使用策略編輯器維護(hù)計(jì)算機(jī)

1、第9章使用戰(zhàn)略編輯器來維護(hù)計(jì)算機(jī)。 知道常用系統(tǒng)、外觀、網(wǎng)絡(luò)設(shè)置等的我們經(jīng)常在控制面板上進(jìn)行修改，但在控制面板上能修改的太少，無法滿足用戶需求的一些專業(yè)級(jí)別的朋友要以修改注冊(cè)表的方式進(jìn)行設(shè)置。 由于專業(yè)，結(jié)構(gòu)也復(fù)雜，普通用戶使用注冊(cè)表維護(hù)計(jì)算機(jī)的方法不充分，使用非常不方便。 但是，必須知道注冊(cè)表的維護(hù)方法，很難完全掌握一些實(shí)例的設(shè)置方法。 組策略正好在兩者之間，相關(guān)內(nèi)容比控制面板多，安全性和控制面板一樣高，在合理、操作性方面遠(yuǎn)遠(yuǎn)優(yōu)于注冊(cè)表。 組策略可以說是注冊(cè)表的編輯工具，但我將簡要介紹組策略的使用方法。 9.1WindowsXP組策略應(yīng)用9.1.1組策略的基本知識(shí)是什么？ 組策略是一種更改控

2、制面板和注冊(cè)表之間的系統(tǒng)和設(shè)置的工具。 微軟從WindowsNT4.0采用了組策略這一機(jī)制，經(jīng)過Windows2000發(fā)展為WindowsXP。 組策略為用戶本身提供了更高級(jí)的管理組織方法，可以設(shè)置各種軟件、計(jì)算機(jī)和用戶策略。 這實(shí)際上是WindowsXP的高級(jí)管理工具，它使用圖形界面和可以輕松配置的選項(xiàng)，讓用戶可以輕松執(zhí)行以前只能通過更改系統(tǒng)注冊(cè)表的操作。 要啟動(dòng)組策略，只需單擊“開始”“運(yùn)行”命令，在“運(yùn)行”窗口中鍵入gpedit.msc，然后單擊“確定”按鈕即可啟動(dòng)WindowsXP組策略編輯器。 (注意：此組策略程序位于C:WINNTSYSTEM32中，文件名為gpedit.msc。

3、)“組策略”可以在計(jì)算機(jī)上設(shè)置“本地計(jì)算機(jī)配置”和“本地用戶配置”兩個(gè)方面，所有策略設(shè)置都保存在注冊(cè)表的相關(guān)項(xiàng)目中。 計(jì)算機(jī)策略設(shè)置保存在注冊(cè)表的HKEY_LOCAL_MACHINE中，用戶策略設(shè)置保存在HKEY_CURRENT_USER中。 9.1.2系統(tǒng)的個(gè)性化設(shè)置、 1 .隱藏或刪除資源管理器中的項(xiàng)目“用戶配置”“模板管理”“windows組件”“windows資源管理器”項(xiàng)目2 .不顯示歡迎中心“用戶配置”“模板管理”“系統(tǒng)”“右側(cè)的窗口如果您找到并雙擊“不顯示”，在彈出的“屬性”窗口的“設(shè)置”標(biāo)簽中選擇“啟用”，然后單擊“確定”，則每次用戶登錄時(shí)歡迎屏幕都會(huì)被隱藏。 3 .在“開始”

4、菜單的減肥中展開“用戶設(shè)定”“模板管理”“任務(wù)欄和“開始”菜單”，在右側(cè)的窗口中雙擊“開始”菜單中刪除“我的文檔”圖標(biāo)”項(xiàng)目，并彈出4 .保持“開始”菜單不變，展開“用戶配置”“模板管理”“任務(wù)欄和“開始”菜單”，在右側(cè)窗口中找到“強(qiáng)制標(biāo)準(zhǔn)菜單”項(xiàng)目并將其啟用，單擊“確定”重新啟動(dòng)系統(tǒng)后，修改后的效果5 .個(gè)性化IE瀏覽器在“用戶配置Windows設(shè)置InternetExplorer維護(hù)-瀏覽器用戶界面”分支右側(cè)的窗口中，雙擊“瀏覽器工具欄的自定義”策略，然后單擊“瀏覽器工具” 6 .將ie作為用戶界面展開“用戶配置”“模板管理”“系統(tǒng)”，在右側(cè)窗口中找到并啟用“用戶界面定制”項(xiàng)目，在下面的“

