【51CTO獨(dú)家特稿】關(guān)于組策略有很多需要我們掌握的知識(shí)。本文主要介紹Windows配置“Windows設(shè)置”里的安全設(shè)置，如下圖：

(1).賬戶策略

在這里可以設(shè)置密碼和賬戶的鎖定策略。例如，在這部分組策略中，我們可以設(shè)置密碼最小長(zhǎng)度或者密碼需要包含復(fù)雜字符。

(2).本地策略

“本地策略”下有三個(gè)安全策略項(xiàng)，通過(guò)配置可以實(shí)現(xiàn)Windows系統(tǒng)的各種安全需求。例如，其中的“審計(jì)策略”用于配置服務(wù)器的Windows安全事件日志收集哪些事件;“用戶權(quán)限分配”用于配置哪些用戶能通過(guò)“遠(yuǎn)程桌面”訪問(wèn)指定的服務(wù)器或工作站;使用“安全選項(xiàng)”配置以確定是否激活指定系統(tǒng)上的“管理員”賬戶以及重命名“管理員”賬戶。

“審計(jì)策略”：允許我們控制Windows安全事件日志能收集哪些事件類型，在此指定成功或失敗的事件，用于審計(jì)從活動(dòng)目錄訪問(wèn)到系統(tǒng)對(duì)象訪問(wèn)(如文件和注冊(cè)表鍵)的各種事件類型。

“用戶權(quán)限分配”是組策略中另一個(gè)強(qiáng)大的安全工具，能用于控制誰(shuí)能在指定系統(tǒng)上做什么事情。用戶權(quán)限的例子包括“本地登錄”權(quán)限，用于控制誰(shuí)能交互式登錄服務(wù)器或工作站的控制臺(tái);“加載和卸載設(shè)備驅(qū)動(dòng)”權(quán)限，用于賦予組或用戶安裝設(shè)備驅(qū)動(dòng)的權(quán)限。

另外，還有一些與安全相關(guān)的Windows組策略設(shè)置：

禁用指定的文件類型

在“組策略”中，我們可以禁用SHS、MSI、BAT、CMD、COM、EXE等程序文件類型，而且不影響系統(tǒng)的正常運(yùn)行。這里假設(shè)我們要禁用注冊(cè)表的REG文件，不讓系統(tǒng)運(yùn)行REG文件，具體操作方法如下：

1. 打開(kāi)組策略，點(diǎn)擊“計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→軟件限制策略”，在彈出的右鍵菜單上選擇“創(chuàng)建軟件限制策略”，即生成“安全級(jí)別”、“其他規(guī)則”及“強(qiáng)制”、“指派的文件類型”、“受信任的出版商”項(xiàng)。

2. 雙擊“指派的文件類型”打開(kāi)“指派的文件類型屬性”窗口，只留下REG文件類型，將其他的文件全部刪除，如果還有其他的文件類型要禁用，可以再次打開(kāi)這個(gè)窗口，在“文件擴(kuò)展名”空白欄里輸入要禁用的文件類型，將它添加上去。

3. 雙擊“安全級(jí)別→不允許的”項(xiàng)，點(diǎn)擊“設(shè)為默認(rèn)”按鈕。然后注銷系統(tǒng)或者重新啟動(dòng)系統(tǒng)，此策略即生效，運(yùn)行REG文件時(shí)，會(huì)提示“由于一個(gè)軟件限制策略的阻止，Windows無(wú)法打開(kāi)此程序”。

4.要取消此軟件限制策略的話，雙擊“安全級(jí)別→不受限的”，打開(kāi)“不受限的 屬性”窗口，按“設(shè)為默認(rèn)值”即可。

提示：為了避免“軟件限制策略”將系統(tǒng)管理員也限制，我們可以雙擊“強(qiáng)制”，選擇“除本地管理員以外的所有用戶”。如果用你的是文件類型限制策略，此選項(xiàng)可以確保管理員有權(quán)運(yùn)行被限制的文件類型，而其他用戶無(wú)權(quán)運(yùn)行。

未經(jīng)許可，不得在本機(jī)登錄

使用電腦時(shí)，我們有時(shí)要離開(kāi)座位一段時(shí)間。為了避免有人動(dòng)用電腦，我們一般會(huì)把電腦鎖定。但是在局域網(wǎng)中，為了方便網(wǎng)絡(luò)登錄，我們有時(shí)候會(huì)建立一些來(lái)賓賬戶，如果對(duì)方利用這些賬戶來(lái)注銷當(dāng)前賬戶登錄到別的賬戶，那就麻煩了。既然我們不能刪除或禁用這些賬戶，那么我們可以通過(guò)“組策略”來(lái)禁止一些賬戶在本機(jī)上登錄，讓對(duì)方只能通過(guò)網(wǎng)絡(luò)登錄。

