组策略及系统安全配置方案

组策略及系统安全配置方案组策略界面图用户来设置多种配置，包括桌面配置和安全配置。譬如，可以为特定用户或用户组定制可用的程序、桌面上的内容，以及“开始”菜单选项等，也可以在整个计算机范围内创建特殊的桌面配置。简而言之，组策略是Windows中的一套系统更改和配置管理工具的集合。注册表是Windows系统中保存系统软件和应用软件配置的数据库，而随着Windows功能越来越丰富，注册表里的配置项目也越来越多，很多配置都可以自定义设置，但这些配置分布在注册表的各个角落，如果是手工配置，可以想象是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供用户直接使用，从而达到方便管理计算机的目的。其实简单地说，组策略设置就是在修改注册表中的配置。当然，组策略使用了更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。编辑本段主要版本对于Windows9X/NT用户来说，都知道“系统策略”的概念，其实组策略就是系统策略的高级扩展，它是自Windows9X/NT的“系统策略”发展而来的，具有更多的管理模板、更灵活的设置对象及更多的功能，主要应用于Windows2000/XP/2003/7/2008操作系统中。早期系统策略的运行机制是通过策略管理模板，定义特定的POL(通常是Config.pol)文件。当用户登录时，它会重写注册表中的设置值。当然，系统策略编辑器也支持对当前注册表的修改，另外也支持连接网络计算机并对其注册表进行设置。而组策略及其工具，则是对当前注册表进行直接修改。显然，Windows2000/XP/2003系统的网络功能是其最大的特色之处，所以其网络功能自然是不可少的，因此组策略工具还可以打开网络上的计算机进行配置，甚至可以打开某个ActiveDirectory(活动目录)对象(即站点、域或组织单位)并对其进行设置。这是以前“系统策略编辑器”工具无法做到的。当然，无论是“系统策略”还是“组策略”，它们的基本原理都是修改注册表中相应的配置项目，从而达到配置计算机的目的，只是它们的一些运行机制发生了变化和扩展而已。命令位置:C:\WINDOWS\system32或者C:\WINNT\system32编辑本段运行方式一般运行在Windows2000/XP/2003系统中，系统默认已经安装了组策略程序，在“开始”菜单中，单击“运行”选项，输入“gpedit.msc”并确定，即可运行组策略。使用上面的方法，打开的组策略对象是当前的计算机，而如果需要配置其他的计算机组策略对象，则需要将组策略作为独立的MMC管理单元打开：Microsoft管理控制台(可在“开始”菜单的“运行”对话框中直接输入“MMC”并确定)。单元”菜单命令，在打开的对话框中单击“添加”按钮。单元”对话框中，单击“组策略”选项，然后单击“添加”按钮。组策略对象”对话框中，单击“本地计算机”选项编辑本地计算机对象，或通过单击“浏览”查找所需的组策略对象。策略管理单元即打开要编辑的组策略对象。配置”、“已禁用”选项即可对计算机策略进行管理。MMC管理单元若要在MMC控制台中通过选择GPE插件来打开组策略编辑器，具体方法如下：[2]（1）单击选择“开始”→“运行”命令，在弹出的对话框中键入“mmc”，然后单击“确定”按扭。打开Microsoft管理控制台窗口。（2）选择“文件”菜单下的“添加/删除管理单元”命令。（3）在“添加/删除管理单元”窗口的“独立”选项卡中，单击“添加”按扭。（4）弹出“添加独立管理单元”对话框，并在“可用的独立管理单元”列表中选择“组策略”选项，单击“添加”按钮。（5）由于是将组策略应用到本地计算机中，故在“选择组策略对象”对话框中，单击“本地计算机”，编辑本地计算机对象，或通过单击“浏览”按扭查找所需的组策略对象。（6）单击“完成”→“关闭”→“确定”按扭，组策略管理单元即可打开要编辑的组策略对象。