使用组策略自定义收藏夹文件夹和链接栏
自定义收藏夹文件夹和链接栏
在 Internet Explorer(R) 维护 (IEM) 的此对话框中,可以自定义收藏夹文件夹和链接栏。例如,可以添加到与公司或服务有关的网站的链接。还可以添加到默认文件夹的链接或添加新文件夹。
若要启用链接栏,请右键单击 Internet Explorer 工具栏,然后单击“链接”。在 Internet Explorer 6 中,“链接”在“收藏”菜单上显示为文件夹,在工具栏上显示为项。在 Internet Explorer 8 中,“链接”在主窗口左侧的收藏中心中显示为文件夹,在工具栏上显示为项。
您必须是Administrators组的成员才能使用 IEM 和组策略对象 (GPO)。
使用 IEM 为 Internet Explorer 添加、删除或整理收藏夹和链接的步骤
1.在 IEM 中,展开“Internet Explorer 维护”。
2.在左窗格中单击“URL”,然后在右窗格中双击“收藏夹和链接”。
3.然后执行下列一项或多项操作:
o更改链接顺序:选中“按下面指定的顺序将收藏夹和链接放置位于列表顶部”复选框,以指定将选择的收藏夹和链接移至用户列表顶
部,这样使用户更容易查找。选择此选项后,“上移”和“下移”
按钮将可用。
o删除现有链接:如果您是企业管理员,请选中“删除现有的收藏夹和链接(如果有)”复选框以删除用户的“收藏夹”列表和“链接”
列表上的项。应谨慎使用此设置,因为这样会删除其他链接中用户
添加的项。
o删除管理员创建的链接:选中“只删除由管理员创建的收藏夹”复选框,以便仅删除管理员早期为用户设置的用户的“收藏夹”列表
和“链接”列表上的项。如果选中“删除现有的收藏夹和链接(如
果有)”复选框,则此选项将激活。
o删除频道:如果您是企业管理员,请选中“删除现有频道(如果有)”
复选框以删除用户计算机上的所有频道。频道只可用于已从
Internet Explorer 4.0 或 Windows(R) 98 进行升级的计算机。
o添加链接:单击“收藏夹”或“链接”或者其中一个类别中的文件夹,然后单击“添加URL”。然后执行下列操作:
在“名称”框中键入链接的友好名称。
在“URL”框中键入链接的目标。
若要为此链接指定 16 x 16 像素的自定义图标,请在“图标”框中键入文件的名称和位置,或者单击“浏览”查找文件。这是可选的。
如果您是企业管理员,请选中“允许脱机使用”复选框,以使此页面可用于没有连接到 Internet 的用户。此选项对于使用便携式计算机的用户非常有用。
注意
最多可以向“收藏夹”文件夹添加 200 个链接。
o添加文件夹:单击“收藏夹”或“链接”或者其中一个类别中的文件夹,然后单击“添加文件夹”。在“名称”框中键入文件夹的名称。
o编辑链接:选择要更改的链接,然后单击“编辑”。按照与“添加”
相同的步骤指定“名称”字段、“URL”字段和“图标”字段的信息。
o从“收藏夹”或“链接”删除链接:单击相应链接,然后单击“删除”。
o测试链接:单击相应链接,然后单击“测试URL”。这样将打开尝试连接到该URL的 Internet Explorer 实例。
o导入链接的现有文件夹:单击“收藏夹”或“链接”,然后单击“导入”。在“浏览文件夹”对话框中,查找计算机上所需链接的文件夹,然后单击该文件夹。如果使用的是 Windows XP、
Windows Vista(R) 或 Windows Server(R) 2008,则这些链接很可能位于
Settings\
组策略详解
组策略详解(图解) 电脑知识2008-05-27 06:11 阅读138 评论0 字号:大中小 组策略是管理员为计算机和用户定义的,用来控制应用程序、系统设置和管理模板的一种机制。通俗一点说,是介于控制面板和注册表之间的一种修改系统、设置程序的工具。微软自W indows NT 4.0开始便采用了组策略这一机制,经过Windows 2000发展到Windows XP已相当完善。利用组策略可以修改Windows的桌面、开始菜单、登录方式、组件、网络及IE浏览器等许 多设置。 平时像一些常用的系统、外观、网络设置等我们可通过控制面板修改,但大家对此肯定都有不满意,因为通过控制面板能修改的东西太少;水平稍高点的用户进而使用修改注册表的方法来设置,但注册表涉及内容又太多,修改起来也不方便。组策略正好介于二者之间,涉及的内容比控制面板中的多,安全性和控制面板一样非常高,而条理性、可操作性则比注册表 强。 本文主要介绍Windows XP Professional本地组策略的应用。本地计算机组策略主要可进行两个方面的配置:计算机配置和用户配置。其下所有设置项的配置都将保存到注册表的相关项目中。其中计算机配置保存到注册表的HKEY_LOCAL_MACHINE子树中,用户配置保存到H KEY_CURRENT_USER。 一、访问组策略 有两种方法可以访问组策略:一是通过gpedit.msc命令直接进入组策略窗口;二是 打开控制台,将组策略添加进去。 1. 输入gpedit.msc命令访问 选择“开始”→“运行”,在弹出窗口中输入“gpedit.msc”,回车后进入组策略窗口(图1)。组策略窗口的结构和资源管理器相似,左边是树型目录结构,由“计算机配置”、“用户配置”两大节点组成。这两个节点下分别都有“软件设置”、“Windows设置”和“管理模板”三个节点,节点下面还有更多的节点和设置。此时点击右边窗口中的节点或设置,便会出现关于此节点或设置的适用平台和作用描述。“计算机配置”、“用户配置”两大节点下的子节点和设置有很多是相同的,那么我们该改哪一处?“计算机配置”节点中的设置应用到整个计算机策略,在此处修改后的设置将应用到计算机中的所有用户。“用户配置”节点中的设置一般只应用到当前用户,如果你用别的用户名登录计算机,设置就不会管用了。但一般情况下建议在“用户配置”节点下修改,本文也将主要讲解“用户配置”节点的各项设置的修改,附带讲解“计算机配置”节点下的一些设置。其中“管理模板”设置最多、应用最广,因此也 是本文的重中之重。
