前兩天給大家分享了Windows注冊表的學習內容,大家了解了注冊表是Windows系統中保存系統、應用軟件配置的數據庫。很多防護黑客攻擊行為都可以用到修改注冊表配置實現,但這些配置發布在注冊表的各個角落,如果是手工配置就比較煩雜。而組策略則將系統重要的配置功能匯集成各種配置模塊,供管理人員直接使用,從而達到方便管理計算機的目的。
簡單點說,組策略就是修改注冊表中的配置。當然,組策略使用自己更完善的管理組織方法,可以對各種對象中的設置進行管理和配置,遠比手工修改注冊表方便、靈活,功能也更加強大。
所以今天我們就分享一下Windows組策略的基本作用、常規功能實現的配置方法,以及如何利用組策略的安全設置防護黑客入侵。
一、 Windows組策略的基本作用
基本作用:
1、日常工作中,在windows單機模式下,組策略中有很多比較有用的功能,例如,本地安全策略。
本地安全策略是對登陸到計算機上的賬號定義一些安全設置,在沒有活動目錄集中管理的情況下,本地管理員必須為計算機進行設置以確保其安全。例如,限制用戶如何設置密碼、通過賬戶策略設置賬戶安全性、通過鎖定賬戶策略避免他人登陸計算機、指派用戶權限等。這些安全設置分組管理,就組成了的本地安全策略
2、組策略在windows域中的作用
組策略是管理員為用戶和計算機自定義并控制程序、網絡資源及操作系統行為的主要工具。通過使用組策略可以設置各種軟件、計算機和用戶策略。例如,可使用"組策略"為網絡用戶分發軟件、設定用戶可以運行的程序、自定義"開始"菜單并簡化"控制面板"。此外,還可添加能在計算機上(在計算機啟動或停止時,以及用戶登錄或注銷時)自動運行的腳本,甚至可配置Internet Explorer。組策略的優點是可以讓系統管理員靈活控制Windows網絡的客戶端環境,更加方便地管理整個網絡。但伴隨著靈活性而來的是復雜性。如何熟悉、熟練應用組策略是系統管理員必須解決的一個問題。如果能夠正確、靈活地運用組策略,就能使Windows系統發揮出更加強大的功能,為個人用戶和企業用戶帶來更大的利益。
二、 常用的Windows組策略配置方法
單機模式下的常用組策略:
(一) 訪問組策略
有兩種方法可以訪問組策略:一是通過gpedit.msc命令直接進入組策略窗口;二是打開控制臺,將組策略添加進去。
1. 輸入gpedit.msc命令訪問 選擇"開始"→"運行",在彈出窗口中輸入"gpedit.msc",回車后進入組策略窗口。組策略窗口的結構和資源管理器相似,左邊是樹型目錄結構,由"計算機配置"、"用戶配置"兩大節點組成。這兩個節點下分別都有"軟件設置"、"Windows設置"和"管理模板"三個節點,節點下面還有更多的節點和設置。此時點擊右邊窗口中的節點或設置,便會出現關于此節點或設置的適用平臺和作用描述。"計算機配置"、"用戶配置"兩大節點下的子節點和設置有很多是相同的,那么我們該改哪一處?"計算機配置"節點中的設置應用到整個計算機策略,在此處修改后的設置將應用到計算機中的所有用戶。"用戶配置"節點中的設置一般只應用到當前用戶,如果你用別的用戶名登錄計算機,設置就不會管用了。但一般情況下建議在"用戶配置"節點下修改,本文也將主要講解"用戶配置"節點的各項設置的修改,附帶講解"計算機配置"節點下的一些設置。其中"管理模板"設置最多、應用最廣,因此也是本文的重中之重。
2. 通過控制臺訪問組策略 單擊"開始"→"運行",輸入"mmc",回車后進入控制臺窗口。單擊控制臺窗口的"文件"→"添加/刪除管理單元",在彈出窗口單擊"添加",之后選擇"組策略"并單擊"添加",在下一步的"選擇組策略對象"對話框中選擇對象。由于我們組策略對象就是"本地計算機",因此不用更改,如果是網絡上的另一臺計算機,那么單擊"瀏覽"選擇此計算機即可。另外,如果你希望保存組策略控制臺,并希望能夠選擇通過命令行在控制臺中打開組策略對象,請選中"當從命令行開始時,允許更改'組策略管理單元'的焦點"復選框。最后添加進來的組策略。
