提升Windows系统安全性的组策略设置
Windows系统中的系统安全设置
Windows系统中的系统安全设置Windows操作系统是目前世界上使用最广泛的操作系统之一,它提供了许多强大的功能和便利的界面,但同时也面临着各种安全风险。
为了保护系统的安全性,用户需要正确配置Windows系统的安全设置。
本文将探讨Windows系统中的几个重要的系统安全设置,并提供相关的配置建议。
一、用户账户管理在Windows系统中,用户账户起到了多个方面的作用,包括系统访问权限管理、应用程序授权和文件保护等。
因此,合理管理用户账户是确保系统安全的重要一环。
1. 创建强密码:使用强密码可以防止密码被破解或猜测。
强密码包括至少8个字符,包括大写和小写字母、数字和特殊字符。
2. 限制管理员权限:尽量避免使用管理员账户进行日常操作,可以创建一个普通用户账户,并将其设置为默认账户。
只在需要进行系统更改或安装软件时使用管理员账户。
3. 禁止共享账户:避免多个用户共享同一个账户,每个用户应有独立的账户,以方便追踪用户的活动并限制权限。
二、防火墙设置Windows系统内置了强大的防火墙功能,可以监视和控制进出系统的网络连接。
用户可以根据自己的需求配置防火墙。
1. 打开防火墙:确保防火墙处于打开状态,以阻止未经授权的网络连接。
2. 配置入站规则:根据具体需求,设置允许或阻止某些应用程序或端口的网络连接。
3. 禁用不需要的出站规则:关闭不必要的出站连接,以减少系统面临的网络攻击风险。
三、自动更新与补丁管理Windows系统定期发布安全补丁和更新,以修复系统漏洞和提升系统安全性。
及时安装这些补丁对于系统安全至关重要。
1. 开启自动更新:确保系统自动下载和安装Windows更新。
这样可以确保及时获取最新的安全补丁和改进。
2. 定期检查更新:即使开启了自动更新,也应该定期检查系统是否缺少最新的安全补丁,并手动安装。
四、杀毒软件和安全工具为了进一步提升系统的安全性,用户可以安装杀毒软件和其他安全工具。
以下是一些建议:1. 杀毒软件:安装一个可信赖的杀毒软件,并及时更新病毒库。
提升Windows系统安全性的组策略设置
组策略在Windows系统中的作用
01
02
03
集中化管理
组策略允许管理员从中央 位置管理网络上的计算机 ,减少了单独配置每台计 算机的需求。
自定义设置
通过组策略,可以定制软 件安装、系统配置、安全 设置等,以满足特定组织 的需求。
安全增强
组策略可以用于实施安全 策略,如软件限制、注册 表限制、安全桌面等,从 而提高系统的安全性。
访问控制列表(ACL)
限制不必要的访问
01
通过ACL,可以限制特定用户或组对关键文件、文件夹或注册
表的访问。
配置文件和注册表权限
02
通过精细控制文件和注册表的权限,可以防止未授权修改,提
高系统稳定性。
审核对象访问
03
启用ACL的审核功能,可以追踪对特定资源的使用情况,及时
发现异常行为。
04
软件限制策略
密码策略
总结词
密码策略用于规范和强制用户设置符合安全要求的密码,提 高密码的安全性。
详细描述
通过设置密码策略,可以要求用户定期更换密码,并限制密 码的复杂性和长度。同时,可以启用密码历史记录功能,防 止用户重复使用相同的密码。
账户过期策略
总结词
账户过期策略用于自动注销过期的账 户,确保账户的安全性。
强制安全启动
启用强制安全启动后,计算机将始终 使用安全启动模式,即使在用户禁用 该功能的情况下也是如此。
安全选项配置
账户锁定策略
通过设置账户锁定策略,可以防止未经授权的用户多次尝试登录到计算机。
密码策略
设置密码策略可以要求用户定期更改密码,并限制密码的复杂性和长度。
防火墙配置
入站规则
配置入站规则可以允许或拒绝来自外部 网络的连接请求,从而提高计算机的安 全性。
如何设置Windows系统的防火墙和安全策略