AD组策略规划禁用U盘
W i n d o w s组策略屏蔽U盘有妙法(图) Windows组策略屏蔽U盘有妙法(图) 笔者在一家区级法院网络中心工作,为确保局域网内的计算机安全,省高院要求全省联网的法院客户端的机器光软驱都要拆除,而且禁止在局域网内使用U 盘。我们知道,现在局域网中使用的操作系统绝大多数都是Windows系列,对于Windows 98说,做到这些并不难,因为U盘第一次使用时需要安装相应的驱动程序,拆除了光、软驱后,驱动无法安装,U盘也就无法使用,但对于Windows 2000、Windows XP来说,情况就不同了,用过U盘的人都知道这些操作系统不需要安 装驱动,U盘即插即用。 对于大多数用户来说,这的确很方便,但对于单位有要求的网管来说,就头疼了,现在新买的机器不能总是安装Windows 98吧,毕竟Windows 98就要“下岗”了,但面对U盘,却没有好的办法,也许您会想到可以在BIOS设置里屏蔽USB端口,但这是“宁可错杀一千,不能放过一个”的办法,如果您的单位客户端没有使用USB接口的键盘、鼠标、打印机等设备,那您完全可以采用此方法,不过您以后采购设备的时候要注意了,最好不要采购USB设备,除非咱们网管自己用,哈哈!那有没有简单易行的办法呢?经过一段时间摸索和试验,笔者终于找到了使用修改组策略模板的方法实现此目标。
实现条件 当然这是有前提条件的,首先,您的局域网必须以域为架构(我们知道Windows 2000、Windows XP自己都自带有组策略编辑器,使用组策略编辑器可单独编辑每台机器的策略,而使用域时,只要用户登录到域,就会自动应用策略,在服务器端修改一次,就可以在全域实现管理目标,如果不采用域模式,您需要每台都要设置组策略,失去了效率,也就没有采用的必要了)。 其次,客户端必须以域用户的身份登录网络,且不能被赋予客户端本机管理员的权限。客户端操作系统推荐使用Windows 2000和Windows XP,虽然Windows 98也能在域环境下应用组策略,但Windows 2000 Server组策略对Windows 98的支持并不完全,且需要采用两种完全不同的方法分别管理他们,会对您以后的 网络管理带来不便。 特别说明:这里介绍的方法并不适用于Windows 98,只适用于服务器端安装Windows 2000 Server或Windows Server 2003。只要您的网络满足以上条件,我们就可以利用组策略屏蔽U盘,而对于其他USB设备却无任何影响,笔者在单位实施1年多来,效果很好,现将详细方法介绍出来,希望能给众多网管们提供 一点借鉴。 基本原理
谈在windows server 中使用软件限制策略
在 Windows Server 2003 中使用软件限制策略 概要 本文讲明如何在 Windows Server 2003 中使用软件限制策略。使用软件限制策略能够标识并指定同意运行的软件,以便爱护您的计算机环境可不能受到不可信代码的攻击。使用软件限制策略时,能够为组策略对象 (GPO) 定义两种默认安全级不(分不是无限制和不同意)中的一种,使得在默认情况下或者同意软件运行,或者不同意软件运行。要创建此默认安全级不的特例,能够创建针对特定软件的规则。能够创建以下几种规则:?哈希规则 ?证书规则 ?路径规则
? Internet 区域规则 一个策略由默认安全级不和所有应用于 GPO 的规则组成。此策略能够应用于所有的计算机或者个不用户。软件限制策略提供了许多标识软件的方法,它们还提供了基于策略的基础结构,以便强制执行关于软件是否能够运行的决定。有了软件限制策略,用户在运行程序时必须遵守治理员设置的规则。 通过软件限制策略,能够执行以下任务: ?操纵能够在计算机上运行的程序。例如,假如担心用户通过电子邮件收到病毒,能够应用一个策略,不同意一些文件类型在电子邮件程序的电子邮件附件文件夹中运行。 ?在多用户计算机上,仅同意用户运行特定的文件。例如,假如您的计算机上有多个用户,您能够设置软件限制策略,使用户除了能够访问必须在工作中使用的特定文件外,不能访问其他任何软件。 ?确定谁能够向计算机中添加受信任的公布服务器。 ?操纵软件限制策略是阻碍计算机上的所有用户,依旧只阻碍一些用户。 ?阻止任何文件在本地计算机、组织单元、站点或域中运行。例如,假如存在已知病毒,就能够使用软件限制策略阻止计算机打开包含该病毒的文件。 重要讲明:Microsoft 建议不要用软件限制策略代替防病毒软件。
Windows组策略中软件限制策略规则编写示例
Windows组策略中软件限制策略规则编写示例 2008年10月30日星期四20:10 对于Windows的组策略,也许大家使用的更多的只是“管理模板”里的各项功能。对于“软件限制策略”相信用过的朋友们不是很多。 软件限制策略如果用的好的话,相信可以和某些HIPS类软件相类比了。如果再结合NTFS权限和注册表权限,完全可以实现系统的全方位的安全配置,同时由于这是系统内置的功能,与系统无缝结合,不会占用额外的CPU及内存资源,更不会有不兼容的现象,由于其位于系统的最底层,其拦截能力也是其它软件所无法比拟的,不足之处则是其设置不够灵活和智能,不会询问用户。下面我们就来全面的了解一下软件限制策略。 本系列文章将从以下几方面为重点来进行讲解: ·概述 ·附加规则和安全级别 ·软件限制策略的优先权 ·规则的权限分配及继承 ·如何编写规则 ·示例规则 今天我们介绍Windows的组策略中软件限制策略规则编写示例。 根目录规则 如果我们要限制某个目录下的程序运行,一般是创建诸如: C:\Program Files\*.