(二) 任務欄和"開始"菜單項目設置
本節點允許你為開始菜單、任務欄和通知區域添加、刪除或禁用某一功能項目。依次展開"用戶配置"→"管理模板"→"任務欄和'開始'菜單",在右邊窗口便能看到"任務欄和'開始'菜單"節點下的具體設置,其狀態都處在"未被配置"。
1. 給"開始"菜單減肥
Windows XP的"開始"菜單的菜單項很多,可通過組策略將不需要的刪除掉。以刪除開始菜單中的"我的文檔"圖標為例看看其具體操作方法:在右邊窗口中雙擊"從'開始'菜單上刪除'我的文檔'圖標"項,在彈出對話框的"設置"標簽中點選"已啟用",然后單擊"確定",這樣在"開始"菜單中"我的文檔"圖標將會隱藏。
2. 防止隱私泄漏
在開始菜單中有一個"我最近的文檔"菜單項,別人可通過此菜單訪問你最近打開的文檔,為安全起見,可刪除此菜單項,并設置不保存最近打開的文檔記錄。雙擊"不要保留最近打開文檔的記錄"、"退出時清除最近打開的文檔記錄"、"從'開始'菜單上刪除'文檔'菜單"3項,在彈出對話框中點選"已啟動"并確定即可。
3. 禁止隨意修改任務欄和"開始"菜單
為保護自己好不容易設置好的任務欄和"開始"菜單,可雙擊啟用下列各設置。 "阻止更改'任務欄和'開始'菜單 '設置":即從"開始"菜單的"設置"菜單項中刪除"任務欄和'開始'菜單"項目,這個設置也可阻止用戶打開"任務欄屬性"對話框。"阻止訪問任務欄的上下文菜單"(上下文菜單即單擊右鍵彈出的快捷菜單):當鼠標右鍵單擊任務欄及任務欄上項目時隱藏菜單,例如"開始"按鈕、時鐘和任務欄按鈕,但不能禁止用戶在其他地方更改。"鎖定任務欄":啟用此設置,可阻止用戶移動任務欄或調整任務欄的大小,但自動隱藏和其他任務欄選項仍然在"任務欄屬性"中可用。
4. 去掉Windows XP"開始"菜單中的圖形化設置
Windows XP的"開始"菜單增添了許多圖形化設置,其實可在組策略中將這些功能關閉。 "關閉個性化菜單":Windows XP會自動將最近使用的菜單項移動到開始菜單頂部,并且隱藏最近沒有使用的菜單項,以此實現個性化菜單,啟用此設置將關閉個性化菜單。"強制典型菜單":啟用此設置,開始菜單就以Windows 2000樣式顯示典型的開始菜單,并且顯示標準桌面圖標。
5. 禁止"注銷"和"關機"
進行三維動畫設計和視頻處理的朋友經常會為導出一個大型動畫、視頻文件而花幾個小時,這時如果有人重新啟動電腦或注銷用戶,那么前面所做的工作就會白白浪費,因此有必要禁止"開始"菜單中的"注銷"、"關機"菜單項。你只需雙擊啟用"刪除'開始'菜單上的'注銷'"和"刪除和阻止訪問'關機'命令"兩項即可。后一設置不僅將從"開始"菜單中刪除"關閉計算機"項,而且還會禁用"Windows 任務管理器"對話框中的"關機"選項。
(三) 桌面項目設置
在"組策略"的左窗口依次展開"用戶配置"→"管理模板"→"桌面"節點,便能看到有關桌面的所有設置。此節點主要作用在于管理用戶使用桌面的權利和隱藏桌面圖標。
1. 隱藏不必要的桌面圖標
桌面上的一些快捷方式我們可以輕而易舉地刪除,但要刪除"我的電腦"、"回收站"、"網上鄰居"等默認圖標,就需要依靠"組策略"了。例如要刪除"我的文檔",只需在"刪除桌面上的'我的文檔'圖標"一項中設置即可。
2. 禁止對桌面的改動
利用組策略可達到禁止別人改動桌面某些設置的目的。"禁止用戶更改'我的文檔'路徑"項可防止用戶更改"我的文檔"文件夾的路徑。"禁止添加、拖、放和關閉任務欄的工具欄"項可阻止用戶從桌面上添加或刪除任務欄。雙擊啟用"退出時不保存設置"后,用戶將不能保存對桌面的更改。最后,雙擊啟用"隱藏和禁用桌面上的所有項目"設置項,將從桌面上刪除圖標、快捷方式以及其他默認的和用戶定義的所有項目,連桌面右鍵菜單都將被禁止。