如何设置Windows系统的防火墙和安全策略Windows操作系统是目前最为广泛使用的操作系统之一,为了保护计算机的安全,设置防火墙和采取适当的安全策略是重要的。
本文将介绍如何设置Windows系统的防火墙和安全策略,以保护计算机免受恶意攻击和未经授权的访问。
一、设置Windows防火墙Windows系统自带了防火墙功能,通过设置防火墙,可以限制计算机与外部网络的连接,防止恶意软件和攻击的入侵。
1. 打开控制面板首先,点击开始菜单,找到控制面板,并打开。
2. 进入Windows防火墙设置在控制面板中,找到Windows防火墙选项,并点击进入。
3. 配置防火墙规则在防火墙设置页面,可以看到当前的防火墙状态。
点击“启用或关闭Windows防火墙”链接,进入防火墙配置页面。
a. 公用网络位置设置根据网络环境的不同,可以选择公用网络、专用网络或域网络位置。
公用网络是指无线网络、公共Wi-Fi等,专用网络是指家庭或办公室网络,域网络是指连接到公司网络的计算机。
b. 配置防火墙规则点击“允许应用或功能通过Windows防火墙”链接,进入防火墙规则配置页面。
在这里,可以允许或禁止特定应用程序或端口通过防火墙。
建议只允许必要的应用程序进行网络连接,以减少安全风险。
4. 保存和应用设置完成防火墙配置后,点击“确定”按钮保存设置,并确保防火墙处于启用状态。
这样就成功设置了Windows防火墙。
二、配置Windows安全策略除了设置防火墙外,采取其他的安全策略也是保护计算机安全的重要措施。
下面介绍几个关键的安全策略配置。
1. 更新操作系统和软件定期更新操作系统和安装的软件是防止安全漏洞和恶意软件攻击的关键。
确保开启Windows自动更新功能,使系统能及时获取最新的安全补丁和修复。
2. 使用可靠的杀软和防病毒软件安装可靠的杀软和防病毒软件能够检测和清除恶意软件。
及时更新病毒库,定期进行全盘扫描,并确保软件实时保护功能开启。
windows操作系统的安全配置方案
Windows操作系统的安全配置方案1. 强化用户账户安全为了提高Windows操作系统的安全性,我们可以从以下几个方面强化用户账户的安全配置:1.1 使用强密码和定期更改密码为所有用户设置强密码策略,要求密码长度至少为8个字符,并包含字母、数字和特殊字符。
此外,建议定期要求用户更改密码,以防止密码泄漏。
1.2 限制用户权限按照用户的实际需求,设置最低权限原则。
避免给予用户过高的权限,以防止恶意软件或攻击者利用高权限账户进行系统入侵或文件损坏。
1.3 启用多因素认证在重要的系统和应用程序中启用多因素认证,这样即使密码被盗也难以越过多重认证的保护。
多因素认证可以使用硬件令牌、短信验证码、指纹等多种方式。
2. 安全更新和补丁管理应及时更新最新的Windows安全更新和补丁,以修复已知的漏洞和弥补系统中的安全缺陷。
2.1 自动更新为了不错过任何重要的安全更新,应设置自动更新功能,确保系统自动下载并安装最新的安全更新。
2.2 定期手动更新除了自动更新外,还应定期进行手动更新,特别是在关键系统或网络环境中,定期检查并更新Windows操作系统的安全补丁。
3. 防火墙和网络安全策略使用Windows系统自带的防火墙或第三方防火墙软件,配置适当的网络安全策略。
3.1 启用Windows防火墙Windows操作系统自带防火墙,可以通过控制面板或组策略进行配置。
启用防火墙可以限制外部访问和入侵。
3.2 过滤不必要的端口和服务配置防火墙策略,过滤掉不必要的端口和服务,只开放必要的端口和服务,以减少攻击者的攻击面。
3.3 使用虚拟专用网络(VPN)对于需要远程访问公司网络的用户,要贯彻远程工作安全准则,并使用VPN加密隧道来确保数据传输的安全性。
4. 安全策略和日志管理配置合适的安全策略和日志管理,以便及时发现和解决潜在的安全问题。