* 不允许 这样的规则,看起来是没有问题的,但在特殊情况下则可能引起误伤,因为通配符即可以匹配到文件,也可以匹配到文件夹。如果此目录 下存在如https://www.360docs.net/doc/8417504725.html, 这样的目录(如C:\Program Files\https://www.360docs.net/doc/8417504725.html,\Site Map https://www.360docs.net/doc/8417504725.html,),同样可以和规则匹配,从而造成误伤,解决方法是对规则进行修改:C:\Program Files 不允许的 C:\Program Files\*\ 不受限的 这样就排除了子目录,从而不会造成误伤。 上网安全的规则 我们很多时候中毒,都是在浏览网页时中的毒,在我们浏览网页时,病毒会通过浏览器漏洞自动下载到网页缓存文件夹中,然后再将自身 复制到系统敏感位置,比如windows system32 program files等等目录下,然后运行。所以单纯的对浏览器缓存文件夹进行限制是不够的。比较实用的防范方法就是禁止IE浏览器在系统敏感位置创建文件,基于此,我们可以创建如下规则: %ProgramFiles%\Internet Explorer\iexplore.exe 基本用户 %UserProfile%\Local Settings\Temporary Internet Files\** 不允许的 %UserProfile%\Local Settings\Temporary Internet Files\* 不允许的 %UserProfile%\Local Settings\Temporary Internet Files\ 不允许的 %UserProfile%\Local Settings\Temporary Internet Files 不允许的 如果你使用的是其它浏览器,同样将其设置为“基本用户”即可。 U盘规则 比较实际的作法: U盘符:\* 不允许的不信任的受限的都可以 不过设为不允许的安全度更高,也不会对U盘的正常操作有什么限制。 CMD限制策略
组策略软件限制策略
组策略软件限制策略文档编制序号:[KKIDT-LLE0828-LLETD298-POI08]
组策略——软件限制策略导读 实际上,本教程主要为以下内容: 理论部分: 1.软件限制策略的路径规则的优先级问题 2.在路径规则中如何使用通配符 3.规则的权限继承问题 4.软件限制策略如何实现3D部署(难点是NTFS权限),软件限制策略的精髓在于权限,如何部署策略也就是如何设置权限 规则部分: 5.如何用软件限制策略防毒(也就是如何写规则) 6.规则的示例与下载 理论部分 软件限制策略包括证书规则、散列规则、Internet 区域规则和路径规则。我们主要用到的是散列规则和路径规则,其中灵活性最好的就是路径规则了,所以一般我们谈到的策略规则,若没有特别说明,则直接指路径规则。 一.环境变量、通配符和优先级 关于环境变量(假定系统盘为 C盘) %USERPROFILE%?? 表示 C:\Documents and Settings\当前用户名
%HOMEPATH% 表示 C:\Documents and Settings\当前用户名 %ALLUSERSPROFILE%?? 表示 C:\Documents and Settings\All Users %ComSpec% 表示 C:\WINDOWS\System32\ %APPDATA%?? 表示 C:\Documents and Settings\当前用户名\Application Data %ALLAPPDATA%?? 表示 C:\Documents and Settings\All Users\Application Data %SYSTEMDRIVE% 表示 C: %HOMEDRIVE% 表示 C: %SYSTEMROOT%?? 表示 C:\WINDOWS %WINDIR% 表示 C:\WINDOWS %TEMP% 和 %TMP%?? 表示 C:\Documents and Settings\当前用户名\Local Settings\Temp %ProgramFiles% 表示 C:\Program Files %CommonProgramFiles% 表示 C:\Program Files\Common Files 关于通配符: Windows里面默认 * :任意个字符(包括0个),但不包括斜杠 :1个或0个字符 几个例子 *\Windows 匹配 C:\Windows、D:\Windows、E:\Windows 以及每个目录下的所有子文件夹。 C:\win* 匹配 C:\winnt、C:\windows、C:\windir 以及每个目录下的所有子文件夹。*.vbs 匹配 Windows XP Professional 中具有此扩展名的任何应用程序。
(2)组策略的配置及使用