3. 啟用或禁止活動桌面
"Active Desktop"項,可根據自己的需要設置活動桌面的各種屬性。"啟用活動桌面"項可啟用活動桌面并防止用戶禁用它。"活動桌面墻紙"項可指定在所有用戶的桌面上顯示的桌面墻。而啟用"不允許更改"項便可防止用戶更改活動桌面配置。
(四) 隱藏或禁止控制面板項目
這里講到的控制面板項目設置是指配置控制面板程序的各項設置,主要用于隱藏或禁止控制面板項目。在組策略左邊窗口依次展開"用戶配置"→"管理模板"→"控制面板"項,便可看到"控制面板"節點下面的所有設置和子節點。
1. 隱藏或禁止"添加/刪除程序"項
展開"添加/刪除程序"項:雙擊啟用"刪除'添加/刪除程序'程序"設置項后,控制面板中的"添加/刪除程序"項將被刪除。此外在"添加或刪除程序"對話框中共有3個頁面:"更改或刪除程序"、"添加新程序"以及"添加/刪除Windows組件";而當你進入"添加新程序"頁面時,會發現有3個選項:"從CD-ROM或軟盤添加程序"、"從 Microsoft添加程序"以及"從網絡中添加程序",如果你想這些具體頁面或選項隱藏,可直接在組策略"添加/刪除程序"項中將相應隱藏功能啟用。
2. 隱藏或禁止"顯示"項
展開"顯示"項,發現這一項和上一項一樣,可隱藏"顯示屬性"對話框中的選項卡。這里就不細講了,例如雙擊啟用"隱藏'桌面'選項卡"后,"顯示窗口"中將不再出現"桌面"項。此外,在這里用戶還可啟用"刪除控制面板中的'顯示'",這樣在控制面板中雙擊打開"顯示"項時,就會彈出一個對話框提示你:系統管理員禁止使用"顯示"控制面板。
3. 其他
依次展開"顯示"→"桌面主題"項,雙擊啟用"刪除主題選項"、"阻止選擇窗口和按鈕式樣"、"禁止選擇字體大小"項后,可阻止他人更改主題、窗口和按鈕式樣、字體。展開"打印機"項,雙擊啟用"阻止添加打印機"或"阻止刪除打印機"可防止別的用戶添加或刪除打印機。最后,直接在"控制面板"一項下啟用"禁止訪問控制面板",控制面板將無法啟動。
(五) 系統項目設置
這一項在"用戶配置"→"管理模板"→"系統"中設置。組策略中對系統的設置涉及到登錄、電源管理、組策略、腳本等很多項目,下面把和我們聯系緊密的部分清理出來分類列舉如下:
1. 登錄時不顯示歡迎屏幕界面
Windows 2000和Windows XP系統登錄時默認情況下都有歡迎屏幕,雖然漂亮但也麻煩且延長登錄時間,通過組策略便可將其除去。雙擊啟用"系統"節點下的"登錄時不顯示歡迎屏幕",則每次用戶登錄時歡迎屏幕將隱藏。
2. 禁用注冊表編輯器
為防止他人修改注冊表,可在組策略中禁止訪問注冊表編輯器。雙擊啟用"系統"節點下的"阻止訪問注冊表編輯器"項后,用戶試圖啟動注冊表編輯器時,系統將提示:注冊編輯已被管理員停用。另外,如果你的注冊表編輯器被鎖死,也可雙擊此設置,在彈出對話框的"設置"標簽中點選"未被配置"項,這樣你的注冊表便解鎖了。如果要防止用戶使用其他注冊表編輯工具打開注冊表,請雙擊啟用"只運行許可的Windows應用程序"。
3. 關閉系統自動播放功能
一旦你將光盤插入光驅中,Windows XP就會開始讀取光驅,并啟動相關的應用程序。這樣雖然給我們的工作帶來了便利,在某些時候也帶來了不少麻煩。在"系統"節點下有一項為"關閉自動播放"設置項,雙擊其并在彈出對話框的"設置"標簽中點選"已啟用",在"關閉自動播放"框中選擇"CD-ROM啟動器"或"所有驅動器"項即可。
4. 關閉Windows自動更新
每當用戶連接到Internet,Windows XP就會搜索用戶計算機上的可用更新,根據配置的具體情況,在下載的組件準備好安裝時或在下載之前,給用戶以提示。如果你不喜歡比爾老大這種自作主張的態度,可通過組策略關閉這一功能。只須雙擊"系統"節點下的"Windows自動更新"設置項,在彈出來的對話框中點選"已禁用"并確定即可。
