巧用組策略提高Win7系統(tǒng)安全性
針對(duì)Windows 7的優(yōu)化設(shè)置方法也層出不窮,用戶往往是東拼西湊,沒(méi)個(gè)頭緒,而且這些方法更是真?zhèn)坞y辨,效果到底如何也無(wú)從知曉。下面是學(xué)習(xí)啦小編收集整理的巧用組策略提高Win7系統(tǒng)安全性,希望對(duì)大家有幫助~~
巧用組策略提高Win7系統(tǒng)安全性
注:組策略功能只在Win7專業(yè)版、旗艦版和企業(yè)版中提供。
文件保密 給驅(qū)動(dòng)器穿上隱身衣
驅(qū)動(dòng)器主要包括硬盤(pán)、光驅(qū)和移動(dòng)設(shè)備等,主要用于存儲(chǔ)數(shù)據(jù)等。因此,限制驅(qū)動(dòng)器的使用,可以有效防止重要和機(jī)密的信息外泄,阻擊病毒和木馬的入侵,十分必要。驅(qū)動(dòng)器不同,限制方法也不同,而且同一種驅(qū)動(dòng)器也有不同的限制級(jí)別。就說(shuō)硬盤(pán)吧,一般有隱藏和禁止訪問(wèn)兩種級(jí)別。隱藏級(jí)別比較初級(jí),只是讓驅(qū)動(dòng)器不可見(jiàn),一般用于防范小孩和初級(jí)用戶,而禁止訪問(wèn)則可徹底阻止驅(qū)動(dòng)器的訪問(wèn)。對(duì)于移動(dòng)設(shè)備,可以選擇設(shè)置讀、寫(xiě)和執(zhí)行權(quán)限,不過(guò)病毒和木馬一般通過(guò)執(zhí)行惡意程序來(lái)傳播,因此禁止執(zhí)行權(quán)限才最有效。
初級(jí)防御 普通用戶看不到
家里電腦硬盤(pán)上有一些重要文件,不想讓別人看到,最簡(jiǎn)單的辦法就是把文件所在的驅(qū)動(dòng)器隱藏起來(lái)。點(diǎn)擊“開(kāi)始”,在搜索框中輸入 “gpedit.msc”,確認(rèn)后即打開(kāi)了組策略編輯器,依次展開(kāi)“用戶配置→管理模板→Windows組件→Windows資源管理器”,在右邊設(shè)置窗口中,進(jìn)入“隱藏‘我的電腦’中這些指定的驅(qū)動(dòng)器”,選擇“已啟用”,在下面的下拉列表中選擇需要隱藏的驅(qū)動(dòng)器,然后確定。再進(jìn)入“計(jì)算機(jī)”,剛才選擇的驅(qū)動(dòng)器圖標(biāo)就不見(jiàn)了。
提示:這個(gè)方法只是隱藏驅(qū)動(dòng)器圖標(biāo),用戶仍可使用其他方法訪問(wèn)驅(qū)動(dòng)器的內(nèi)容,如在地址欄中直接鍵入驅(qū)動(dòng)器上的目錄路徑。另外,此設(shè)置不會(huì)阻止用戶使用程序訪問(wèn)這些驅(qū)動(dòng)器或其內(nèi)容。
高級(jí)防御 特權(quán)用戶才能用
系統(tǒng)盤(pán)里面有重要的系統(tǒng)文件,不能讓別人隨便修改或移動(dòng)。特別是有些分區(qū)存有重要文件時(shí),如果只是隱藏驅(qū)動(dòng)器,別人還是能夠訪問(wèn),這樣當(dāng)然不行!最安全的方法就是把相關(guān)驅(qū)動(dòng)器保護(hù)起來(lái),禁止無(wú)權(quán)限的用戶訪問(wèn)。