4.1 安全策略配置通过使用组策略编辑器或其他相关工具,配置合适的安全策略,包括账户策略、密码策略、访问控制策略等。
用组策略强化你的电脑安全性
组策略是系统策略的高级扩展,是管理员为用户和计算机控制程序、网络资源、系统、Windows组件的主要工具,可对系统的各种特殊属性进行设置。
简单地解释就是:组策略是调整注册表的一个所见即所得编辑器。
系统高手们往往不仅精通注册表,还经常通过组策略完成一些系统的高级调整与修改。
下面就介绍三招,如何利用组策略提升系统安全性。
第一招:清理IE上网痕迹在Windows XP系统中,关于组策略“Internet Explorer维护”的技巧有很多,我们可以进行个性化设置。
其中,可以通过添加脚本的方法,实现在退出IE时对上网痕迹进行自动清理。
具体步骤是找一台Windows 2000操作系统,将Deltree.exe文件复制到Windows XP系统的system32目录下。
用记事本编写一个如下内容的文本文件:@echo offcd c:\documents adsettings\administrator\localsettings\temporary internet filesc:\winnt\system32\deltree .\*.* /y将文本保存为.bat批处理文件。
在“开始”“运行”中输入“gpedit.msc”打开组策略对话框,依次进入“用户配置”“Windows设置”“脚本(登录/注销)”,双击右边窗口中的“注销”,在“添加”项目中导入这个脚本文件即可。
常见的端口号对应的协议及用途21:FTP(文件传输)23:TELNET(远程登录)25:SMTP(发送E-mail)80:HTTP(WWW服务)110:POP3(接收e-mail)119:NNTP(新闻服务)常见木马的入侵端口号灰鸽子:3389黑洞:2000冰河:7626广外女生:6267第二招:禁用指定软件程序在组策略中,可以采取禁用注册表或光驱、隐藏磁盘分区等一系列设置。
这些功能在Windows 2000中就能实现。
在Windows XP系统中还增加了对软件的限制策略。
如何设置Windows系统中的防火墙和安全策略
如何设置Windows系统中的防火墙和安全策略在Windows系统中,防火墙和安全策略的设置是确保计算机安全和网络安全的重要措施。
正确设置防火墙和安全策略可以阻止恶意软件的入侵,保护个人隐私和敏感数据的安全。
下面将介绍如何设置Windows系统中的防火墙和安全策略。
一、配置防火墙设置Windows系统自带了一个防火墙程序,可以帮助过滤传入和传出的网络流量,保护计算机免受网络攻击。
下面是配置防火墙的步骤:1. 打开控制面板:点击Windows开始菜单,选择“控制面板”。
2. 进入系统和安全设置:在控制面板中,找到并点击“系统和安全”。
3. 打开Windows防火墙:在“系统和安全”页面中,点击“Windows Defender防火墙”或“Windows防火墙”。
4. 配置入站规则:在Windows防火墙窗口中,选择“高级设置”。
5. 添加入站规则:在高级安全设置窗口中,点击“入站规则”选项,然后选择“新建规则”。
6. 设置规则类型:根据实际需要,选择“程序”、“端口”、“预定义”等规则类型,并按照向导提示进行设置。
7. 配置规则动作:根据需要,选择允许或阻止该规则的动作,并根据规则类型进行进一步的设置。
8. 配置规则范围:根据需要,指定规则适用的IP地址范围、端口范围等细节。
9. 完成配置:按照向导的提示完成规则的配置。
10. 配置出站规则:重复步骤5-9,将规则类型设置为“出站规则”,按照需要进行配置。
二、设置安全策略除了防火墙外,Windows系统还提供了安全策略设置,可以进一步保护计算机和网络的安全。