一、实验名称 组策略的配置及使用 二、实验类型 验证性实验 三、实验目的 通过对服务器进行本地安全策略的配置,使学生掌握组策略的概念,配置组策略的方法,及使用组策略配置用户、配置计算机及配置软件的具体实例操作。 四、实验内容 (1)通过控制台访问组策略 (2)对用户设置密码策略 (3)对用户设置登录策略 (4)退出系统时清除最近打开的文件的历史 五、相关知识 1、组策略对象的类型 组策略对象有两种类型:本地和非本地。 本地组策略对象:对于每台运行Windows 2000以上操作系统的计算机,无论该计算机是否连接在网络上,或者是否是Active directory环境的一部分,它都存储着一个本地组策略对象。然而,若计算机处在Active directory的网络中,那么非本地组策略对象将覆盖本地组策略对象,从而将本地组策略对象对系统的影响降到最小。在非网络环境中,或非Active directory中,由于本地组策略对象的设置并没有被非本地组策略对象覆盖,所以仍然可以发挥作用。 非本地组策略对象:非本地组策略对象是与Active directory对象联系起来使用的。非本地组策略对象也可以应用于用户或计算机。如果要使用非本地组策略对象,那么必须在网络中安装一台域控制器。根据Active directory服务的属性,系统会分层次地应用非本地组策略对象中的策略。 2、组策略模板 组策略模板(GPT)是域控制器上SYSVOL文件夹中的一个目录层次结构。该文件夹是一个共享文件夹,其中存储着域中公共文件的服务器拷贝,这些拷贝来自域中所有的域控制器。当创建一个组策略对象时,服务器会创建一个相应的组策略模板文件夹层次结构。组策略模板包含了所有的组策略设置和信息,包括管理模板、安全设置、软件安装、脚本和文件夹重
Win10操作系统配置软件限制策略
龙源期刊网 https://www.360docs.net/doc/8417504725.html, Win10操作系统配置软件限制策略 作者:张志浩 来源:《科学与财富》2017年第28期 摘要:随着网络、Internet 以及电子邮件在商务计算方面的使用日益增多,用户发现他们经常会遇到新软件。用户必须不断作出是否该运行未知软件的决定。病毒和特洛伊木马经常故意地伪装自己以骗得用户的运行。要用户做出安全的选择是非常困难的。所以我们可以启用软件限制策略来帮助用户选择。 一、.软件限制策略概述 在系统安全方面,有人曾说,如果把 HIPS (Host-based Intrusion Prevention System ,基于主机的入侵防御系统)用的很好,就可以告别杀毒软件了。其实,在Windows中,如果能将组策略中的“软件限制策略”使用的很好,再结合NTFS权限和注册表权限限制,依然可以很淡定的告别杀毒软件。另一方面,由于组策略是原生于系统之上的,可能在底层与操作系统无缝结合,于是不会产生各种兼容性问题或者产生 CPU 占用过高、内存消耗太大等问题。从这一点来看,组策略中的“软件限制策略”才算是最好的系统管理利器。 二.部署软件限制策略 软件限制策略的功能描述:软件限制策略,目的是通过标识或指定应用程序,实现控制应用程序运行的功能,使得计算机环境免受不可信任的代码的侵扰。通过制定散列规则、证书规则、路径规则和网络区域规则,则可使得程序可以在策略中得到标识,其中,路径规则在配置和应用中显得更加灵活。将软件限制策略应用于下列用户:除本地管理员以外的所有用户。 启用限制策略在默认情况下,组策略中的“软件限制策略”是处在关闭状态的。通过以下步骤我们来启用它: 1. 打开组策略编辑器:gpedit.msc 2.将树目录定位至:计算机配置 -> Windows 设置 -> 安全设置 -> 软件限制策略 3.在“软件限制策略”上点击右键,点选“创建软件限制策略”创建成功之后,组策略编辑窗口中会显示相关配置条目。 三.配置软件限制策略 使用软件限制策略,通过标识并指定允许哪些应用程序运行,可以保护您的计算机环境免受不可信任的代码的侵扰。通过哈希规则、证书规则、路径规则和Internet区域规则,应用程序可以在策略中得到标识。默认情况下,软件可以运行在两个级别上:“不受限制的”与“不允
Windows7使用组策略禁用移动存储设备
Windows7通过组策略禁止使用移动存储设备 现在移动存储设备的使用越来越广泛,但随之而引发的是泄密和感染病毒等问题。虽然可以通过设置BIOS或封死计算机上的USB接口的“硬”方法防范风险发生,不过同时也意味着计算机将无法使用其他USB接口的设备,例如最常见的键盘的鼠标。因此怎样使用一些更加“温和”的方法限制某个特定或者某类硬件的安装成了一个很多人关心的问题。 在Windows 7中使用组策略就可以完全解决这一问题。但在继续阅读下文之前,请首先确认你的Windows 7版本。带有组策略功能的Windows 7版本包括Windows 7专业版、Windows 7企业版和Windows 7旗舰版。 如果确定所用的Windows 7版本具有组策略功能,则可以按照以下步骤进行操作。 (1)单击“开始”按钮,在搜索框中输入“gpedit.msc”并按回车键,打开“本 地组策略编辑器”窗口。 (2)在窗口左侧的树形图中展开到“计算机配置—管理模板—系统—设备安 装—设备安装限制”项,如图1所示。 图1 (3)双击右侧的相应策略,就可以针对实际情况对硬件设备的安装做出限制。 这里一共有10条可用的策略,含义分别如下。 允许管理员忽略设备安装限制策略:这条策略用于决定是否允许管理员账户不受设备安装限制策略的影响。如果启用这条策略,那么不管其他 策略如何设置,都只能影响非管理员账户,而不能影响管理员账户。如 果禁用这条策略,或者保持未被配置的默认状态,那么管理员账户也将 受到其余几条策略的限制。
?允许使用与下列设备安装程序类相匹配的驱动程序安装设备:这条策略 用于设定允许安装的设备类型。简单来说,这条策略等于一个“白名单”,配合其他策略,就可以让Windows 7只安装设备类型在这条策略中批准过的设备,其他未指定的设备都拒绝安装。 ?阻止使用与下列设备安装程序类相匹配的驱动程序安装设备:这条策略 用于设定禁止安装的设备类型。简单来说,这条策略等于一个“黑名单”,所有被添加到这条策略中的设备类型都将被Windows 7拒绝安装。 ?当策略设置禁止安装时显示自定义信息:这条策略用于决定当有设备被 禁止安装后,在Windows 7的系统提示区显示什么样的气球图标消息。 ?当策略设置禁止设备安装时显示自定义信息标题:这条策略用于决定当 有设备被禁止安装后,在Windows 7的系统提示区显示的气球图标使用什么样的标题。 ?允许安装与下列设备ID相匹配的设备:这条策略用于决定允许Windows 7安装具有哪些硬件ID的设备。 ?阻止安装与下列任何设备ID相匹配的设备:这条策略用于决定禁止 Windows 7安装具有哪些硬件ID的设备。 ?在策略更改需要重新启动才能生效时,等待强制重新启动的时间(以秒 为单位):这条策略用于设置强制重新启动计算机前的倒计时,以便让策略生效。 ?禁止安装可移动设备:这条策略用于决定是否禁止安装任何可移动设备, 而且这条策略的优先级是最高的,只要启用了这条策略,那么不管其他允许策略是如何设置的,可移动设备都将无法被安装。
