|
说到组策略,就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库,随着Windows功能的越来越丰富,注册表里的配置项目也越来越多。很多配置都是可以自定义设置的,但这些配置发布在注册表的各个角落,如果是手工配置,可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供管理人员直接使用,从而达到方便管理计算机的目的。
简单点说,组策略就是修改注册表中的配置。当然,组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。
早期系统策略的运行机制是通过策略管理模板,定义特定的.POL(通常是Config.pol)文件。当用户登录的时候,它会重写注册表中的设置值。当然,系统策略编辑器也支持对当前注册表的修改,另外也支持连接网络计算机并对其注册表进行设置。而组策略及其工具,则是对当前注册表进行直接修改。显然,Windows 2000/XP/2003系统的网络功能是其最大的特色之处,其网络功能自然是不可少的,因此组策略工具还可以打开网络上的计算机进行配置,甚至可以打开某个Active Directory 对象(即站点、域或组织单位)并对它进行设置。这是以前“系统策略编辑器”工具无法做到的。无论是系统策略还是组策略,它们的基本原理都是修改注册表中相应的配置项目,从而达到配置计算机的目的,只是它们的一些运行机制发生了变化和扩展而已。
为了保护工作站系统的安全,很多管理员往往会下意识地想到使用系统自带的或第三方防火墙,来对系统进行多方面的安全保护。可是在实际保护系统安全的过程中,我们有时会遇到系统防火墙因受到意外损坏而无法启用的现象,那么系统受到非法攻击的可能性就会大大增加。事实上,我们完全可以变换思路,从系统组策略出发,来让系统仍然享受防火墙级别的安全保护,同时节省系统的可用资源。
1保护系统账号的安全
系统在每次登陆的时候会显示上一次最后登陆的用户的用户名,入侵者很可能会根据被显示出来的用户名获取登陆密码并且非法进入系统,为了保护计算机的安全,我们需要取消登陆用户名的显示。我们需要按照以下的方法进行操作:
方法:1、在开始菜单中点击【运行】,输入gpedit.msc,打开组策略控制台面板,找到【windows设置】-【安全设置】-【安全选项】项,在右边列表中找到交互式登陆:不显示上次的用户名,选择已启用项即可。
2、第二步:打开【控制面板】,然后在控制面板中选择【用户帐户】在打开的对话框中选择【更改用户登录或注销的方式】将【使用欢迎屏幕】前的勾去掉,然后单击应用选项,重起电脑后,就会提示您输入【用户名】和【密码】。并且在您下次登录时不会在显示您的用户名
2取消自动访问网络资源权限
在局域网工作环境中,对共享文件进行访问是常有的事情,为了限制任何用户随意访问共享文件,系统自带的防火墙或第三方专业防火墙都为共享资源的访问设立了权限,禁止任何来宾用户(guest账号)直接访问共享资源,必须凭访问帐号才能进行共享访问。要实现这种防火墙级别的安全保护目的,我们需要按照如下步骤进行操作:
方法:1、单击本地工作站系统桌面中的【开始】-【运行】菜单命令,从弹出的系统运行对话框中,输入字符串命令“gpedit.msc”,单击【确定】按钮后,打开本地系统的组策略编辑窗口。
2、其次将鼠标定位于编辑窗口左侧的【计算机配置】分支上,再用鼠标依次选中该分支下面的【Windows设置】-【安全设置】-【本地策略】-【用户权利指派】项目,在对应【用户权利指派】项目的右侧显示区域中,双击【拒绝从网络访问这台计算机】策略,选中【guest账号】,删除即可,这样的话以后访问网络共享资源就需要使用本地授权的账号进行登陆访问。
3防止远程入侵连接
为了有效制止非法攻击者通过网络随意攻击或访问本地工作站系统,第三方专业防火墙工具往往都会为我们提供关闭远程网络连接的功能,通过该功能我们可以随时阻止非法攻击者的入侵连接,从而保护系统的安全。但即使没有第三方专业防火墙的安全保护,我们只要按照如下操作步骤修改系统的组策略,仍然能够让系统享受到这种安全保护待遇,我们需要按照以下的操作完成设置:
方法:1、单击本地工作站系统桌面中的【开始】-【运行】菜单命令,从弹出的系统运行对话框中,输入字符串命令“gpedit.msc”,单击【确定】按钮后,打开本地系统的组策略编辑窗口。
2、在该编辑窗口的左侧显示区域中,用鼠标逐一展开【本地计算机策略】-【用户配置】-【管理模板】-【网络】-【网络连接】分支选项,在【网络连接】分支选项所在的右侧显示区域中,找到【删除所有用户远程访问连接】项目,并用鼠标双击该项目,选择已启用即可。
4预防暴力破解密码
