热点推荐:
您现在的位置: 电脑学习网 >> 软件专区 >> 正文

五招练就系统金钟罩

2013-09-12 17:23:14  来源: 软件专区 
组策略的应用在Windows里无处不在,如何让系统更安全,也是一个经久不衰的话题,就让我们来看看组策略如何给系统练就一身金钟罩。

一、把Administrator藏起来

Windows系统默认的系统管理员账户名是Administrator。因此,为了避免有人恶意破解系统管理员Administrator账户的密码,我们可以将Administrator改为其他名字以加强安全。点击“开始→运行”,输入gpedit.msc,打开“组策略”,如图1所示,选择“计算机配置→Windows设置→安全设置→本地策略→安全选项”,在右边窗格里双击“账户:重命名系统管理员账户”项,在上面输入你想要的用户名。重新启动计算机后,输入的新用户名即刻生效。如果再新建一个Guest用户,用户名为Administrator,然后再加上十分复杂的密码就更安全。

 

提示:为了避免让人在Windows的登录框中看到曾经登录过的用户名,就要双击“交互式登录:不显示上次的用户名”子项,选择“已启用”将该策略启用。WwW.iTcOmPuteR.CoM.CN这样上次登录到计算机的用户名就不会显示在Windows的登录画面中。

二、禁用指定的文件类型

在“组策略”中,我们可以禁用SHS、MSI、BAT、CMD、COM、EXE等程序文件类型,而且不影响系统的正常运行。这里假设我们要禁用注册表的REG文件,不让系统运行REG文件,具体操作方法如下:

1. 打开组策略,点击“计算机配置→Windows设置→安全设置→软件限制策略”,在弹出的右键菜单上选择“创建软件限制策略”,即生成“安全级别”、“其他规则”及“强制”、“指派的文件类型”、“受信任的发布者”项(图2)。

2. 双击“指派的文件类型”打开“指派的文件类型属性”窗口(图3),只留下REG文件类型,将其他的文件全部删除,如果还有其他的文件类型要禁用,可以再次打开这个窗口,在“文件扩展名”空白栏里输入要禁用的文件类型,将它添加上去。

3. 双击“安全级别→不允许的”项,点击“设为默认”按钮。然后注销系统或者重新启动系统,此策略即生效,运行REG文件时,会提示“由于一个软件限制策略的阻止,Windows无法打开此程序”。

4.要取消此软件限制策略的话,双击“安全级别→不受限的”,打开“不受限的 属性”窗口,按“设为默认值”即可。

如果你鼠标右键点击“计算机配置→Windows设置→安全设置→软件限制策略→其他规则”,你会看到它可以建立哈希规则、Internet 区域规则、路径规则等策略,利用这些规则我们可以让系统更加安全,比如利用“路径规则”可以为电子邮件程序用来运行附件的文件夹创建路径规则,并将安全级别设置为“不允许的”,以防止电子邮件病毒。

提示:为了避免“软件限制策略”将系统管理员也限制,我们可以双击“强制”,选择“除本地管理员以外的所有用户”。如果用你的是文件类型限制策略,此选项可以确保管理员有权运行被限制的文件类型,而其他用户无权运行。

三、未经许可,不得在本机登录

使用电脑时,我们有时要离开座位一段时间。如果有很多正在打开的文档还没有处理完成或者正在下载东西、挂POPO等等,为了避免有人动用电脑,我们一般会把电脑锁定。但是在局域网中,为了方便网络登录,我们有时候会建立一些来宾账户,如果对方利用这些账户来注销当前账户登录到别的账户,那就麻烦了。既然我们不能删除或禁用这些账户,那么我们可以通过“组策略”来禁止一些账户在本机上登录,让对方只能通过网络登录。

在“组策略”窗口中依次打开“计算机配置→Windows设置→安全设置→本地策略→用户权限分配”,然后双击右侧窗格的“拒绝本地登录”项,在弹出的窗口中添加要禁止的用户或组即可实现。

如果我们想反其道而行之,禁止用户从网络登录,只能从本地登录,可以双击“拒绝从网络访问这台计算机”项将用户加上去。

四、给“休眠”和“待机”加个密码

只有“屏幕保护”有密码是远远不够安全的,我们还要给“休眠”和“待机”加上密码,这样才会更安全。让我们来给“休眠”和“待机”加上密码吧。在“组策略”窗口中展开“用户配置→管理模板→系统→电源管理”,在右边的窗格中双击“从休眠/挂起恢复时提示输入密码”,将其设置为“已启用”,那么当我们从“待机”或“休眠”状态返回时将会要求你输入用户密码。

五、自动给操作做个记录

在“计算机配置→Windows设置→安全设置→本地策略→审核策略”上,我们可以看到它可以审核策略更改、登录事件、目录服务访问、账户管理等。这些审核可以记录下你某年某月某日某时某分某秒做过了什么操作:几时登录、关闭系统或更改过哪些策略等等。

我们应该养成经常在“控制面板→管理工具→事件查看器”里查看事件的好习惯。比如,当你修改过“组策略”后,系统就发生了问题,此时“事件查看器”就会及时告诉你改了哪些策略。在“登录事件”里,你可以查看到详细的登录事件,知道有人曾尝试使用禁用的账户登录、谁的账户密码已过期……而要启用哪些审核,只要双击相应的项目,选中“成功”和“失败”两个选项即可。

关于如何隐藏桌面图标、隐藏磁盘驱动器、如何保护“任务栏”和“开始”菜单等设置的读者朋友可以参阅第40期E6版,这里就不赘述。对于“组策略”不太了解的读者朋友还可以参阅2004年第39期E5版《学电脑要讲“策略”──特训Windows组策略的使用》。

注意:本文以Windows 2003 Standard Edition为例。在其他Windows系统中,策略的路径和名称会有所不同。比如Windows 2003上的“用户权限分配”和“哈希规则”,在Windows XP中名称是“用户权利分配”和“散列规则”,但它们功能仍然是一样的。另外,Windows XP Home Edition没有“组策略”,只有Windows XP Professional版本才有“组策略”,这一点注意。

 


From:http://www.itcomputer.com.cn/Article/Software/201309/3452.html
  • 上一篇文章:

  • 下一篇文章:
  • 相关文章
      没有相关文章
    Copyright © 2005-2013 电脑知识网 Computer Knowledge   All rights reserved.