组策略禁用盘符
Windows 中有了组策略对象后,就有了下面这个让您隐藏指定的驱动器的选项:隐藏“我的电脑”中的这些指定的驱动器。但是,可能只需要隐藏某个驱动器而保留对其他驱动器的访问。 有七个默认的选项可用来限制对驱动器的访问。您可以通过修改默认域策略或任一个自定义组策略对象(GPO) 的System.adm 文件来添加其他限制。七个默认选项是: 仅限制驱动器A、B、C 和D 仅限制驱动器A、B 和C 仅限制驱动器A 和 B 限制所有驱动器 仅限制驱动器C 只限制D 驱动器 不限制驱动器 Microsoft 建议您不要更改System.adm 文件,而要创建一个新的.adm 文件并将此.adm 文件导入到GPO 中。原因是:如果您要对system.adm 文件应用更改,则当Microsoft 在Service Pack 中发布新版本的system.adm 文件时,这些更改可能会被覆盖。 “Implementing Registry-Based Group Policy”(实现基于注册表的组策略)这一白皮书介绍了如何编写自定义.ADM 文件。要查看此白皮书,请访问下面的Microsoft 网站:https://www.360docs.net/doc/8417504725.html,/download/1/7/2/1725520f-1228-4dff-9c5d-594042475844/rbppape r.doc (https://www.360docs.net/doc/8417504725.html,/download/1/7/2/1725520f-1228-4dff-9c5d-594042475844/rbppap er.doc) 默认域策略的System.adm 文件的默认位置是:%SystemRoot%\Sysvol\Sysvol\YourDomainName\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Adm\System.adm 这些文件夹的内容会通过文件复制服务(FRS) 复制到整个域中。注意,Adm 文件夹及其内容直到默认域策略首次加载时才填充。 要为七个默认值之一更改此策略,请执行下面的操作步骤: 启动Microsoft 管理控制台。在“控制台”菜单上,单击添加/删除管理单元。 为默认域策略添加组策略管理单元。为此,在屏幕提示您选择组策略对象(GPO) 时,请单击浏览。默认GPO 是本地计算机。您也可以为其他的域分区(具体来说就是组织单位)添加GPO。 打开下面的区域:用户配置、管理模板、Windows 组件和Windows 资源管理器。 单击“隐藏‘我的电脑’中的这些指定的驱动器”。 单击以选中“隐藏‘我的电脑’中的这些指定的驱动器”复选框。 在下拉框中,单击相应的选项。 这些设置会从“我的电脑”、“Windows 资源管理器”和“网上邻居”中删除代表所选硬盘的图标。另外,这些驱动器不会出现在任何程序的打开对话框中。 此策略用于保护某些驱动器(包括软盘驱动器),防止它们被滥用。它也可以用于指引用户
使用组策略限制软件运行示例
组策略之软件限制策略——完全教程与规则示例 导读 注意:如果你没有耐心或兴趣看完所有内容而想直接使用规则的话,请至少认真看一次规则的说明,谢谢实际上,本教程主要为以下内容: 理论部分: 1.软件限制策略的路径规则的优先级问题 2.在路径规则中如何使用通配符 3.规则的权限继承问题 4.软件限制策略如何实现3D部署(配合访问控制,如NTFS权限),软件限制策略的精髓在于权限,部署策略同时,往往也需要学会设置权限 规则部分: 5.如何用软件限制策略防毒(也就是如何写规则) 6.规则的示例与下载 其中,1、2、3点是基础,很多人写出无效或者错误的规则出来都是因为对这些内容没有搞清楚;第4点可能有 点难,但如果想让策略有更好的防护效果并且不影响平时正常使用的话,这点很重要。 如果使用规则后发现有的软件工作不正常,请参考这部分内容,注意调整NTFS权限 理论部分 软件限制策略包括证书规则、散列规则、Internet 区域规则和路径规则。我们主要用到的是散列规则和路径规则,其中灵活性最好的就是路径规则了,所以一般我们谈到的策略规则,若没有特别说明,则直接指路径规则。 或者有人问:为什么不用散列规则?散列规则可以防病毒替换白名单中的程序,安全性不是更好么? 一是因为散列规则不能通用,二是即使用了也意义不大——防替换应该要利用好NTFS权限,而不是散列规则,要是真让病毒替换了系统程序,那么再谈规则已经晚了