下面是设置安全策略的步骤:1. 打开本地安全策略编辑器:点击Windows开始菜单,输入“secpol.msc”并回车,打开本地安全策略编辑器。
2. 设置密码策略:在本地安全策略编辑器中,展开“帐户策略”>“密码策略”选项。
3. 配置密码复杂度:双击“密码必须符合复杂性要求”策略,并将其设置为“已启用”。
Windows 7 组策略安全使用全攻略
组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。
通过使用组策略可以设置各种软件、计算机和用户策略。
考虑到安全方面的原因,Windows 7已经开发了许多新的和增强的组策略功能和服务,帮助您更好地保护计算机上驻留的数据、功能和服务。
这些功能的配置取决于您的具体要求和使用环境,本文将主要介绍Windows 7组策略的安全使用技巧,介绍如何配置组策略功能和服务来更好地满足您的系统安全、网络安全、数据保护及个性化需求。
一、系统设置安全篇1. 禁止运行指定程序系统启动时一些程序会在后台启动,这些程序通过“系统配置实用程序”(msconfig)的启动项无法阻止,操作起来非常不便,通过组策略则非常方便,这对减少系统资源占用非常有效。
通过启用该策略并添加相应的应用程序,就可以限制用户运行这些应用程序。
具体步骤如下:(1)打开「开始」菜单,在“搜索程序和文件”搜索框中输入“gpedit.msc”并回车,打开组策略对象编辑器。
(2)在左边的窗格依次单击“用户配置→管理模板→系统”,然后在右边的窗格双击“不要运行指定的Windows应用程序”(如图1所示)。
图1 双击“不要运行指定的Windows应用程序”(3)选中“已启用”,单击“显示”按钮(如图2所示),添加要阻止的程序如“Wgatray.exe”即可。
图2 添加要阻止的程序当用户试图运行包含在不允许运行程序列表中的应用程序时,系统会提示警告信息。
把不允许运行的应用程序复制到其他的目录和分区中,仍然是不能运行的。
要恢复指定的受限程序的运行能力,可以将“不要运行指定的Windows应用程序”策略设置为“未配置”或“已禁用”,或者将指定的应用程序从不允许运行列表中删除(这要求删除后列表不会成为空白的)。
这种方式只阻止用户运行从Windows资源管理器中启动的程序,对于由系统过程或其他过程启动的程序并不能禁止其运行。
该方式禁止应用程序的运行,其用户对象的作用范围是所有的用户,不仅仅是受限用户,Administrators组中的账户甚至是内建的administrator帐户都将受到限制,因此给管理员带来了一定的不便。
Windows系统中如何设置用户账户控制和安全策略
Windows系统中如何设置用户账户控制和安全策略在Windows系统中,设置用户账户控制和安全策略是保障计算机和数据安全的重要措施之一。
本文将为您介绍Windows系统中如何设置用户账户控制(User Account Control,简称UAC)和安全策略,以帮助您提高系统的安全性和防范潜在的安全威胁。
一、用户账户控制(User Account Control,UAC)设置用户账户控制是一种安全特性,可以帮助您控制在计算机上执行的操作,以防止未经授权的更改或恶意软件的运行。
以下是如何设置用户账户控制的步骤:1. 打开控制面板:点击Windows开始菜单,搜索并选择“控制面板”。
2. 进入用户账户控制设置:在控制面板中,选择“用户账户”选项。
3. 调整用户账户控制设置:在用户账户界面,点击“更改用户账户控制设置”链接。
4. 设置用户账户控制级别:通过移动滑块,选择合适的用户账户控制级别。
可以根据自己的需求选择以下四个级别:从不通知、只在程序尝试更改计划设置时通知、始终通知,以及始终拒绝。
5. 确认设置:点击“确定”按钮保存设置。