安装了Windows XP系统的计算机在缺省状态下,允许每一位用户通过空用户连接方式来获取本地系统中的各类帐号信息和资源列表信息,这个功能本意是为方便管理员管理系统资源用的,而非法攻击者常常通过该功能来破坏系统安全,他们通过一些专业的黑客软件来暴力破解用户的密码信息,从而可能会给本地工作站或整个网络带来非常大的安全隐患。有鉴于此,许多专业的防火墙一般都为我们提供了预防暴力破解共享访问密码的功能,事实上简单地对系统组策略进行编辑,也能达到预防暴力破解密码的目的,我们需要按照以下的操作来完成设置过程:
方法:1、单击本地工作站系统桌面中的【开始】-【运行】菜单命令,从弹出的系统运行对话框中,输入字符串命令“gpedit.msc”,单击【确定】按钮后,打开本地系统的组策略编辑窗口。
2、在该编辑窗口的左侧显示区域,用鼠标依次选中【本地计算机策略】-【计算机配置】-【Windows设置】-【安全设置】-【本地策略】-【安全选项】项目,在【安全选项】项目所对应的右侧列表区域中,找到【网络访问:不允许SAM帐号和共享的匿名枚举】选项,并用鼠标双击该选项,选择已启用即可。
5限制使用的应用程序
无论是系统自带的防火墙还是第三方防火墙都具有限制运行特定应用程序的功能,该功能能够有效地限制外人在自己的工作站中随意运行应用程序,比方说当我们不希望他人在自己的工作站中运行QQ或者MSN程序,我们就可以按照下面的操作来实现防火墙所具有的限制运行特定程序的功能:
方法:1、单击本地工作站系统桌面中的【开始】-【运行】菜单命令,从弹出的系统运行对话框中,输入字符串命令“gpedit.msc”,单击【确定】按钮后,打开本地系统的组策略编辑窗口。
2、将鼠标定位于编辑窗口左侧的【计算机配置】分支上,再用鼠标依次选中该分支下面的【Windows设置】-【安全设置】-【软件限制策略】-【其他规则】项目,在【其他规则】项目所对应的右侧显示区域中,用鼠标右键单击空白区域处,从弹出的快捷菜单中单击【新路径规则】命令,在对话框的【路径】文本框中输入需要限制的程序的具体路径,或者直接单击【浏览】按钮,进入到限定程序所在的文件夹,从中选择对应的程序文件,之后单击【安全级别】下方的下拉按钮,从弹出的下拉列表中选择【不允许的】选项,最后单击【确定】按钮,这样一来本地工作站就不允许用户随意使用限制的应用程序了。
3、也可以使用如下的方法进行配置:打开【组策略控制台】-【用户配置】-【管理模板】-【系统】中的【只运行许可的Windows应用程序】并启用此策略,然后点击下面的【允许的应用程序列表】边的【显示】按钮,弹出一个【显示内容】对话框,在此单击【添加】按钮来添加允许运行的应用程序即可。以后一般用户只能运行【允许的应用程序列表】中的程序。
6提高windows防火墙安全性能
Windows系统自带的防火墙在默认状态下,与一些专业的第三方防火墙在安全性能方面还是有不小的差距。不过,我们只要对系统的组策略进行有针对性地修改,就能有效提高系统内置防火墙的安全性能,操作过程如下:
方法:1、单击本地工作站系统桌面中的【开始】-【运行】菜单命令,从弹出的系统运行对话框中,输入字符串命令“gpedit.msc”,单击【确定】按钮后,打开本地系统的组策略编辑窗口。
2、将鼠标定位于编辑窗口左侧的【计算机配置】分支上,再用鼠标依次选中该分支下面的【管理模板】-【网络】-【网络连接】-【Windows防火墙】-【标准配置文件】选项,在对应【标准配置文件】选项的右侧显示区域中双击【Windows防火墙:保护所有网络连接】项目,选择已启用选项,最后单击【确定】按钮,这样的话我们就能防止他人随意关闭本地防火墙,从而给工作站系统带来安全威胁了。
7禁止自动播放功能
近来,不少病毒利用windows系统提供的【自动播放】功能,将自身伪装为自动播放的系统程序,比如前期autorun引起的病毒,需要声明的是autorun.inf并不是病毒,它是微软为了方便开发者去自定义当前操作用户进入驱动器的方式而建立的一种特殊的打开磁盘以及进行相关操作方式的引导文件。比如当你将windows xp的安装盘放入光驱后,你没有进行任何操作,windows安装程序即会自动运行,这即是开发者所定义的你浏览光盘的方式。凡事有利有弊,当病毒制造者将此文件引导向一个病毒文件时,该病毒就会进入激活状态。因此,为减少病毒传播机会,禁止系统自动播放是有必要的,我们在组策略中可以按照如下方法来取消自动播放功能:
方法:1、单击本地工作站系统桌面中的【开始】-【运行】菜单命令,从弹出的系统运行对话框中,输入字符串命令“gpedit.msc”,单击【确定】按钮后,打开本地系统的组策略编辑窗口。
2、将鼠标定位于编辑窗口左侧的【用户配置】分支上,再用鼠标依次选中该分支下面的【管理模板】-【系统】选项,在对应设置选项的右侧显示区域中双击【关闭自动播放】项目,选择已启用选项,最后单击【确定】按钮,这样的话我们在组策略中关闭了系统的自动播放功能。
3、我们还需要终止Shell Hardware Detection服务限制自动播放。依次选择【开始】-【控制面板】-【管理工具】项打开【服务】窗口,找到并双击【Shell Hardware Detection】服务,将其设为【禁用】,可关闭自动播放服务。
|