在“組策略”窗口中依次打開(kāi)“計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→本地策略→用戶權(quán)限分配”，然后雙擊右側(cè)窗格的“拒絕本地登錄”項(xiàng)，在彈出的窗口中添加要禁止的用戶或組即可實(shí)現(xiàn)。

如果我們想反其道而行之，禁止用戶從網(wǎng)絡(luò)登錄，只能從本地登錄，可以雙擊“拒絕從網(wǎng)絡(luò)訪問(wèn)這臺(tái)計(jì)算機(jī)”項(xiàng)將用戶加上去。

給“休眠”和“待機(jī)”加個(gè)密碼

在“組策略”窗口中展開(kāi)“用戶配置→管理模板→系統(tǒng)→電源管理”，在右邊的窗格中雙擊“從休眠/掛起恢復(fù)時(shí)提示輸入密碼”，將其設(shè)置為“已啟用”，那么當(dāng)我們從“待機(jī)”或“休眠”狀態(tài)返回時(shí)將會(huì)要求你輸入用戶密碼。

禁止修改IE瀏覽器的主頁(yè)

如果您不希望他人或網(wǎng)絡(luò)上的一些惡意代碼對(duì)自己設(shè)定的IE瀏覽器主頁(yè)進(jìn)行隨意更改的話，我們可以選擇“用戶配置”→“管理模板”→“Windows 組件”→“Internet Explorer”分支，然后在右側(cè)窗格中，雙擊“禁用更改主頁(yè)設(shè)置”策略啟用即可。

逐級(jí)展開(kāi)“用戶設(shè)置”→“管理模板”→“Windows組件”→“Internet Explorer”分支，我們可以在其下發(fā)現(xiàn)“Internet控制面板”、“脫機(jī)頁(yè)”、“瀏覽器菜單”、“工具欄”、“持續(xù)行為”和“管理員認(rèn)可的控件”等策略選項(xiàng)。利用它可以充分打造一個(gè)極有個(gè)性和安全的IE。

把Administrator藏起來(lái)

Windows系統(tǒng)默認(rèn)的系統(tǒng)管理員賬戶名是Administrator。因此，為了避免有人惡意破解系統(tǒng)管理員Administrator賬戶的密碼，我們可以將Administrator改為其他名字以加強(qiáng)安全。選擇“計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→本地策略→安全選項(xiàng)”，在右邊窗格里雙擊“賬戶：重命名系統(tǒng)管理員賬戶”項(xiàng)，在上面輸入你想要的用戶名。重新啟動(dòng)計(jì)算機(jī)后，輸入的新用戶名即刻生效。如果再新建一個(gè)Guest用戶，用戶名為Administrator，然后再加上十分復(fù)雜的密碼就更安全。

為了避免讓人在Windows的登錄框中看到曾經(jīng)登錄過(guò)的用戶名，就要雙擊“交互式登錄：不顯示上次的用戶名”子項(xiàng)，選擇“已啟用”將該策略啟用。這樣上次登錄到計(jì)算機(jī)的用戶名就不會(huì)顯示在Windows的登錄畫(huà)面中。

禁用IE組件自動(dòng)安裝

選擇“計(jì)算機(jī)配置”→“管理模板”→“Windows組件”→“Internet Explorer”項(xiàng)目，雙擊右邊窗口中“禁用Internet Explorer組件的自動(dòng)安裝”項(xiàng)目，在打開(kāi)的窗口中選擇“已啟用”單選按鈕，將會(huì)禁止 Internet Explorer 自動(dòng)安裝組件。這樣可以防止 Internet Explorer 在用戶訪問(wèn)到需要某個(gè)組件的網(wǎng)站時(shí)下載該組件，篡改IE的行為也會(huì)得到遏制!相對(duì)來(lái)說(shuō)IE也會(huì)安全許多。

【51CTO獨(dú)家特稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處?！?/p>

【編輯推薦】

1. 組策略與桌面管理相結(jié)合 保護(hù)用戶數(shù)據(jù)安全
2. Windows系統(tǒng)組策略中的八個(gè)酷炫小技巧
3. 組策略關(guān)閉Windows7的自動(dòng)播放功能
4. Windows 2008組策略ADMX文件配置攻略