5. Ctrl+Alt+Del選項
若Windows XP用戶已取消"使用歡迎屏幕"項,若同時按下"Ctrl+Alt+Del"鍵,便會彈出一個"Windows安全"對話框,此對話框中有"鎖定計算機"、"注銷"、"關機"、"更改密碼"、"任務管理器"、"取消"6個功能按鈕。大家都知道這里的每個按鈕對系統都起著關鍵的作用。為了阻止別人操作,可通過組策略屏蔽這些按鈕。 找到"系統"下的"Ctrl+Alt+Del選項",雙擊啟用"刪除任務管理器"、"刪除'鎖定計算機'"、"刪除改變密碼"、"刪除注銷"項便能屏蔽掉"Windows安全"對話框的"任務管理器"、"鎖定計算機"、"更改密碼"、"取消"4個功能按鈕。 注意:"注銷"、"關機"兩個菜單項的屏蔽,在"用戶配置"→"管理模板"→"任務欄和'開始'菜單"節點下。
(六) 隱藏或刪除Windows XP資源管理器中的項目
一直以來,資源管理器就是Windows系統中最重要的工具,如何高效、安全地管理資源也一直是電腦用戶的不懈追求。依次展開"用戶配置"→"管理模板"→"Windows組件"→"Windows資源管理器"項,可以看到"Windows資源管理器"節點下的所有設置。下面就來看看怎樣通過組策略實現資源管理器個性化。
1. 刪除"文件夾選項"
"文件夾選項"是資源管理器中一個重要的菜單項,通過它可修改文件的查看方式,編輯文件類型的打開方式。我們自己對其設定好后,為了防止他人隨意更改,可將此菜單項刪除,你只須雙擊啟用"從'工具'菜單刪除'文件夾選項'菜單"便能完成這一設置。
2. 隱藏"管理"菜單項
在資源管理器中右鍵單擊"我的電腦"出現的快捷菜單中有一個"管理"菜單項,通過此菜單項,可以打開一個包含"事件查看器"、"本地用戶和組"、"設備管理器"、"磁盤管理"等眾多工具的"計算機管理"窗口。為了保障你的計算機免受他人無意破壞,可通過雙擊啟用"隱藏Windows資源管理器上下文菜單上的'管理'項目"項來屏蔽此菜單項。
3. 其他項目的隱藏
此外通過啟用"隱藏'我的電腦'中的這些指定的驅動器"可隱藏你指定的驅動器。還可通過啟用"'網上鄰居'中不含'整個網絡'"屏蔽掉"整個網絡"項。雙擊啟用"刪除CD燒錄功能"刪除Windows XP自帶的光盤刻錄功能。雙擊啟用"不要將已刪除的文件移到'回收站'"則以后刪除文件時將不進入回收站直接刪除掉。當然還有不少項目這里沒有講到,大家可根據需要自行探討,進行適當的配置。
(七) IE瀏覽器項目設置
在組策略左邊窗口中依次展開"用戶配置"→"管理模板"→"Windows組件"→"Internet Explorer"項,在右邊窗口中便能看到"Internet Explorer"節點下的所有設置和子節點。IE是Windows XP自帶的網頁瀏覽器,也是大多數用戶采用的瀏覽器,但其安全性也為人所詬病,下面就通過組策略來對其進行"改造"。
1. 在IE工具欄添加快捷方式
不知道大家注意到了沒有,不少軟件在安裝完之后都會在IE工具欄上添加圖標,單擊其便能啟用相應程序。其實用組策略可以在IE工具欄上為任何程序添加快捷方式,這里舉例說明如何添加一個ICQ的啟動圖標。展開"Internet Explorer維護"下的"瀏覽器用戶界面",雙擊"瀏覽器工具欄自定義"設置項,在彈出來的對話框中單擊"添加"按鈕,在"瀏覽器工具欄按鈕信息"對話框的"工具欄標題"中輸入:ICQ,在"工具欄操作"中輸入D:\Fun\ICQLite\ICQLite.exe,然后再隨便選擇一個"顏色圖標"和"灰度圖標",當然你也可以用ExeScope等來提取ICQ的圖標)。單擊"確定"后IE工具欄中便多了一個ICQ圖標!
