巧用组策略提高Windows7系统安全性

天若有情

　　针对Windows 7（以下简称Win7）的优化设置方法也层出不穷，用户往往是东拼西凑，没个头绪，而且这些方法更是真伪难辨，效果到底如何也无从知晓。其实利用Win7的系统组策略功能，就可以实现Win7的系统优化。本文为大家讲解如何利用组策略，让Win7变得更安全。
　　注：组策略功能只在Win7专业版、旗舰版和企业版中提供。
; j/ `: x0 }! w& j5 G　　
& z: F: ]( @/ Q$ K2 W　　文件保密 给驱动器穿上隐身衣
9 r" i$ z5 Z, \3 Y　　驱动器主要包括硬盘、光驱和移动设备等，主要用于存储数据等。因此，限制驱动器的使用，可以有效防止重要和机密的信息外泄，阻击病毒和木马的入侵，十分必要。驱动器不同，限制方法也不同，而且同一种驱动器也有不同的限制级别。就说硬盘吧，一般有隐藏和禁止访问两种级别。隐藏级别比较初级，只是让驱动器不可见，一般用于防范小孩和初级用户，而禁止访问则可彻底阻止驱动器的访问。对于移动设备，可以选择设置读、写和执行权限，不过病毒和木马一般通过执行恶意程序来传播，因此禁止执行权限才最有效。
　　初级防御 普通用户看不到
, K+ b, x) ?2 m+ Y8 O5 K7 n　　家里电脑硬盘上有一些重要文件，不想让别人看到，最简单的办法就是把文件所在的驱动器隐藏起来。点击“开始”，在搜索框中输入“gpedit.msc”，确认后即打开了组策略编辑器，依次展开“用户配置→管理模板→Windows组件→Windows资源管理器”，在右边设置窗口中，进入“隐藏‘我的电脑’中这些指定的驱动器”，选择“已启用”，在下面的下拉列表中选择需要隐藏的驱动器，然后确定。再进入“计算机”，刚才选择的驱动器图标就不见了。
. `- L7 O6 q9 M' Z" X+ z: J; K　　提示：这个方法只是隐藏驱动器图标，用户仍可使用其他方法访问驱动器的内容，如在地址栏中直接键入驱动器上的目录路径。另外，此设置不会阻止用户使用程序访问这些驱动器或其内容。
: y' W: y6 ~$ U2 a- h* E  Q& V& s　　高级防御 特权用户才能用
3 q. }0 a$ U5 w% z' U9 {　　系统盘里面有重要的系统文件，不能让别人随便修改或移动。特别是有些分区存有重要文件时，如果只是隐藏驱动器，别人还是能够访问，这样当然不行！最安全的方法就是把相关驱动器保护起来，禁止无权限的用户访问。
　　同样，在组策略管理器当中依次展开“用户配置→管理模板→Windows组件→Windows资源管理器”，进入“防止从‘我的电脑’访问驱动器”，选择“已启用”，在下面的下拉列表中选择需要禁止访问的驱动器，确定后即可生效（如图1所示）。别人再想访问相关驱动器时，会出现“限制”的提示窗口！当自己需要查看时，只要把相关的策略设置从“已启用”改成“未配置”即可。
: i( P( O9 Y6 H1 s　　
　　提示：如何阻止其他人使用组策略编辑呢？很简单，通过建立不同权限的用户，让其他人使用普通User类型的账户（无权开启组策略编辑器）就可以了。
　　禁用移动设备执行权限 断木马病毒后路
  s! l6 x8 o3 f0 m　　移动设备（例如闪存、移动硬盘等）已经成为不少用户的标准配置，使用也最为广泛。正因如此，它也成了病毒和木马传播的主要途径。而普通的限制读写权限并不能阻止病毒和木马入侵，因为病毒传播都是通过执行病毒和木马程序来实现的，因此禁用执行权限就能切断病毒传播途径。
　　依次展开“计算机配置→管理模板→系统→可移动存储访问”，进入“可移动磁盘：拒绝执行权限”，选择“已启用”，确定后设置生效。移动设备上的可执行文件将不能执行，计算机也就不会再被病毒感染。而如果需要执行，只需要拷贝到硬盘当中即可。
　　上网冲浪 给浏览器穿上铁布衫
4 y) G$ p7 D& z# p  }( O  u　　电脑最重要的用途之一就是上网，可是说实话，现在上网一点也不省心，病毒、木马和流氓软件横行，连不少大网站都会被挂马，用户真是防不胜防。而很多恶意软件都会窜改浏览器主页或浏览器的其他设置，一旦中招，打开浏览器就会弹出乱七八糟的页面甚至是木马网站，让用户叫苦不迭！另外，有些用户利用浏览器下载文件毫无规律，常常搞得文件混乱，病毒文件一旦下载就很难清除。因此如何增强浏览器的“免疫力”就显得特别重要。
　　锁定主页