同樣,在組策略管理器當(dāng)中依次展開(kāi)“用戶配置→管理模板→Windows組件→Windows資源管理器”,進(jìn)入“防止從‘我的電腦’訪問(wèn)驅(qū)動(dòng)器”,選擇“已啟用”,在下面的下拉列表中選擇需要禁止訪問(wèn)的驅(qū)動(dòng)器,確定后即可生效(如圖1所示)。別人再想訪問(wèn)相關(guān)驅(qū)動(dòng)器時(shí),會(huì)出現(xiàn)“限制”的提示窗口!當(dāng)自己需要查看時(shí),只要把相關(guān)的策略設(shè)置從“已啟用”改成“未配置”即可。
提示:如何阻止其他人使用組策略編輯呢?很簡(jiǎn)單,通過(guò)建立不同權(quán)限的用戶,讓其他人使用普通User類型的賬戶(無(wú)權(quán)開(kāi)啟組策略編輯器)就可以了。
禁用移動(dòng)設(shè)備執(zhí)行權(quán)限 斷木馬病毒后路
移動(dòng)設(shè)備(例如閃存、移動(dòng)硬盤(pán)等)已經(jīng)成為不少用戶的標(biāo)準(zhǔn)配置,使用也最為廣泛。正因如此,它也成了病毒和木馬傳播的主要途徑。而普通的限制讀寫(xiě)權(quán)限并不能阻止病毒和木馬入侵,因?yàn)椴《緜鞑ザ际峭ㄟ^(guò)執(zhí)行病毒和木馬程序來(lái)實(shí)現(xiàn)的,因此禁用執(zhí)行權(quán)限就能切斷病毒傳播途徑。
依次展開(kāi)“計(jì)算機(jī)配置→管理模板→系統(tǒng)→可移動(dòng)存儲(chǔ)訪問(wèn)”,進(jìn)入“可移動(dòng)磁盤(pán):拒絕執(zhí)行權(quán)限”,選擇“已啟用”,確定后設(shè)置生效。移動(dòng)設(shè)備上的可執(zhí)行文件將不能執(zhí)行,計(jì)算機(jī)也就不會(huì)再被病毒感染。而如果需要執(zhí)行,只需要拷貝到硬盤(pán)當(dāng)中即可。
上網(wǎng)沖浪 給瀏覽器穿上鐵布衫
電腦最重要的用途之一就是上網(wǎng),可是說(shuō)實(shí)話,現(xiàn)在上網(wǎng)一點(diǎn)也不省心,病毒、木馬和流氓軟件橫行,連不少大網(wǎng)站都會(huì)被掛馬,用戶真是防不勝防。而很多惡意軟件都會(huì)竄改瀏覽器主頁(yè)或?yàn)g覽器的其他設(shè)置,一旦中招,打開(kāi)瀏覽器就會(huì)彈出亂七八糟的頁(yè)面甚至是木馬網(wǎng)站,讓用戶叫苦不迭!另外,有些用戶利用瀏覽器下載文件毫無(wú)規(guī)律,常常搞得文件混亂,病毒文件一旦下載就很難清除。因此如何增強(qiáng)瀏覽器的“免疫力”就顯得特別重要。
鎖定主頁(yè)
主頁(yè)被竄改是最常見(jiàn)的,而利用組策略鎖定后,就可以徹底解決這一問(wèn)題。不僅不會(huì)再?gòu)棾鰜y七八糟的頁(yè)面,更是降低了再次中毒和中木馬的幾率。依次展開(kāi)“用戶配置→管理模板→Windows組件→Internet Explorer”,進(jìn)入“禁用更改主頁(yè)設(shè)置”,選擇“已啟用”,“選項(xiàng)”下面輸入默認(rèn)主頁(yè),確定后,設(shè)置生效(如圖2所示)。
提示:?jiǎn)⒂么瞬呗栽O(shè)置后,用戶將無(wú)法對(duì)默認(rèn)主頁(yè)進(jìn)行設(shè)置,因此如果需要,用戶必須在修改設(shè)置前指定一個(gè)默認(rèn)主頁(yè)。
冰封IE設(shè)置
如同上文所述,一旦系統(tǒng)中毒或中了木馬,除了IE主頁(yè)會(huì)被竄改,其他的IE設(shè)置也可能會(huì)被竄改。因此給IE設(shè)置加上防護(hù)罩也是非常有必要的。特別是IE設(shè)置一旦設(shè)定之后,可能長(zhǎng)期都不會(huì)改變,因此不如徹底冰封!