2. 讓IE插件不再騷擾你
我們平常上網瀏覽網頁時,總會彈出一些諸如"是否安裝Flash插件"、"是否安裝3721網絡實名"的提示,就像廣告窗口一樣煩人。實際上我們可在組策略中通過啟用"Internet Explorer"節點下的"禁用Internet Explorer組件的自動安裝"來禁止這種提示的出現。不過有時這一功能也是很用的,所以在禁止此功能之前請稍加考慮。
3. 保護好你的個人隱私
一般通過單擊IE工具欄上的"歷史"按鈕,便可了解以前瀏覽過的網頁和文件。為保密起見,你可以通過雙擊啟用"Internet Explorer"節點下的"不要保留最近打開文檔的記錄"和"退出時清除最近打開的文檔記錄"兩個設置項,這樣再單擊IE工具欄上的"歷史"按鈕,你訪問過的歷史網頁記錄將全部消失。
4. 禁止項
如果不希望他人對你的主頁進行修改,可啟用"Internet Explorer"節點下的"禁用更改主頁設置"設置項禁止別人更改你的主頁.你也可通過訪問"瀏覽器菜單",啟用其中的設置項對IE瀏覽器的若干菜單項進行屏蔽。最后,在"Internet控制面板"節點下,你還可對"Internet選項"對話框中的部分選項卡進行隱藏.
域環境下常用的組策略:
1、 域控下更改客戶端桌面壁紙
前提:確保網絡是可通達,防火墻處于關閉狀態,圖片格式為.jpg,共享目錄應為域控C盤。步驟:(1)在域控C盤建立共享文件夾desk,為可讀模式,將共享圖片desk.jpg存放在共享目錄下。(2)開始菜單→管理工具→組策略管理→找到對應的組織單位→創建相應OU→命名為"壁紙"→右擊編輯→用戶下配置→策略→管理模板→桌面→Active Desktop→啟用Active Desktop、啟用不允許更改、啟用桌面墻紙(墻紙名稱為\192.168.200.20\desk\desk.jpg)→強制刷新組策略(gpupdate /force)→重新啟動客戶端生效。
2、發布通告信息
前提:在AD用戶與計算機中將Computer中的計算機移動到與其相對應的組織單位中。
步驟:開始→管理工具→組策略管理→找到對應的組織單位→創建相應OU→命名為"通告"→右擊編輯→計算機配置下→策略→windows設置→安全設置→本地策略→安全選項→交互式登陸:試圖登陸的用戶的消息標題、消息文本→輸入要求內容→強制刷新組策略(gpupdate /force)→重新啟動客戶端生效。
3、禁用命令行
步驟:開始→管理工具→組策略管理→找到對應的組織單位→創建相應OU→命名為"禁用命令行"→右擊編輯→用戶配置下→策略→管理模板→"開始"菜單和任務欄→從開始菜單中刪除"運行"菜單→強制刷新組策略(gpupdate /force)→重新啟動客戶端生效。
注意事項:此操作不收computer下計算機是否在用戶組織單位下影響。
4、發布辦公室軟件
步驟:(1)下載office (尋找PRO11.MSI)→cmd→msiexec -a+(拖拽第一步的路徑)→Enter→彈出管理員安裝→填寫產品秘鑰→放在C盤下共享文件夾下。(2)開始→管理工具→組策略管理→找到對應的組織單位→創建相應OU→命名為"禁用命令行"→右擊編輯→用戶配置下→策略→軟件設置→軟件安裝→右擊新建→數據包→網絡(此路徑必須為網絡)→源PC→找到共享文件夾下的.MSI軟件→打開→已分配(分配為強制安裝,發布時客戶端具有自主性)。
5、更改客戶端用戶密碼策略
步驟:開始→管理工具→組策略管理→找到對應的組織單位→創建相應OU→命名為"禁用命令行"→右擊編輯→計算機配置→策略→windows設置→安全設置→賬戶策略→密碼策略、密碼長度最小值等,可依據需要定制→在AD用戶與計算機→找到相應計算機重置密碼。
6、文檔共享