二、安全策略设置除了用户账户控制外,您还可以通过设置安全策略来增强系统的安全性。
下面是设置安全策略的步骤:1. 打开本地策略编辑器:按下Win + R键,打开“运行”对话框,在对话框中输入“secpol.msc”,并点击“确定”。
2. 进入安全策略设置:在本地策略编辑器中,依次展开“安全设置”、“本地策略”和“安全选项”。
3. 调整安全策略:在安全选项中,您可以找到各种不同的安全策略设置,例如“帐户访问审计策略”、“帐户锁定策略”、“密码策略”等。
通过双击相应策略,可以进行相应设置。
4. 配置安全策略选项:在每个安全策略的属性窗口中,您可以根据需要进行配置。
例如,在“密码策略”中,您可以设置密码的复杂性要求、密码过期时间等。
5. 保存设置:完成安全策略设置后,记得点击“确定”或“应用”按钮保存设置。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
升Win d o w s 系统安全性的组策略设置有人将组策略比作深藏在系统中的“大内高手”,笔者觉得这个比喻的非常恰当的。
组策略确实有其他第三方安全软件所无法比拟的优势,这不仅是其与Win dows系统的密切“关系”,更在于它强大的安全功能。
除了可通过其进行系统配置,而且可对系统中几乎所有的软硬件实施管理,全方位地提升系统安全。
到目前为止,似乎没有任何一款第三方软件可提供如果多的配置项。
何况随着Win dows系统的更新换代,组策略也是越来越强大了,比如在Windows 7中就增加了许多Vista没有的安全项。
本文就以当前主流的Vista系统为例,就Windows组策略的安全特性进行一番比较深入的解析。
为了便于说明,笔者依据组策略的安全配置功能将其划分为三部分:系统核心安全配置、应用程序和设备限制、In ternet Explorer(IE)安全。
下面就以此为线索,分别谈谈组策略的安全特性。
1、系统核心安全配置与系统核心安全相关的组策略设置项主要在“计算机配置f Win dows配置—安全配置”节点下。
(1) .账户策略对于组策略的这一部分大家应该非常熟悉,因为在这里可以设置密码和账户的锁定策略。
例如,在这部分组策略中,我们可以设置密码最小长度或者密码需要包含复杂字符。
如果在链接到域(如默认域策略)的组策略对象(GPO冲定义这些策略,域中的所有域控制器(DC)都会处理密码策略,并且组策略对象会控制域用户账户的密码策略。
当在链接到域的组策略对象中定义密码策略时,域中的所有工作站和成员服务器也会进行处理, 并为这些系统中定义的本地账户设置账户策略。
(图1)图1安全设置账户策略大家知道,通过组策略只能定义一个域密码策略,不过,WindowsServer 2008支持一套新的密码策略对象,这些在活动目录(AD)中定义的密码策略对象为单一域提供了更加细化的密码策略控制。
(2) .本地策略“本地策略”下有三个安全策略项,通过配置可以实现Windows系统的各种安全需求。
例如,其中的“审计策略”用于配置服务器的Windows安全事件日志收集哪些事件;“用户权限分配”用于配置哪些用户能通过“远程桌面”访问指定的服务器或工作站;使用“安全选项”配置以确定是否激活指定系统上的“管理员”账户以及重命名“管理员”账户。
“审计策略”相当直接,允许我们控制Windows安全事件日志能收集哪些事件类型,在此指定成功或失败的事件,用于审计从活动目录访问到系统对象访问(如文件和注册表键)的各种事件类型。
根据组策略对象定义审计事件的链接位置,能激活对域控制器或成员服务器和工作站的审计。
例如,如果将包含激活目录服务访问审计的组策略对象链接到“域控制器”组织单元,则域中所有域控制器都将执行该策略,因此,所有对活动目录的访问都会作为访问请求被记录到域控制器的日志中。