一.环境变量、通配符和优先级 关于环境变量(假定系统盘为C盘) %USERPROFILE% 表示C:\Documents and Settings\当前用户名 %HOMEPATH% 表示C:\Documents and Settings\当前用户名 %ALLUSERSPROFILE% 表示C:\Documents and Settings\All Users %ComSpec% 表示C:\WINDOWS\System32\cmd.exe %APPDATA% 表示C:\Documents and Settings\当前用户名\Application Data %ALLAPPDATA% 表示C:\Documents and Settings\All Users\Application Data %SYSTEMDRIVE% 表示C: %HOMEDRIVE% 表示C: %SYSTEMROOT% 表示C:\WINDOWS %WINDIR% 表示C:\WINDOWS %TEMP% 和%TMP% 表示C:\Documents and Settings\当前用户名\Local Settings\Temp %ProgramFiles% 表示C:\Program Files %CommonProgramFiles% 表示C:\Program Files\Common Files 关于通配符: Windows里面默认
组策略命令(全)
组策略命令大全(全) 如何打开组策略编辑器? 答:运行里输入gpedit.msc 系统里提示没有打开组策略这条命令? 答:1:看是不是注册表中锁住了组策略“HKEY_CURRENT_USER\Software\Microsoft\Windows \CurrentVersion\Policies\Explorer”,把“RestrictRun”的键值改为0即可。 2:开始--运行--MMC--文件--添加删除管理单元--添加--组策略--添加,后面的你应该会了。看你要开哪个策略,就添加哪个策略。 一、桌面项目设置 1、隐藏不必要的桌面图标 2、禁止对桌面的改动 3、启用或禁止活动桌面 4、给“开始”菜单减肥 5、保护好“任务栏”和“开始”菜单的设置 二、隐藏或禁止控制面板项目 1. 禁止访问“控制面板” 2、隐藏或禁止“添加/删除程序”项 3、隐藏或禁止“显示”项 三、系统项目设置 1、登录时不显示欢迎屏幕界面 2、禁用注册表编辑器 3、关闭系统自动播放功能 4、关闭Windows自动更新 5、删除任务管理器 四、隐藏或删除Windows XP资源管理器中的项目 1、删除“文件夹选项” 2、隐藏“管理”菜单项 五、IE浏览器项目设置 1、限制IE浏览器的保存功能 2、给工具栏减肥 3、在IE工具栏添加快捷方式 4、让IE插件不再骚扰你 5、保护好你的个人隐私 6、禁止修改IE浏览器的主页 7、禁用导入和导出收藏夹 六、系统安全/共享/权限设置 1、密码策略 2、用户权利指派 3、文件和文件夹设置审核
4、Windows 98访问Windows XP共享目录被拒绝的问题解决 5、阻止访问命令提示符 6、阻止访问注册表编辑工具 一、桌面项目设置 在“组策略”的左窗口依次展开“用户配置”→“管理模板”→“桌面”节点,便能看到有关桌面的所有设置。此节点主要作用在于管理用户使用桌面的权利和隐藏桌面图标。1、隐藏不必要的桌面图标 桌面上的一些快捷方式我们可以轻而易举地删除,但要删除“我的电脑”、“回收站”、“网上邻居”等默认图标,就需要依靠“组策略”了。例如要删除“我的文档”,只需在“删除桌面上的‘我的文档’图标”一项中设置即可。若要隐藏桌面上的“网上邻居”和“Internet Explorer”图标,只要在右侧窗格中将“隐藏桌面上‘网上邻居’图标”和“ 隐藏桌面上的Internet Explorer图标”两个策略选项启用即可;如果隐藏桌面上的所有图标,只要将“隐藏和禁用桌面上的所有项目”启用即可;当启用了“删除桌面上的‘我的文档’图标”和“删除桌面上的‘我的电脑’图标”两个选项以后,“我的电脑”和“我的文档”图标将从你的电脑桌面上消失了;如果在桌面上你不再喜欢“回收站”这个图标,那么也可以把它给删除,具体方法是将“从桌面删除回收站”策略项启用。 2、禁止对桌面的改动 利用组策略可达到禁止别人改动桌面某些设置的目的。“禁止用户更改‘我的文档’路径”项可防止用户更改“我的文档”文件夹的路径。“禁止添加、拖、放和关闭任务栏的工具栏”项可阻止用户从桌面上添加或删除任务栏。双击启用“退出时不保存设置”后,用户将不能保存对桌面的更改。最后,双击启用“隐藏和禁用桌面上的所有项目”设置项,将从桌面上删除图标、快捷方式以及其他默认的和用户定义的所有项目,连桌面右键菜单都将被禁止。 3、启用或禁止活动桌面 利用“Active Desktop”项,可根据自己的需要设置活动桌面的各种属性。“启用活动桌面”项可启用活动桌面并防止用户禁用它。“活动桌面墙纸”项可指定在所有用户的桌面上显示的桌面墙纸。而启用“不允许更改”项便可防止用户更改活动桌面配置。 4、给“开始”菜单减肥 Windows XP的“开始”菜单的菜单项很多,可通过组策略将不需要的删除掉。提供了删除“开始”菜单中的公用程序组、“我的文档”图标、“文档”菜单、“网络连接”、“收 藏夹”菜单、“搜索”菜单、“帮助”命令、“运行”菜单、“图片收藏”图标、“我的 音乐”图标和“网上邻居”图标等策略。只要将不需要的菜单项所对应的策略启用即可。以删除开始菜单中的“我的文档”图标为例看看其具体操作方法:在右边窗口中双击“从‘开始’菜单上删除‘我的文档’图标”项,在弹出对话框的“设置”标签中点选“已启用”,然后单击“确定”,这样在“开始”菜单中“我的文档”图标将会隐藏。 5、保护好“任务栏”和“开始”菜单的设置 倘若不想随意让他人更改“任务栏”和“开始”菜单的设置,只要将右侧窗格中的“阻止更改‘任务栏和「开始」菜单’设置”和“阻止访问任务栏的上下文菜单”两个策略项启用即可。这样,当用鼠标右键单击任务栏并单击“属性”时,系统会出现一个错误消息,提示信息是某个设置禁止了这个操作。 二、隐藏或禁止控制面板项目
通过组策略可以实现禁止安装软件
