灵活应用组策略提高系统安全
开篇:润墨网以专业的文秘视角,为您筛选了一篇灵活应用组策略提高系统安全范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘 要: 在Windows XP的应用管理过程中,许多用户偏向采用第三方工具管理自己所用的计算机,或者通过手工修改注册表的方法实施管理。其实Windows XP的组策略已经把这些功能集于一体,通过灵活应用组策略即可实现我们所需要的功能。
关键词: 组策略;Windows XP;系统安全;禁止查看
中图分类号:P316 文献标识码:A 文章编号:1671-7597(2012)0420003-01
平时,在Windows XP的应用管理过程中,我们往往通过控制面板进行修改一些常用的系统、外观、网络设置等。不过通过控制面板能修改的东西很少,不能满足用户更多的需要;有一些专业水平的朋友可以使用修改注册表的方法来设置管理,但注册表涉及内容又太多,修改起来极为不方便。本文要介绍的“组策略”其实就是介于二者之间的一种修改系统、设置程序的工具,涉及的内容比控制面板中的多,安全性和控制面板一样非常高,而在条理性、可操作性方面则比注册表强多了。我们本文就来谈谈如何灵活应用组策略来提高电脑系统的安全性。
1 组策略的基本知识
组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过灵活应用组策略可以设置各种软件、计算机和用户策略。例如,可使用“组策略”从隐藏特定盘符、禁止操作和禁止查看。此外,还可添加在计算机上(在计算机启动或停止时,以及用户登录或注销时)运行的脚本,甚至可配置Internet Explorer。
其实简单地说,组策略设置就是在修改注册表中的配置。当然,组策略使用了更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。
2 组策略的启动
启动组策略时,您只需依次点击“开始”“运行”命令,然后在“运行”窗口中输入“gpedit.msc”,然后单击“确定”按扭即可启动Windows XP组策略编辑器。(注:这个“组策略”程序位于“C:\WINNT\SYSTEM32”中,文件名为“gpedit.msc”。也可以找到该文件双击点开。)
3 组策略的应用
对于公用计算机来说,如果我们想要保护计算机内的部分数据,就必须采用一些方法对其要保护的数据部分进行限制才能够达到目的。“组策略”可以对计算机进行两个方面的设置:一种是“本地计算机配置”,另一种是“本地用户配置”,想要进行具体配置的时候,我们只要依次展开“组策略”窗口左侧类似资源管理器相应项目即可。例如:组策略的禁止查看,禁止访问功能。
3.1 隐藏D盘
对于计算机来说,数据的存在地一般都位于硬盘分区之中。为了达到保密目的,隐藏特定的驱动器以使其他用户不能访问,这是一个较好的保密方法。
1)开始运行输入gpedit.msc命令,启动组策略管理器。
2)展开“用户配置”,再展开“管理模板”,再展开“Windows组件”,单击“Windows资源管理器”。
3)设置“隐藏‘我的电脑’中的这些指定的驱动器”。
提示:这项策略只删除驱动器图标。用户仍可通过使用其它方式继续访问驱动器的内容。同时这项策略不会防止用户使用程序访问这些驱动器或其内容。并且也不会防止用户使用磁盘管理即插即用来查看并更改驱动器特性。
3.2 禁止访问所选驱动器
1)开始运行输入gpedit.msc命令,启动组策略管理器。
2)展开“用户配置”,再展开“管理模板”,再展开“Windows组件”,单击“Windows资源管理器”。
3)设置“阻止从‘我的电脑’访问驱动器”。
提示:这些代表指定驱动器的图标仍旧会出现在“我的电脑”中,但是如果用户双击图标,会出现一条消息解释设置防止这一操作。同时这些设置不会防止用户使用其它程序访问本地和网络驱动器。并且不防止他们使用磁盘管理即插即用查看和更改驱动器特性。
3.3 禁止在“网上邻居”中显示“我附近的计算机”,禁止使用“网上邻居”的“整个网络”
为了防止用户在局域网中与其他机器互相共享文件。
1)开始运行输入gpedit.msc命令,启动组策略管理器。
2)展开“用户配置”,再展开“管理模板”,再展开“Windows组件”,单击“Windows资源管理器”。
3)设置“‘网上邻居’中没有‘我附近的计算机’”。
4)设置“‘网上邻居’中不含‘整个网络’”。
3.4 禁止用户运行注册表编辑器Regedit.exe
注册表对于修改某些设置是非常重要的。
1)开始运行输入gpedit.msc命令,启动组策略管理器。
2)展开“用户配置”,再展开“管理模板”,单击“系统”。
3)设置“阻止访问注册表编辑工具”。
注:开始\运行\输入regedit命令,启动注册表编辑器。
3.5 禁止访问命令提示符
1)开始运行输入gpedit.msc命令,启动组策略管理器。
2)展开“用户配置”,再展开“管理模板”,单击“系统”。
3)设置“阻止访问命令行提示符”。
3.6 禁止访问“控制面板”
1)开始运行输入gpedit.msc命令,启动组策略管理器。
2)展开“用户配置”,再展开“管理模板”,单击“控制面板”。
3)设置“阻止访问控制面板”。
3.7 禁用“添加/删除程序”(Windows 2000/XP/2003)
“控制面板”中“添加或删除程序”项目允许你安装、卸载、修复并添加和删除Windows的功能和组件以及种类很多的Windows程序。如果你想阻止其他用户安装或卸载程序,可利用组策略来实现。
1)开始运行输入gpedit.msc命令,启动组策略管理器。
2)展开用户配置管理模板控制面板添加“删除程序“中的“删除‘添加/删除程序’程序”并启用此策略。
当我们再打开“控制面板”中“添加/删除程序”模块的时候,会自动弹出警告窗口,而“添加/删除程序”则无法运行。此外,在“添加/删除程序”分支中还可以对Windows“添加/删除程序”项中的“添加新程序”、“从CD-ROM或软盘添加程序”、“从Microsoft添加程序”、“从网络添加程序”等项进行隐藏,通过这些策略项目的设置,起到了保护计算机中系统文件及应用程序的作用。
组策略是你活动目录基础设施中用于管理所有计算机和用户对象的神奇工具,只要好好灵活运用组策略,简单的方法就可以提高我们系统的安全性,这就是组策略的管理好处。
参考文献:
[1]戴士剑,《数据恢复技术》,电子工业出版社,2010.
[2]扈新波,《数据恢复技术与典型实例》,电子工业出版社,2008.