理文件”將其他的文件類型全部刪除如果類型不在列表中就直接在下面的“文件擴展名”文本框中輸入要禁用的文件類型添加進去即可再進入“安全級別→不允許”點擊“設為默認”按鈕此策略即生效再運行任何批處理文件時就會被阻止執行
禁用程序 穿上馬甲我也認識你
除此之外很多公司都不允許使用聊天軟件以QQ為例如果直接卸載QQ使用者還可能再安裝或者把軟件安裝到其他位置此時不妨利用組策略來輕松搞定
依次展開“計算機配置→Windows設置→安全設置→軟件限制策略→其他規則”選擇“新建哈希規則”(如圖所示)點擊“浏覽”選擇QQ 的執行文件“QQexe”“文件信息”下面第一行就是生成的哈希值這個值是唯一的下面還會顯示出文件的基本信息“安全級別”選擇“不允許”確認注銷後再次登錄設置即可生效
提示采用哈希規則的好處是不管程序被改名或是移動位置或其他任何操作只要哈希值被驗證一致那麼限制就不會失效!因此可以有效限制某些軟件的運行
From:http://tw.wingwit.com/Article/Common/201311/6708.html