通过组策略可以实现禁止安装软件,当然通过注册表也是可以实现的,现发2个注册表文件来实现软件的禁止安装与否,有兴趣的可以下载,不需要钱的,放心好了。不想下载的话,也可以自己做一个REG文件。方法如下,新建一个TXT文档,把这些:Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] "EnableAdminTSRemote"=dword:00000001 "DisableUserInstalls"=dword:00000001 复制到文档里头,最后保存。保存后把TXT文档的扩展名改成REG文件即可。这个是组策略禁止安装软件的REG文件。 还有一个REG文件---组策略允许安装软件也是同样的方法。把这些Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] "EnableAdminTSRemote"=dword:00000001 "DisableUserInstalls"=dword:00000000 编辑成REG文件。自己去搞吧。。 来源:自由天空技术论坛,原文链接:https://www.360docs.net/doc/8417504725.html,/thread-14291-1-1.html 使用方法:将下述代码保存为:*.bat ,*代表任意名称。仅适用于xp sp2 复制内容到剪贴板程序代码 @echo off Title 一键禁止安装软件 cls color 0B echo Windows Registry Editor Version 5.00 >Ban.reg echo. >>Ban.reg echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >> Ban.reg echo "EnableAdminTSRemote"=dword:00000001 >>Ban.reg echo "DisableUserInstalls"=dword:00000002 >>Ban.reg echo "DisableUserInstalls_Intelset_undo"=dword:062ce6f0 >>Ban.reg regedit /s Ban.reg del Ban.reg 复制内容到剪贴板程序代码 @echo off Title 一键解除禁止安装软件 cls color 0B echo Windows Registry Editor Version 5.00 >LiftBan.reg echo. >>LiftBan.reg
组策略禁止客户端软件安装及使用
用组策略彻底禁止客户端软件安装及使用 我们企业网络中,经常会出现有用户使用未授权软件的情况。比如,有些可以上网的用户使用QQ等聊天工具;而这往往是BOSS们所不想看到的东西。所以限制用户使用非授权软件的重任就落到我们IT部头上了。其实,限制用户安装和使用未授权软件,对于整个公司的网络安全也是有好处的,做了限制以后,有些病毒程序也不能运行了。下面我们就来看看怎样通过组策略来限制用户安装和使用软件: 一、限制用户使用未授权软件 方法一: 1. 在需要做限制的OU上右击,点“属性”,进入属性设置页面,新建一个策略,然后点编辑,如下图: 2. 打开“组策略编辑器”,选择“用户配置”->“管理模板”->“系统”,然后双击右面板上的“不要运行指定的Windows应用程序”,如下图:
3. 在“不要运行指定的Windows应用程序属性”对话框中,选择“已启用”,然后点击“显示”,如下图:
4. 在“显示内容”对话框中,添加要限制的程序,比如,如果我们要限制QQ,那么就添加QQ.exe,如下图: 5. 点击确定,确定…,完成组策略的设置。然后到客户端做测试,双击QQ.exe,如下图所示,已经被限制了。
不过,由于这种方式是根据程序名的。如果把程序名改一下就会不起作用了,比如我们把QQ.exe改为TT.exe,再登录,如下图,又可以了。看来我们的工作还没有完成,还好Microsoft还给我们提供了其它的方式,接下来我们就用哈希规则来做限制。 6. 打开“组策略编辑器”,选择“用户配置”->“Windows设置”->“安全设置”->“软件限制策略”,右击“软件限制策略”,选择“创建软件限制策略”,如下图:
组策略彻底禁止USB存储设备
用组策略彻底禁止USB存储设备、光驱、软驱、ZIP软驱 一、禁止USB存储设备、光驱、软驱、ZIP软驱 第一步:我们我们在域控制器上点击开始→运行输入“GPMC.MSC”→点击确定启动组策略管理。 第二步:打开组策略管理,右键点击https://www.360docs.net/doc/8417504725.html,→点击“创建并链接(GPO)”→输入组策略名称“禁止USB”。因为我们这次的策略是希望企业内所有计算机都应用,故我们在域级别上创建一条GPO组策略。 第三步:右键点击“禁止USB”策略→点击“编辑”→右键点击“计算机配置”下的“管理模板”中的“添加/删除模板”。 第四步:在弹出的“添加/删除模板”对话框中点击“添加”按钮在弹出“策略模板”对话框中来添加“usb.adm”组策略模板。(这里我们可以事先把“usb.adm”组策略模板拷贝到c:\windows\inf目录下也可以通过路径选择“usb.adm”组策略模板所存放的位置。)双击“usb.adm”组策略模板添加“usb.adm”组策略模板。 添加后,回到“添加/删除模板”对话框,我们此时清楚看到“添加/删除模板”对话框中多了一个名称为“USB”的组策略模板。 第五步:我们点击“添加/删除模板”对话框中的“关闭”按钮,回到“组策略编辑器”对话框中。此时我们就可以看到“计算机配置”下的“管理模板”中多了一个 “Custom Policy Settings”。 第六步:右键点击“管理模板”→“查看”→“筛选”。 在弹出的“筛选”对话框中去掉“只显示能完全管理的策略设置”前面的勾 再点击“确定”按钮返回“组策略编辑器”画面。 第七步:点击“计算机配置”→“管理模板”→点击“Custom Policy Settings”→点击“Restrict Drives” 第八步:例如我们要禁止USB接口(大家可以放心,虽然我们禁止USB接口但是不影响我们使用USB接口的打印机、键鼠累设备),右键点击“Disable USB”→点击“属性”,弹出“Disable USB”属性对话框。 我们首先点击“已启用”按钮→在“Disable USB Ports”中选择“Enabled”来启用该策略。 注意:这里我要提醒的是,很多朋友可能在这里就把该策略点击“已启用”按钮后,然后用“GPupdate /force”来强行在客户端和DC上刷新策略,最后发现为什么策略已经启用了,就是不生效呢。这里我要提醒大家就是一定要点击“已启用”后还要在下面选项中选为
