一、把Administrator藏起來
Windows系統默認的系統管理員賬戶名是Administrator。因此,為了避免有人惡意破解系統管理員Administrator賬戶的密碼,我們可以將Administrator改為其他名字以加強安全。點擊“開始→運行”,輸入gpedit.msc,打開“組策略”,如圖1所示,選擇“計算機配置→Windows設置→安全設置→本地策略→安全選項”,在右邊窗格裡雙擊“賬戶:重命名系統管理員賬戶”項,在上面輸入你想要的用戶名。重新啟動計算機後,輸入的新用戶名即刻生效。如果再新建一個Guest用戶,用戶名為Administrator,然後再加上十分復雜的密碼就更安全。
提示:為了避免讓人在Windows的登錄框中看到曾經登錄過的用戶名,就要雙擊“交互式登錄:不顯示上次的用戶名”子項,選擇“已啟用”將該策略啟用。tw.wiNgWIt.Com這樣上次登錄到計算機的用戶名就不會顯示在Windows的登錄畫面中。
二、禁用指定的文件類型
在“組策略”中,我們可以禁用SHS、MSI、BAT、CMD、COM、EXE等程序文件類型,而且不影響系統的正常運行。這裡假設我們要禁用注冊表的REG文件,不讓系統運行REG文件,具體操作方法如下:
1. 打開組策略,點擊“計算機配置→Windows設置→安全設置→軟件限制策略”,在彈出的右鍵菜單上選擇“創建軟件限制策略”,即生成“安全級別”、“其他規則”及“強制”、“指派的文件類型”、“受信任的發布者”項(圖2)。
2. 雙擊“指派的文件類型”打開“指派的文件類型屬性”窗口(圖3),只留下REG文件類型,將其他的文件全部刪除,如果還有其他的文件類型要禁用,可以再次打開這個窗口,在“文件擴展名”空白欄裡輸入要禁用的文件類型,將它添加上去。
3. 雙擊“安全級別→不允許的”項,點擊“設為默認”按鈕。然後注銷系統或者重新啟動系統,此策略即生效,運行REG文件時,會提示“由於一個軟件限制策略的阻止,Windows無法打開此程序”。
4.要取消此軟件限制策略的話,雙擊“安全級別→不受限的”,打開“不受限的 屬性”窗口,按“設為默認值”即可。
如果你鼠標右鍵點擊“計算機配置→Windows設置→安全設置→軟件限制策略→其他規則”,你會看到它可以建立哈希規則、Internet 區域規則、路徑規則等策略,利用這些規則我們可以讓系統更加安全,比如利用“路徑規則”可以為電子郵件程序用來運行附件的文件夾創建路徑規則,並將安全級別設置為“不允許的”,以防止電子郵件病毒。
提示:為了避免“軟件限制策略”將系統管理員也限制,我們可以雙擊“強制”,選擇“除本地管理員以外的所有用戶”。如果用你的是文件類型限制策略,此選項可以確保管理員有權運行被限制的文件類型,而其他用戶無權運行。
三、未經許可,不得在本機登錄
使用電腦時,我們有時要離開座位一段時間。如果有很多正在打開的文檔還沒有處理完成或者正在下載東西、掛POPO等等,為了避免有人動用電腦,我們一般會把電腦鎖定。但是在局域網中,為了方便網絡登錄,我們有時候會建立一些來賓賬戶,如果對方利用這些賬戶來注銷當前賬戶登錄到別的賬戶,那就麻煩了。既然我們不能刪除或禁用這些賬戶,那麼我們可以通過“組策略”來禁止一些賬戶在本機上登錄,讓對方只能通過網絡登錄。
在“組策略”窗口中依次打開“計算機配置→Windows設置→安全設置→本地策略→用戶權限分配”,然後雙擊右側窗格的“拒絕本地登錄”項,在彈出的窗口中添加要禁止的用戶或組即可實現。
如果我們想反其道而行之,禁止用戶從網絡登錄,只能從本地登錄,可以雙擊“拒絕從網絡訪問這台計算機”項將用戶加上去。
四、給“休眠”和“待機”加個密碼
只有“屏幕保護”有密碼是遠遠不夠安全的,我們還要給“休眠”和“待機”加上密碼,這樣才會更安全。讓我們來給“休眠”和“待機”加上密碼吧。在“組策略”窗口中展開“用戶配置→管理模板→系統→電源管理”,在右邊的窗格中雙擊“從休眠/掛起恢復時提示輸入密碼”,將其設置為“已啟用”,那麼當我們從“待機”或“休眠”狀態返回時將會要求你輸入用戶密碼。
五、自動給操作做個記錄
在“計算機配置→Windows設置→安全設置→本地策略→審核策略”上,我們可以看到它可以審核策略更改、登錄事件、目錄服務訪問、賬戶管理等。這些審核可以記錄下你某年某月某日某時某分某秒做過了什麼操作:幾時登錄、關閉系統或更改過哪些策略等等。
我們應該養成經常在“控制面板→管理工具→事件查看器”裡查看事件的好習慣。比如,當你修改過“組策略”後,系統就發生了問題,此時“事件查看器”就會及時告訴你改了哪些策略。在“登錄事件”裡,你可以查看到詳細的登錄事件,知道有人曾嘗試使用禁用的賬戶登錄、誰的賬戶密碼已過期……而要啟用哪些審核,只要雙擊相應的項目,選中“成功”和“失敗”兩個選項即可。
關於如何隱藏桌面圖標、隱藏磁盤驅動器、如何保護“任務欄”和“開始”菜單等設置的讀者朋友可以參閱第40期E6版,這裡就不贅述。對於“組策略”不太了解的讀者朋友還可以參閱2004年第39期E5版《學電腦要講“策略”──特訓Windows組策略的使用》。
注意:本文以Windows 2003 Standard Edition為例。在其他Windows系統中,策略的路徑和名稱會有所不同。比如Windows 2003上的“用戶權限分配”和“哈希規則”,在Windows XP中名稱是“用戶權利分配”和“散列規則”,但它們功能仍然是一樣的。另外,Windows XP Home Edition沒有“組策略”,只有Windows XP Professional版本才有“組策略”,這一點注意。
From:http://tw.wingwit.com/Article/Software/201309/3452.html