(图2)图 2 安全设置本地策略“用户权限分配”是组策略中另一个强大的安全工具,能用于控制谁能在指定系统上做什么事情。
用户权限的例子包括“本地登录”权限,用于控制谁能交互式登录服务器或工作站的控制台; “加载和卸载设备驱动”权限,用于赋予组或用户安装设备驱动的权限。
例如安装打印机和显示驱动通过创建链接到域级别的组策略对象,并为“认证用户”组赋予“拒绝本地登录”权限,能有效防止活动目录域中的所有用户登录自己的工作站。
当然,这个例子不是为了说明如何进行破坏,而是要说明“用户权限分配”是如何强大,并在需要使用时必须小心谨慎。
同其它策略设置一样,我们只需确保设置用户权限的组策略对象只被应用到所希望使用的计算机上就可以了,但要针对正确的用户组赋予或撤销权限。
需要说明的是,“用户权限分配”的权限列表会因Win dows版本的不同而哟变化。
有时候,运行在Winctows Vista 上的组策略对象定义用户权限,该组策略对象被应用到Windows XP系统上时,由于WindowSX P可能并不了解该用户权限,所以将在执行策略时忽略该策略。
(图3)图 3 本地策略有户权限分配“本地策略”的最后一部分是“安全选项”,位于“本地策略安全选项”中,由于这些策略定义了控制与系统安全相关的配置行为,因此与系统安全攸关。
比如,在此我们可以配置WindowsVista的“用户账户控制(UAC)”。
“安全选项”中最有意思的应该是其中出现的安全选项列表。
它是由一个名为sceregvl.inf 的文件进行配置的,该文件位于%windir%\inf 文件夹中。
打开该文件后,可以看到“安全选项”中定义的每一条图 4 增加希望组策略进行控制的设置策略,并且可以编辑这个文件,增加希望组策略进行控制的设置。
(图4)(3). 受限制组的策略“受限制组”策略的目的是提供一种控制机制,控制成员服务器和工作站上的本地组成员。
“受限制组”有两种操作模式:“成员”和“作为成员”。
“成员”模式是最严格的模式,只有列出的用户和组是其中的成员,所有其他组或用户都被移除。
与之相反,“作为成员”模式允许为其他组添加用户和组,也就是说,我们能在任何计算机上创建一条策略,“总是将桌面管理员组作为本地管理员组的成员”,并加以执行,在这种情况下,“桌面管理员”会被添加到本地“管理员”组,但是不会影响其他的组成员。
(4) .系统服务策略“系统服务”策略允许我们控制在指定计算机上启动哪些Win dows服务,还可以控制服务的权限。
例如,能够使用这些策略只允许服务器管理员停止和启动所有作为打印服务器的Windows服务器上的“打印池”服务,并能使用“系统服务”策略赋予指定用户组执行某些任务的权限,而不必需要成为系统的管理员才能进行访问。
此外,位于“计算机配置一选项一服务”中的“组策略选项”也提供了控制系统服务的策略。
这个功能还提供了对于服务配置的更多控制,包括能够修改一系列系统上的服务账户和服务账户密码。
(5) .注册表和文件系统策略这些策略能够集中分别管理文件系统和注册表键的权限。
例如,如果想锁定所有桌面系统中的某个文件或文件夹,比如为了避免恶意软件轻易进行修改,需要锁定工作站的HOST 文件,在这种情况,可以使用“文件系统”策略集中定义所有计算机上执行该策略的文件权限和权限继承。
但是一般来说,文件系统和注册表安全策略作为一种集中管理文件系统和注册表安全的方式并不常用,而且如果误用会造成问题。
这些策略对于大型的文件和文件夹树结构或注册表键的重新分配权限并不适用,在组策略处理过程中并不能很好地执行,并且在执行过程中已知会降低系统性能。
由于默认情况下,即使没有发生策略变更,安全策略每16 个小时也会自动刷新,因此这个问题就更加严重。
如果需要加强文件系统或注册表权限,笔者建议使用其他方法,例如脚本、Windows安全模板或是第三方安全工具。