步驟:(1)在域控C盤下新建共享文件夾"文檔共享"→右擊共享→給everyone讀寫權限→開始→管理工具→AD用戶與計算機→選中需要漫游用戶→右擊屬性→配置文件→配置文件路徑:\192.168.1.10\文檔共享\%username%→應用確定→刷新組策略。(2)進入C盤下→右擊"文檔共享"文件夾→屬性→安全→高級→所有者→編輯→選中Administrator和(替換子容器和對象的所有者)→應用確定,重啟客戶端。(3)進入"共享文檔"→右擊用戶文件夾→屬性→安全→編輯→添加→高級→立即查找→選中對應的客戶端→確定一鍵到底→刷新組策略(guupdate /force),重啟客戶端,此時,域內添加到漫游中的可以脫離物理機,文件隨賬號漫游。
7、文件夾重定向
步驟:(1)在域控C盤下新建共享文件夾"文件"→右擊共享→給everyone讀寫權限→開始→管理工具→組策略管理→找到對應的組織單位→創建相應OU→命名為"文件夾重定向"→右擊編輯→用戶配置下→策略→windows設置→文件夾重定向→文檔→右擊屬性→目標下設置行:基本--將每個人的文件夾重定向到同一個位置(注意在右面設置選項下含增加兼容性操作)→目標文件夾位置行:在根目錄路徑下位每一用戶創建一個文件夾→根路徑行:瀏覽(注意此處應為網絡路徑)應用、確定→刷新組策略。(2)進入C盤下→右擊"文件"→屬性→安全→高級→所有者→編輯→選中administrator和替換子容器和對象的所有者→確定。再次進入"文件"→訪問用戶文件夾→右擊My Documents→右擊屬性→安全→編輯→添加→高級→立即查找→添加相應的用戶→給完整權限→確定到底。
8、禁止所有用戶加入域,只允許主管可以將計算機加入域
步驟:(1)開始→管理工具→ADSI編輯器→右擊ADSI編輯器→連接到→勾選"選擇或鍵入域服務器(s)":lv.com(域控的域名)→確定→點擊"默認命名上下文"→右擊"DC=lv,DC=com"→屬性→將"ms-DS-MachineAccountQuota"→"10"修改成"0".(2)AD用戶與計算機→右擊"市場部"(組織單位)→委派控制(E)→下一步→添加→高級→立即查找→王經理(主管)→確定→下一步→勾選要委派的任務→創建、刪除和管理用戶賬戶、重置用戶密碼并強制在下次登錄時更改密碼、讀取所有用戶信息→下一步→完成→強制刷新組策略→重新啟動客戶端。
9、禁用客戶端ip功能
步驟:開始→管理工具→組策略編輯→Default Domain Policy 右擊→編輯→計算機配置→策略→windows設置→安全設置→系統服務→Network Connections→改成自動→編輯安全設置→刪除所有組或用戶名→添加→Domain Admins、Everyone→前者給完整權限,后者給讀取權限→應用,確定→刷新全區策略,重啟客戶端。
10、設置客戶端IE主頁及其相應權限設置
步驟:(1)開始→管理工具→組策略管理→找到對應的組織單位→創建相應OU→命名為"修改主頁"→右擊編輯→用戶配置下→策略→windows設置→Internet Explor 維護→URL→重要URL→自定義主頁:http//www.google.com.hk(公司主頁)→應用,確定,刷新組策略。(2)開始→管理工具→組策略管理→找到對應的組織單位→創建相應OU→命名為"修改主頁"→右擊編輯→計算機配置下→管理模板→windows組件→Internet Explorer→Internet 控制面板→Internet 區域→安全頁→Internet 區域→允許下載等設置。
11、限制軟件使用
步驟:(1)開始→管理工具→組策略管理→找到對應的組織單位→創建相應OU→命名為"修改主頁"→右擊編輯→用戶配置下→策略→管理模板→系統(在最右側尋找策略)→不要運行指定的windows應用程序→啟用→顯示→添加應用程序的啟動項名稱(192.168.200.20/pub/sample/cal.exe)→應用,確定,刷新策略,重啟客戶端。(2)開始→管理工具→組策略管理→找到對應的組織單位→創建相應OU→命名為"修改主頁"→右擊編輯→計算機配置下→策略→windows設置→安全設置→軟件限制策略→右擊創建→安全級別→設置"不受限"為默認→進入"其他規則"→右擊新建哈希規則、路徑規則→確認到相同路徑下的軟件即可。
