针对Windows 的优化设置方法也层出不穷用户往往是东拼西凑没个头绪而且这些方法更是真伪难辨效果到底如何也无从知晓其实利用Win的系统组策略功能就可以实现Win的系统优化本文为大家讲解如何利用组策略让Win变得更安全
注组策略功能只在Win专业版旗舰版和企业版中提供
文件保密 给驱动器穿上隐身衣
驱动器主要包括硬盘光驱和移动设备等主要用于存储数据等因此限制驱动器的使用可以有效防止重要和机密的信息外洩阻击病毒和木马的入侵十分必要驱动器不同限制方法也不同而且同一种驱动器也有不同的限制级别就说硬盘吧一般有隐藏和禁止访问两种级别隐藏级别比较初级只是让驱动器不可见一般用于防范小孩和初级用户而禁止访问则可彻底阻止驱动器的访问对于移动设备可以选择设置读写和执行权限不过病毒和木马一般通过执行恶意程序来传播因此禁止执行权限才最有效
初级防御 普通用户看不到
家里电脑硬盘上有一些重要文件不想让别人看到最简单的办法就是把文件所在的驱动器隐藏起来点击“开始”在搜索框中输入 “gpeditmsc”确认后即打开了组策略编辑器依次展开“用户配置→管理模板→Windows组件→Windows资源管理器”在右边设置窗口中进入“隐藏‘我的电脑’中这些指定的驱动器”选择“已启用”在下面的下拉列表中选择需要隐藏的驱动器然后确定再进入“计算机”刚才选择的驱动器图标就不见了
提示这个方法只是隐藏驱动器图标用户仍可使用其他方法访问驱动器的内容如在地址栏中直接键入驱动器上的目录路径另外此设置不会阻止用户使用程序访问这些驱动器或其内容
高级防御 特权用户才能用
系统盘里面有重要的系统文件不能让别人随便修改或移动特别是有些分区存有重要文件时如果只是隐藏驱动器别人还是能够访问这样当然不行!最安全的方法就是把相关驱动器保护起来禁止无权限的用户访问
同样在组策略管理器当中依次展开“用户配置→管理模板→Windows组件→Windows资源管理器”进入“防止从‘我的电脑’访问驱动器”选择“已启用”在下面的下拉列表中选择需要禁止访问的驱动器确定后即可生效(如图所示)别人再想访问相关驱动器时会出现“限制”的提示窗口!当自己需要查看时只要把相关的策略设置从“已启用”改成“未配置”即可
提示如何阻止其他人使用组策略编辑呢?很简单通过建立不同权限的用户让其他人使用普通User类型的账户(无权开启组策略编辑器)就可以了
禁用移动设备执行权限 断木马病毒后路
移动设备(例如闪存移动硬盘等)已经成为不少用户的标准配置使用也最为广泛正因如此它也成了病毒和木马传播的主要途径而普通的限制读写权限并不能阻止病毒和木马入侵因为病毒传播都是通过执行病毒和木马程序来实现的因此禁用执行权限就能切断病毒传播途径
依次展开“计算机配置→管理模板→系统→可移动存储访问”进入“可移动磁盘拒绝执行权限”选择“已启用”确定后设置生效移动设备上的可执行文件将不能执行计算机也就不会再被病毒感染而如果需要执行只需要拷贝到硬盘当中即可
上网沖浪 给浏览器穿上铁布衫
电脑最重要的用途之一就是上网可是说实话现在上网一点也不省心病毒木马和流氓软件横行连不少大网站都会被挂马用户真是防不胜防而很多恶意软件都会窜改浏览器主页或浏览器的其他设置一旦中招打开浏览器就会弹出乱七八糟的页面甚至是木马网站让用户叫苦不迭!另外有些用户利用浏览器下载文件毫无规律常常搞得文件混乱病毒文件一旦下载就很难清除因此如何增强浏览器的“免疫力”就显得特别重要
锁定主页
主页被窜改是最常见的而利用组策略锁定后就可以彻底解决这一问题不仅不会再弹出乱七八糟的页面更是降低了再次中毒和中木马的几率依次展开“用户配置→管理模板→Windows组件→Internet Explorer”进入“禁用更改主页设置”选择“已启用”“选项”下面输入默认主页确定后设置生效(如图所示)
提示启用此策略设置后用户将无法对默认主页进行设置因此如果需要用户必须在修改设置前指定一个默认主页
冰封IE设置
如同上文所述一旦系统中毒或中了木马除了IE主页会被窜改其他的IE设置也可能会被窜改因此给IE设置加上防护罩也是非常有必要的特别是IE设置一旦设定之后可能长期都不会改变因此不如彻底冰封!