5、界面文件名”下的輸入框中執(zhí)行該項(xiàng)目例如，鍵入c : 程序文件 internet exploreriexplore.exe，然后單擊“確定”重新啟動(dòng)系統(tǒng)。9.1.3系統(tǒng)功能的設(shè)置，1、隱藏整個(gè)桌面如果別人不擅自打開自己桌面上的“我的文檔”、“我的電腦”、“垃圾箱”等系統(tǒng)圖標(biāo)，則用組策略來實(shí)現(xiàn)或隱藏整個(gè)桌面要在“組策略”窗口中展開“用戶配置”“模板管理”“桌面”以隱藏“我的文檔”，請(qǐng)?jiān)谟覀?cè)窗口中找到并啟用“刪除桌面上的“我的文檔”圖標(biāo)”項(xiàng)目。 在右側(cè)窗口中找到并啟用“我的電腦”圖標(biāo)，或者啟用“從桌面刪除回收站”會(huì)刪除“我的電腦”或“回收站”，啟用“隱藏桌面上的所有項(xiàng)目”會(huì)刪除桌面上的所有項(xiàng)目。 2

6、、保護(hù)個(gè)人文檔隱私的WindowsXP具有高級(jí)智能功能，可以記錄你訪問過的文件。 此功能對(duì)用戶重新打開文件很有用。 如果考慮到安全性和性能，應(yīng)該阻止此功能。 在“組策略”窗口中展開“用戶配置”“管理模板”“任務(wù)欄和“開始”菜單，在右側(cè)窗口中有兩種：“不保存最近打開的文檔記錄”和“結(jié)束時(shí)清除最近打開的文檔記錄” 3、禁止訪問“控制面板”的其他用戶不想訪問計(jì)算機(jī)的“控制面板”時(shí)，運(yùn)行組策略編輯器，在左側(cè)窗口中“本地計(jì)算機(jī)策略用戶配置管理模板”。 此設(shè)置可防止控制面板中的程序文件啟動(dòng)。 因此，其他用戶不能啟動(dòng)控制面板，也不能執(zhí)行控制面板中的項(xiàng)目。 此外，此設(shè)置從“開始”菜單中刪除控制面板，此設(shè)置從W

7、indows資源管理器中刪除控制面板文件夾。 4 .禁止訪問注冊(cè)表編輯器要在組策略中禁止其他用戶訪問注冊(cè)表編輯器，請(qǐng)展開“用戶配置”“模板管理”“系統(tǒng)”，然后在右側(cè)窗口中展開“注冊(cè)表編輯器”，以防止其他用戶修改注冊(cè)表這樣，當(dāng)用戶嘗試啟動(dòng)注冊(cè)表編輯器時(shí)，系統(tǒng)會(huì)通知您注冊(cè)編輯已被管理員禁用。 5 .您可以從“控制面板”的“添加/刪除程序”項(xiàng)目中安裝、卸載、修復(fù)、添加和刪除Windows功能和組件，以及多種Windows程序?yàn)榱朔乐蛊渌脩舭惭b或卸載程序，請(qǐng)使用組策略.不要使用該程序。 展開“用戶設(shè)定”“模板管理”“控制面板”“添加/刪除程序”，在右側(cè)窗口中啟用“添加/刪除程序”即可。 6 .如果您

8、不想隨意更改ie瀏覽器的設(shè)置，禁用ie的“工具”菜單中的“internet選項(xiàng)”，則可以啟用“工具”菜單：禁用internet選項(xiàng)”策略。 具體的設(shè)定步驟是展開“用戶設(shè)定”“模板管理”“Windows組件”“InternetExplorer”“瀏覽器菜單”，在右側(cè)窗口中，將“工具”菜單“使internet選項(xiàng)無效.菜單項(xiàng)目9.2使用本地安全策略和啟動(dòng)“本地安全策略”有三種方法：開始-運(yùn)行g(shù)pedit.msc計(jì)算機(jī)配置windows設(shè)置-安全設(shè)置。 單擊“控制面板”“性能和維護(hù)”“管理工具”“本地安全策略”。 開始運(yùn)轉(zhuǎn)secpol.msc也可以。 9.2.1帳戶策略的使用可以通過帳戶策略來設(shè)置密

9、碼策略和帳戶鎖定策略，密碼策略和帳戶鎖定策略可以增強(qiáng)用戶的安全.1 .密碼策略“安全設(shè)定”中，首先定位于“帳戶策略”“密碼策略”，在其右側(cè)的設(shè)定窗口中，進(jìn)行密碼的復(fù)雜性、密碼的長度、密碼的持續(xù)時(shí)間等的設(shè)定，我們的系統(tǒng)密碼相互2 .展開密碼設(shè)定“計(jì)算機(jī)設(shè)定”“Windows設(shè)定”“安全性設(shè)定”“帳戶策略”“密碼策略”。 3 .帳戶鎖定策略在安全設(shè)置中，首先導(dǎo)航到“帳戶策略”“帳戶鎖定策略”，在其右側(cè)的設(shè)置窗口中將“帳戶鎖定閾值”從默認(rèn)值0更改為3，用戶無法三次登錄9.2.2使用本地策略，1 .分配本地用戶權(quán)利如果你是系統(tǒng)管理員，則可將特定權(quán)利分配給組帳戶或單個(gè)用戶帳戶。 在“安全設(shè)置”中，您可以