软件限制策略软件限制策略是MicrosoftWindowsXP和MicrosoftWindowsServer2003中的一项新功能。它们提供了一套策略驱动机制，用于指定允许执行哪些程序以及不允许执行哪些程序。软件限制策略可以帮助组织免遭恶意代码的攻击。也就是说，软件限制策略针对病毒、特洛伊木马和其他类型的恶意代码提供了另一层防护。编辑本段使用攻略组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过组策略可以设置各种软件、计算机和用户策略。考虑到安全方面的原因，Windows7已经开发了许多新的和增强的组策略功能和服务，帮助您更好地保护计算机上驻留的数据、功能和服务。这些功能的配置取决于您的具体要求和使用环境，本文将主要介绍Windows7组策略的安全使用技巧，介绍如何配置功能和服务来更好地满足您的系统安全、网络安全、数据保护及个性化需求。编辑本段系统安全1.禁止运行指定程序系统启动时一些程序会在后台启动，这些程序通过“系统配置实用程序”msconfi的启动项无法阻止，操作起来非常不便，通过组策略则非常方便，这对减少系统资源占用非常有效。通过启用该策略并添加相应的应用程序，就可以限制用户运行这些应用程序。具体步骤如下：「开始」菜单，在“搜索程序和文件”搜索框中输入“gpedit.msc”并回车，打开组策略对象编辑器。配置→管理模板→系统，然后在右边的窗格双击“不要运行指定的Windows应用程序”(如图1所示)。图1双击“不要运行指定的Windows应用程序”程序如“Wgatray.exe”即可。图2添加要阻止的程序当用户试图运行包含在不允许运行程序列表中的应用程序时，系统会提示警告信息。把不允许运行的应用程序复制到其他的目录和分区中，仍然是不能运行的。要恢复指定的受限程序的运行能力，可以将“不要运行指定的Windows应用程序”策略设置为“未配置”或“已禁用”，或者将指定的应用程序从不允许运行列表中删除（这要求删除后列表不会成为空白的）。这种方式只阻止用户运行从Windows资源管理器中启动的程序，对于由系统过程或其他过程启动的程序并不能禁止其运行。该方式禁止应用程序的运行，其用户对象的作用范围是所有的用户，不仅仅是受限用户，Administrators组中的账户甚至是内建的administrator帐户都将受到限制，因此给管理员带来了一定的不便。当管理员需要执行一个包含在不允许运行列表中的应用程序时，需要先通过组策略编辑器将该应用程序从不运行列表中删除，在程序运行完成后，再将该程序添加到不允许运行程序列表中。需要注意的是，不要将组策略编辑器（gpedit.msc）添加到禁止运行程序列表中，否则会造成组策略的自锁，任何用户都将不能启动组策略编辑器，也就不能对设置的策略进行更改。提示：如果没有禁止运行“命令提示符”程序的话，用户可以通过cam命令，从“命令提示符”运行被禁止的程序，例如，将记事本程序(notepad.exe)添加不运行列表中，通过桌面和菜单运行该程序是被限制的，但是在“命令提示符”下运行notepad命令，可以顺利的启动记事本程序。因此，要彻底的禁止某个程序的运行，首先要将cmd.exe添加到不允许运行列表中。如果禁止程序后组策略无法使用可以通过以下方法来恢复设置：重新启动计算机，在启动菜单出现时按F8键，在Windows高级选项菜单中选择“带命令行提示的安全模式”选项，然后在命令提示符下运行mmc.exe。在打开的“控制台”窗口中，依次点击“文件→添加/删除管理单元→添加→组策略→添加→完成→关闭→确定”，添加一个组策略控制台，接下来把原来的设置改回来，然后重新进入Windows即可。2.锁定注册表编辑器注册表编辑器是系统设置的重要工具，为了保证系统安全，防止非法用户利用注册表编辑器来篡改系统设置，首先必须将注册表编辑器予以禁用。具体操作步骤如下：配置→管理模板→系统。注册表编辑工具策略(如图3所示)。