依次展开“用户配置→管理模板→Windows组件→Internet Explorer→Internet控制面板”右边窗格有“禁用高级页”“禁用连接页”“禁用内容页”“禁用常规页”“禁用隐私页”“禁用程序页”和“禁用安全页”分别对应IE里“Internet选项”中的七个选项卡(如图所示)如全部启用打开“Internet选项”将出现“限制”的出错对话框这就彻底杜绝了对IE浏览器设置的修改
提示启动“禁用常规页”将会删除“Internet选项”中的“常规”选项卡如果启用此策略则用户无法查看和更改主页缓存历史记录网页外观以及辅助功能的设置因为此策略会删除“常规”选项卡所以如果设置此策略则无须设置以下Internet Explorer策略——“禁用更改主页设置”“禁用更改Internet临时文件设置”“禁用更改历史记录设置”“禁用更改颜色设置”“禁用更改链接颜色设置”“禁用更改字体设置”“禁用更改语言设置”和“禁用更改辅助功能设置”
权限管理 给系统配上火眼金睛
现在有些软件真流氓例如很多软件美其名曰为了方便别人使用却会在软件打包或者绿化的过程中恶意捆绑一些程序或者将一些网页也打包进去方法一般很低级无非是通过批处理文件和手动注入注册表信息来实现因此我们可以利用组策略来禁止一些危险类型的文件运行此外一些公共场所(如办公室等)很多软件都是不允许使用的(如聊天软件等)那么管理人员也可以利用组策略来实现有效地管理
禁止危险文件运行
有些类型的文件(如“reg”注册表文件和“bat”批处理文件)一般用户很少用得上而且又很容易被病毒或木马利用因此禁止这些类型的文件运行就可以在一定程度上保障计算机的安全
依次展开“计算机配置→Windows设置→安全设置→软件限制策略”在弹出的右键菜单上选择“创建软件限制策略”会自动生成“安全级别”“其他规则”“强制”“指定的文件类型”和“受信任的发布者”五项进入“指定的文件类型”的属性窗口只留下需要禁止的文件类型例如 “bat批处理文件”将其他的文件类型全部删除如果类型不在列表中就直接在下面的“文件扩展名”文本框中输入要禁用的文件类型添加进去即可再进入“安全级别→不允许”点击“设为默认”按钮此策略即生效再运行任何批处理文件时就会被阻止执行
禁用程序 穿上马甲我也认识你
除此之外很多公司都不允许使用聊天软件以QQ为例如果直接卸载QQ使用者还可能再安装或者把软件安装到其他位置此时不妨利用组策略来轻松搞定
依次展开“计算机配置→Windows设置→安全设置→软件限制策略→其他规则”选择“新建哈希规则”(如图所示)点击“浏览”选择QQ 的执行文件“QQexe”“文件信息”下面第一行就是生成的哈希值这个值是唯一的下面还会显示出文件的基本信息“安全级别”选择“不允许”确认注销后再次登录设置即可生效
提示采用哈希规则的好处是不管程序被改名或是移动位置或其他任何操作只要哈希值被验证一致那么限制就不会失效!因此可以有效限制某些软件的运行