10、定位到“本地策略”“分配用戶權(quán)利”，并在右側(cè)的設(shè)置視圖中，為下面的每個(gè)策略設(shè)置安全設(shè)置。 2 .安全選項(xiàng)的安全選項(xiàng)可以進(jìn)行交互登錄、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)訪問等安全設(shè)定，設(shè)定的項(xiàng)目很多，設(shè)定方法也很簡單。 如果展開“本地策略”“安全選項(xiàng)”，右側(cè)窗口中有很多設(shè)置項(xiàng)目。找到“網(wǎng)絡(luò)訪問：不允許與SAM帳戶共享的匿名枚舉”，介紹9.3軟件限制策略。 9.3.1軟件限制策略的基本概念軟件限制策略是本地安全策略的一部分，軟件限制策略是一種技術(shù)，該技術(shù)允許管理員確定可以執(zhí)行哪些程序。 該策略可通過對(duì)管理員指定的文件或某一類型的文件制定適當(dāng)?shù)囊?guī)則來識(shí)別出，同時(shí)，通過對(duì)這些文件賦予適當(dāng)?shù)陌踩燃?jí)，可允許或限制這些文件的

11、執(zhí)行。 1 .軟件限制策略的規(guī)則軟件限制策略中，識(shí)別文件的規(guī)則有4種，分別是散列規(guī)則、證書規(guī)則、路徑規(guī)則、區(qū)域規(guī)則。 文件的安全級(jí)別分為“不允許”和“不限制”，其中“不允許”是無論用戶權(quán)限如何都禁止運(yùn)行程序的“無限制”，用戶可以根據(jù)自己擁有的權(quán)限運(yùn)行程序。 使用軟件限制策略預(yù)防病毒所需的規(guī)則通常是散列規(guī)則和路徑規(guī)則，將文件的安全級(jí)別設(shè)置為“不允許”。 2 .軟件限制策略的優(yōu)先級(jí)軟件限制策略的四個(gè)規(guī)則中，如果在同一個(gè)文件中設(shè)置了多少個(gè)規(guī)則，那么哪些規(guī)則會(huì)起作用呢？ 這四個(gè)規(guī)則的優(yōu)先順序是散列規(guī)則-證書規(guī)則-路徑規(guī)則-互聯(lián)網(wǎng)區(qū)域規(guī)則，而在實(shí)際的應(yīng)用程序中，僅散列規(guī)則和路徑規(guī)則。 3 .打開軟件限制

12、策略的方法是以管理員或管理員組的成員身份登錄系統(tǒng)，(1)在“開始”菜單的“運(yùn)行”上運(yùn)行secpol.msc命令，啟動(dòng)本地安全策略編輯器，然后啟動(dòng)“安全設(shè)置” 點(diǎn)擊“軟件限制策略”項(xiàng)目(2)在“開始”菜單的“運(yùn)行”中運(yùn)行g(shù)pedit.msc命令，啟動(dòng)組策略編輯器，啟動(dòng)“本地計(jì)算機(jī)”策略、“計(jì)算機(jī)設(shè)置”、“Windows設(shè)置”、“安全(3)開始/程序/管理工具/本地安全策略，4 .軟件限制策略執(zhí)行策略軟件限制策略可能有多個(gè)規(guī)則作用于同一文件，在這種情況下，限制策略的執(zhí)行策略如下作用。 (1)如果多個(gè)規(guī)則作用于同一程序，優(yōu)先級(jí)最高的規(guī)則就起作用。 (2)多個(gè)類似規(guī)則作用于同一程序時(shí)，類似規(guī)則中最有限

13、制力的規(guī)則起作用。 如果散列同一文件兩次(不受限制，不允許)，則不允許優(yōu)先。 (3)規(guī)則越具體越優(yōu)先。 *.exe不允許，1.exe不受限制，1.exe的規(guī)則優(yōu)先。 *.exe是文件的種類，1.exe是文件的種類具體。 5 .使用軟件限制策略的注意事項(xiàng)(1)請(qǐng)不要更改默認(rèn)域策略，也不要連接到外部域策略。(2)堅(jiān)持為軟件限制策略建立獨(dú)立的組策略對(duì)象。 (3)如果應(yīng)用軟件限制策略，發(fā)生意外問題，請(qǐng)?jiān)诎踩Ｊ较聠?dòng)計(jì)算機(jī)修改策略。 (4)為了獲得最高的限制效果，請(qǐng)將軟件限制策略與訪問策略一起使用。 (5)在應(yīng)用軟件限制策略之前在測(cè)試環(huán)境中進(jìn)行測(cè)試。 (6)慎重使用“不可容忍”的默認(rèn)策略。 (7)不刪除系統(tǒng)自動(dòng)建立的注冊(cè)