也就是说,如果只是修改少量文件、文件夹或注册表键的权限,确保这些关键资源受到保护。
2、应用程序和设备限制(1). 应用程序限制应用程序限制相对应组策略来说就是“软件限制策略(SRP)”,这些策略位于“计算机和用户配置-Wind0ws设置安全设置一软件限制策略”节点。
SRP可以有三种不同的运行模式:默认模式允许所有代码执行,管理员只对那些明恶意的程序或脚本进行限制,俗称“黑名单”。
这种方式虽然对于管理来说非常容易,但是并不安全,因为对于一些未知的程序或者脚本管理员无法进行判断和处理。
第二种模式称为“白名单”,是使用SRP最安全的方式,但是需要管理员做更多的管理工作,因为要创建各种规则。
最后一种模式,称为“基本用户”,在WindowsVista 中首先出现。
当设置基本用户的默认级别时,管理员运行的所有进程会被剥离管理令牌,强制这些进程作为非管理员用户运行。
当我们不希望管理员使用其管理账户运行某些进程时,这种方式非常有用。
(图5)图5 应用程序限制对于这一部分内容,如果大家感兴趣可以参考《详解Windows7 下的程序运行控制》() 。
该文以Windows7 系统为例介绍了通过其组策略对应用程序的安装和运行进行限制,策略方法和Vista下的类似,笔者就不赘述了(2).设备限制所谓设备限制,主要指存储限制即对移动存储设备的限制。
我们知道,在企业环境中,通过移动设备进行窃密是比较普遍的。
从Vista开始,微软在组策略中提供了对移动设备的限制。
其组策略项位于“计算机(或用户配置)一管理模板一系统一可移动存储访问”节点下,在此我们可以设置对任何可移动存储设备的拒绝读或写(或可读写)访问,支持的可移动存储设备包括U盘、可写CD和DVD以及可移动硬盘。
此外,与设备限制相关,我们话你可以通过组策略隐藏磁盘或者限制用户对磁盘分区的访问,以保护磁盘数据,其设置项在“本地计算机策略f用户配置f管理模板f Win dows组件f Win dows资源管理器”节点下。
至于如何设置大家可以参考文章《Vista组策略深度挖掘实现非常任务》()。
(图6)图6设备限制3、IE安全之所以把IE的组策略项单独拿出来分析,不仅仅因为IE是Windows系统集成的浏览器,更主要是因为它使用最广泛的浏览器软件,同时也是Win dows系统中面临安全威胁最大的系统组件。
在Vista的组策略中,我们可以在三个不同的组策略节点来配置IE。
这三个节点分别是:“用户配置f Windows设置f IE维护策略”即“ IE维护策略”;“计算机或用户配置f管理模板f Win dows组件f In ternet Explorer ”即“管理模板策略”;“用户配置f选项f管理控制面板f In ternet设置”即“组策略选项”功能。
其实,上述每种方式在配置IE时都各有优缺点。
例如,要配置IE代理或者首页,可以使用“ IE维护策略”或“组策略选项”。
笔者建议大家尽量使用“组策略选项”,因为在域环境下“IE维护”在向客户端分发策略时并不可靠。
需要说明的是,通过“组策略选项”或者“IE维护”修改IE配置,并不能防止用户更改。
所以,我们一般要使用“管理模板”策略选项禁止用户访问IE设置页面。
通常情况下,使用“管理模板”策略锁定某些IE设置,就能够防止用户修改IE配置来绕过限制。
如果我们要设置IE的区域安全或者设置弹出屏蔽网址类表,可以同时使用这三种方式进行控制,因为每一种方式具有不同的行为,支持不同的选项。
例如,使用“计算机或用户配置f管理模板f Win dows组件f In ternet Explorer \I nternet 控制面板安全页面”下的策略对每个IE区域进行安全配置,并使用区域站点分配类表为用户在每个安全区域中添加指定网站。
使用这种方式,用户就不能自行修改这些IE设置了,但如果使用“IE维护”策略,虽然也可以进行想要的配置,但是用户可以修改配置。