依次展開(kāi)“用戶配置→管理模板→Windows組件→Internet Explorer→Internet控制面板”,右邊窗格有“禁用高級(jí)頁(yè)”、“禁用連接頁(yè)”、“禁用內(nèi)容頁(yè)”、“禁用常規(guī)頁(yè)”、“禁用隱私頁(yè)”、“禁用程序頁(yè)”和“禁用安全頁(yè)”,分別對(duì)應(yīng)IE里“Internet選項(xiàng)”中的七個(gè)選項(xiàng)卡(如圖3所示)。如全部啟用,打開(kāi)“Internet選項(xiàng)”將出現(xiàn)“限制”的出錯(cuò)對(duì)話框,這就徹底杜絕了對(duì)IE瀏覽器設(shè)置的修改。
提示:?jiǎn)?dòng)“禁用常規(guī)頁(yè)”將會(huì)刪除“Internet選項(xiàng)”中的“常規(guī)”選項(xiàng)卡。如果啟用此策略,則用戶無(wú)法查看和更改主頁(yè)、緩存、歷史記錄、網(wǎng)頁(yè)外觀以及輔助功能的設(shè)置。因?yàn)榇瞬呗詴?huì)刪除“常規(guī)”選項(xiàng)卡,所以如果設(shè)置此策略,則無(wú)須設(shè)置以下Internet Explorer策略——“禁用更改主頁(yè)設(shè)置”、“禁用更改Internet臨時(shí)文件設(shè)置”、“禁用更改歷史記錄設(shè)置”、“禁用更改顏色設(shè)置”、“禁用更改鏈接顏色設(shè)置”、“禁用更改字體設(shè)置”、“禁用更改語(yǔ)言設(shè)置”和“禁用更改輔助功能設(shè)置”。
權(quán)限管理 給系統(tǒng)配上火眼金睛
現(xiàn)在有些軟件真流氓,例如很多軟件美其名曰為了方便別人使用,卻會(huì)在軟件打包或者綠化的過(guò)程中惡意捆綁一些程序或者將一些網(wǎng)頁(yè)也打包進(jìn)去。方法一般很低級(jí),無(wú)非是通過(guò)批處理文件和手動(dòng)注入注冊(cè)表信息來(lái)實(shí)現(xiàn),因此我們可以利用組策略來(lái)禁止一些危險(xiǎn)類型的文件運(yùn)行。此外一些公共場(chǎng)所(如辦公室等),很多軟件都是不允許使用的(如聊天軟件等),那么管理人員也可以利用組策略來(lái)實(shí)現(xiàn)有效地管理。
禁止危險(xiǎn)文件運(yùn)行
有些類型的文件(如“.reg”注冊(cè)表文件和“.bat”批處理文件)一般用戶很少用得上,而且又很容易被病毒或木馬利用,因此禁止這些類型的文件運(yùn)行就可以在一定程度上保障計(jì)算機(jī)的安全。
依次展開(kāi)“計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→軟件限制策略”,在彈出的右鍵菜單上選擇“創(chuàng)建軟件限制策略”,會(huì)自動(dòng)生成“安全級(jí)別”、“其他規(guī)則”、“強(qiáng)制”、“指定的文件類型”和“受信任的發(fā)布者”五項(xiàng)。進(jìn)入“指定的文件類型”的屬性窗口,只留下需要禁止的文件類型,例如 “bat批處理文件”,將其他的文件類型全部刪除。如果類型不在列表中,就直接在下面的“文件擴(kuò)展名”文本框中輸入要禁用的文件類型,添加進(jìn)去即可。再進(jìn)入“安全級(jí)別→不允許”,點(diǎn)擊“設(shè)為默認(rèn)”按鈕,此策略即生效。再運(yùn)行任何批處理文件時(shí),就會(huì)被阻止執(zhí)行。
禁用程序 穿上馬甲我也認(rèn)識(shí)你
除此之外,很多公司都不允許使用聊天軟件。以QQ為例,如果直接卸載QQ,使用者還可能再安裝,或者把軟件安裝到其他位置。此時(shí)不妨利用組策略來(lái)輕松搞定。
依次展開(kāi)“計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→軟件限制策略→其他規(guī)則”,選擇“新建哈希規(guī)則”(如圖4所示)。點(diǎn)擊“瀏覽”選擇QQ 的執(zhí)行文件“QQ.exe”,“文件信息”下面第一行就是生成的哈希值,這個(gè)值是唯一的,下面還會(huì)顯示出文件的基本信息,“安全級(jí)別”選擇“不允許”。確認(rèn)、注銷后,再次登錄,設(shè)置即可生效。
提示:采用哈希規(guī)則的好處是不管程序被改名或是移動(dòng)位置或其他任何操作,只要哈希值被驗(yàn)證一致,那么限制就不會(huì)失效!因此可以有效限制某些軟件的運(yùn)行。
巧用組策略提高Win7系統(tǒng)安全性相關(guān)文章:
1.win7系統(tǒng)怎么設(shè)置提高電腦安全性
3.關(guān)于Win7系統(tǒng)安全性的小技巧有哪些