图3阻止访问注册表编辑工具图4双击“阻止访问注册表编辑工具”此策略被启用后，用户试图启动注册表编辑器(Regedit.exe及Regedt32.exe)的时候，系统会禁止这类操作并弹出警告消息。若要防止用户使用其他管理工具，请使用“只运行指定的Windows应用程序”设置。提示：解除注册表锁定与禁用注册表编辑器方法步骤相同，双击右侧窗格中的“阻止访问注册表编辑器”，在弹出的窗口中选择“已禁用”或“未配置”，点击“确定”按钮后退出组策略编辑器，即可为注册表解锁。这项设置是一把双剑：如果设为“已禁用”，则有一些正常软件（大部分软件需要与注册表打交道）有可能不能使用，甚至无法安装；如果设置为“已启用”，则在杀毒软件的监护之外，为恶意程序留下隐患。3.阻止访问命令提示符命令提示符下有许多危险的操作，要阻止非法用户使用命令提示符窗口(Cmd.exe)，远离各种不可预料的风险，具体步骤如下：组策略对象编辑器。组策略对象编辑器窗格左侧的树形图中依次展开“用户配置→管理模板→系统”，在右侧窗格中双击“阻止访问命令提示符”(如图5所示)，打开目标策略属性设置对话框。图5双击“阻止访问命令提示符”命令提示符属性对话框中选已启用(如图6所示)，按“确定”即可。图6“阻止访问命令提示符”属性对话框如果启用这个设置，用户试图打开命令窗口，系统会显示一个消息，解释设置阻止这种操作。这个设置还决定批处理文件(.cud和.bat)是否可以在计算机上运行。提示：如果计算机使用登录、注销、启动或关闭批文件脚本，不能防止计算机运行批处理文件；也不能防止使用终端服务的用户运行批处理文件。4.禁止修改系统还原“系统还原”是Windows7的一项很重要的功能，如果您对计算机的安全性要求很高，或是计算机是一台公用的计算机，有很多人会去使用，那么为了保证系统的可操作性，将“系统还原”所占用的磁盘空间设置得大一些很有必要。但是如果这个设置被人更改，就会造成以前创建的还原点中信息的丢失。您可以在“组策略”中禁止对“系统还原”的配置进行修改。具体操作步骤如下：计算机配置→管理模板→系统还原，在右侧窗格中双击“关闭配置”(如图7所示)，打开目标策略属性设置对话框。图7双击“关闭配置”配置属性对话框中选“已启用”，按“确定”。“系统还原”配置界面上配置系统还原的选项就会消失。如果选择“已禁用”(如图8所示)，则仍可看见配置界面，但是，所有系统还原配置默认值都有效。图8“关闭配置”属性对话框注意：该配置必须重新启动计算机才会生效。5.设置虚拟内存页面对于重要文件，您可以通过加密和设置权限以禁止其他无关人员访问，不过您可知道，如果真的有必要，他人完全可以通过其他途径获得您的机密信息，那就是虚拟内存页面文件。虚拟内存页面文件作为物理内存的补充，用途是在硬盘和内存之间交换数据，而虚拟内存页面文件本身就是硬盘上的一个文件，它位于系统所在硬盘分区的根目录中，文件名为pagefile.sys。一般情况下，当您运行程序时，这些程序的一部分内容可能会被临时保存到分页文件上，而如果您编辑完这个文件后立刻就关闭了系统，那么文件的一些内容仍然有可能被保存在虚拟内存页面文件中。在这种情况下，如果有人得到了这台电脑的硬盘，那么只要把硬盘拆出来，利用特殊的软件，就可以将虚拟内存页面文件中的机密信息读取出来。通过配置组策略，您可以避免这种潜在的危险。计算机配置→Windows设置→安全设置→本地策略→安全选项”，在右侧窗格中双击“关机：清除虚拟内存页面文件”(如图9所示)，打开目标策略属性设置对话框。图9双击“关机：清除虚拟内存页面文件”页面文件属性对话框中选“已启用”(如图10所示)，按“确定”即可。图10“关机：清除虚拟内存页面文件”属性对话框启用这个策略后，关机的时候系统会将分页文件中的所有内容都用“0”或者“1”写满，这样所有的信息自然也都会消失。提示：这样做会减慢系统的关闭速度，如果不是非常必要，不建议您启用这个策略。6.防止菜单泄漏隐私在「开始」菜单中有一个“我最近的文档”菜单项，可以记录您曾经访问过的文件。这