6 f8 ~% F3 C2 S/ h8 M4 x9 ?　　主页被窜改是最常见的，而利用组策略锁定后，就可以彻底解决这一问题。不仅不会再弹出乱七八糟的页面，更是降低了再次中毒和中木马的几率。依次展开“用户配置→管理模板→Windows组件→Internet Explorer”，进入“禁用更改主页设置”，选择“已启用”，“选项”下面输入默认主页，确定后，设置生效（如图2所示）。
　　
　　提示：启用此策略设置后，用户将无法对默认主页进行设置，因此如果需要，用户必须在修改设置前指定一个默认主页。
　　冰封IE设置
　　如同上文所述，一旦系统中毒或中了木马，除了IE主页会被窜改，其他的IE设置也可能会被窜改。因此给IE设置加上防护罩也是非常有必要的。特别是IE设置一旦设定之后，可能长期都不会改变，因此不如彻底冰封！
% y9 B. [& o: x3 N! x7 R' p　　依次展开“用户配置→管理模板→Windows组件→Internet Explorer→Internet控制面板”，右边窗格有“禁用高级页”、“禁用连接页”、“禁用内容页”、“禁用常规页”、“禁用隐私页”、“禁用程序页”和“禁用安全页”，分别对应IE里“Internet选项”中的七个选项卡（如图3所示）。如全部启用，打开“Internet选项”将出现“限制”的出错对话框，这就彻底杜绝了对IE浏览器设置的修改。
　　
　　提示：启动“禁用常规页”将会删除“Internet选项”中的“常规”选项卡。如果启用此策略，则用户无法查看和更改主页、缓存、历史记录、网页外观以及辅助功能的设置。因为此策略会删除“常规”选项卡，所以如果设置此策略，则无须设置以下Internet Explorer策略——“禁用更改主页设置”、“禁用更改Internet临时文件设置”、“禁用更改历史记录设置”、“禁用更改颜色设置”、“禁用更改链接颜色设置”、“禁用更改字体设置”、“禁用更改语言设置”和“禁用更改辅助功能设置”。
　　权限管理 给系统配上火眼金睛
/ v$ M7 z" d; o2 x4 D' P1 G7 O　　现在有些软件真流氓，例如很多软件美其名曰为了方便别人使用，却会在软件打包或者绿化的过程中恶意捆绑一些程序或者将一些网页也打包进去。方法一般很低级，无非是通过批处理文件和手动注入注册表信息来实现，因此我们可以利用组策略来禁止一些危险类型的文件运行。此外一些公共场所（如办公室等），很多软件都是不允许使用的（如聊天软件等），那么管理人员也可以利用组策略来实现有效地管理。
　　禁止危险文件运行
　　有些类型的文件（如“.reg”注册表文件和“.bat”批处理文件）一般用户很少用得上，而且又很容易被病毒或木马利用，因此禁止这些类型的文件运行就可以在一定程度上保障计算机的安全。
7 w$ G! F: \  `! y1 s) `) K　　依次展开“计算机配置→Windows设置→安全设置→软件限制策略”，雨林木风在弹出的右键菜单上选择“创建软件限制策略”，会自动生成“安全级别”、“其他规则”、“强制”、“指定的文件类型”和“受信任的发布者”五项。进入“指定的文件类型”的属性窗口，只留下需要禁止的文件类型，例如“bat批处理文件”，将其他的文件类型全部删除。如果类型不在列表中，就直接在下面的“文件扩展名”文本框中输入要禁用的文件类型，添加进去即可。再进入“安全级别→不允许”，点击“设为默认”按钮，此策略即生效。再运行任何批处理文件时，就会被阻止执行。
( j  F& |" m/ e, @　　禁用程序 穿上马甲我也认识你
4 |4 T9 q$ S0 y' p8 |6 \　　除此之外，很多公司都不允许使用聊天软件。以QQ为例，如果直接卸载QQ，使用者还可能再安装，或者把软件安装到其他位置。此时不妨利用组策略来轻松搞定。
　　依次展开“计算机配置→Windows设置→安全设置→软件限制策略→其他规则”，选择“新建哈希规则”（如图4所示）。点击“浏览”选择QQ的执行文件“QQ.exe”，“文件信息深度系统”下面第一行就是生成的哈希值，这个值是唯一的，下面还会显示出文件的基本信息，“安全级别”选择“不允许”。确认、注销后，再次登录，设置即可生效。
　　
+ [$ E9 p4 t/ p1 K9 Y# ^2 e　　提示：采用哈希规则的好处是不管程序被改名或是移动位置或其他任何操作，只要哈希值被验证一致，那么限制就不会失效！因此可以有效限制某些软件的运行。
0 t: |% K- ]! b. F8 Z% N' \6 C