Windows组策略之软件限制策略
Windows组策略之软件限制策略 2009-12-01 15:11 对于Windows的组策略,也许大家使用的更多的只是管理模板里的各项功能。对于软件限制策略相信用过的筒子们不是很多:)。软件限制策略如果用的好的话,相信可以和某些HIPS类软件相类比了。如果再结合NTFS权限和注册表权限,完全可以实现系统的全方位的安全配置,同时由于这是系统内置的功能,与系统无缝结合,不会占用额外的CPU及内存资源,更不会有不兼容的现象,由于其位于系统的最底层,其拦截能力也是其它软件所无法比拟的,不足之处则是其设置不够灵活和智能,不会询问用户。下面我们就来全面的了解一下软件限制策略。 本文将以以下几方面为重点来进行讲解: 1. 概述 2. 附加规则和安全级别 3. 软件限制策略的优先权 4. 规则的权限分配及继承 5. 如何编写规则 6. 示例规则 1、概述 使用软件限制策略,通过标识并指定允许哪些应用程序运行,可以保护您的计算机环境免受不可信任的代码的侵扰。通过散列规则、证书规则、路径规则和Int ernet 区域规则,就用程序可以在策略中得到标识。默认情况下,软件可以运行在两个级别上:“不受限制的”与“不允许的”。在本文中我们主要用到的是路径规则和散列规则,而路径规则呢则是这些规则中使用最为灵活的,所以后文中如果没有特别说明,所有规则指的都是路径规则。 2、附加规则和安全级别 ?附加规则 在使用软件限制策略时,使用以下规则来对软件进行标识:?证书规则 软件限制策略可以通过其签名证书来标识文件。证书规则不能应用到带有 .exe 或 .dll 扩展名的文件。它们可以应用到脚本和Windows 安装程 序包。可以创建标识软件的证书,然后根据安全级别的设置,决定是否允许软件运行。 ?路径规则 路径规则通过程序的文件路径对其进行标识。由于此规则按路径指定,所 以程序发生移动后路径规则将失效。路径规则中可以使用诸如%progra mfiles% 或%systemroot% 之类环境变量。路径规则也支持通配符,所支持的通配符为* 和?。 ?散列规则 散列是唯一标识程序或文件的一系列定长字节。散列按散列算法算出来。
组策略用户配置管理模板与注册表对应键值
组策略用户配置管理模板与注册表对应键值 组策略用户配置管理模板Windows组件《Windows Update》 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\W indowsUpdate] "DisableWindowsUpdateAccess"=dword:00000001(删除使用所有Windows Update 功能的访问)(至少WINXP) 《组策略用户配置管理模板任务栏和开始菜单》 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\E xplorer] "NoSimpleStartMenu"=dword:00000001(强制典型菜单)(至少WINXP)"NoCommonGroups"=dword:00000001(从开始->程序菜单删除公共程序组)(至少WIN2000) "NoSMMyDocs"=dword:00000001(从开始->文档菜单删除我的文档图标)(至少WIN2000) "NoNetworkConnections"=dword:00000001(从开始->设置菜单删除网络连接)(至少WIN2000) "NoSMMyPictures"=dword:00000001(从开始菜单中删除"图片收藏"图标)(至少WINXP) "ForceStartMenuLogOff"=dword:00000001(强制开始菜单显示注销)(至少 WIN2000) "Intellimenus"=dword:00000001(禁止个性化菜单)(至少WIN2000)"NoInstrumentation"=dword:00000001(关闭用户跟踪)(至少WIN2000) [注]这个设置防止系统跟踪用户使用的程序、用户导航的路径和用户打开的文档。系统用这个信息来自定义Windows功能,如个性化菜单。"MemCheckBoxInRunDlg"=dword:00000001(将"在单独的内存空间运行"复选框添加到"运行"对话框)(至少WIN2000) [注]允许用户在专用的(不是共享的)虚拟DOS机器(VDM)进程中运行十六位程序。 "NoTaskGrouping"=dword:00000001(阻止在任务栏上对项目分组)(至少WINXP)"LockTaskbar"=dword:00000001(锁定任务栏)(至少WINXP)"NoTrayItemsDisplay"=dword:00000001(隐藏系统托盘图标)(至少WINXP)"NoToolbarsOnTaskbar"=dword:00000001(不在任务栏显示任何自定义工具栏)(至少WINXP) "GreyMSIAds""=dword:00000001(灰色显示开始菜单中安装不完全的程序的快捷方式)(至少WIN2000) 《组策略用户配置管理模板任务栏和开始菜单(WINXP新样式开始菜单)》