12、禁用注冊表編輯器、命令提示符
步驟:開始→管理工具→組策略管理→找到對應的組織單位→創建相應OU→命名為"修改主頁"→右擊編輯→用戶配置下→策略→管理模板→系統(在最右側尋找策略)→系統阻止訪問注冊表編輯工具、命令提示符→啟用→刷新組策略,重新啟動客戶端。
三、利用組策略的安全設置防御黑客入侵
(一)、給我們的IP添加安全策略
在"計算機配置"→"Windows設置"→"安全設置"→"IP 安全策略,在本地計算機"下與有與網絡有關的幾個設置項目。如果大家對Internet較為熟悉,那也可以通過它來添加或修改更多的網絡安全設置,這樣在Windows上運行網絡程序或者暢游Internet時將會更加安全。
小提示 :由于此項較為專業,其間會涉及到很多的專業概念,一般用戶用不到,在這里只是給網絡管理員們提個醒,因此在此略過。
(二)、隱藏驅動器
平時我們隱藏文件夾后,別人只需在文件夾選項里顯示所有文件,就可以看見了,我們可以在組策略里刪除這個選項:選擇"用戶配置→管理模板→Windows組件→Windows資源管理器"。
(三)、禁用指定的文件類型
在"組策略"中,我們可以禁用SHS、MSI、BAT、CMD、COM、EXE等程序文件類型,而且不影響系統的正常運行。這里假設我們要禁用注冊表的REG文件,不讓系統運行REG文件,具體操作方法如下:
1. 打開組策略,點擊"計算機配置→Windows設置→安全設置→軟件限制策略",在彈出的右鍵菜單上選擇"創建軟件限制策略",即生成"安全級別"、"其他規則"及"強制"、"指派的文件類型"、"受信任的出版商"項。
2. 雙擊"指派的文件類型"打開"指派的文件類型屬性"窗口,只留下REG文件類型,將其他的文件全部刪除,如果還有其他的文件類型要禁用,可以再次打開這個窗口,在"文件擴展名"空白欄里輸入要禁用的文件類型,將它添加上去。
3. 雙擊"安全級別→不允許的"項,點擊"設為默認"按鈕。然后注銷系統或者重新啟動系統,此策略即生效,運行REG文件時,會提示"由于一個軟件限制策略的阻止,Windows無法打開此程序"。
4.要取消此軟件限制策略的話,雙擊"安全級別→不受限的",打開"不受限的 屬性"窗口,按"設為默認值"即可。
如果你鼠標右鍵點擊"計算機配置→Windows設置→安全設置→軟件限制策略→其他規則",你會看到它可以建立哈希規則、Internet 區域規則、路徑規則等策略,利用這些規則我們可以讓系統更加安全,比如利用"路徑規則"可以為電子郵件程序用來運行附件的文件夾創建路徑規則,并將安全級別設置為"不允許的",以防止電子郵件病毒。
提示:為了避免"軟件限制策略"將系統管理員也限制,我們可以雙擊"強制",選擇"除本地管理員以外的所有用戶"。如果用你的是文件類型限制策略,此選項可以確保管理員有權運行被限制的文件類型,而其他用戶無權運行。
(四)、未經許可,不得在本機登錄
使用電腦時,我們有時要離開座位一段時間。如果有很多正在打開的文檔還沒有處理完成或者正在下載東西、掛POPO等等,為了避免有人動用電腦,我們一般會把電腦鎖定。但是在局域網中,為了方便網絡登錄,我們有時候會建立一些來賓賬戶,如果對方利用這些賬戶來注銷當前賬戶登錄到別的賬戶,那就麻煩了。既然我們不能刪除或禁用這些賬戶,那么我們可以通過"組策略"來禁止一些賬戶在本機上登錄,讓對方只能通過網絡登錄。
在"組策略"窗口中依次打開"計算機配置→Windows設置→安全設置→本地策略→用戶權限分配",然后雙擊右側窗格的"拒絕本地登錄"項,在彈出的窗口中添加要禁止的用戶或組即可實現。 如果我們想反其道而行之,禁止用戶從網絡登錄,只能從本地登錄,可以雙擊"拒絕從網絡訪問這臺計算機"項將用戶加上去。
(五)、給"休眠"和"待機"加個密碼
只有"屏幕保護"有密碼是遠遠不夠安全的,我們還要給"休眠"和"待機"加上密碼,這樣才會更安全。讓我們來給"休眠"和"待機"加上密碼吧。在"組策略"窗口中展開"用戶配置→管理模板→系統→電源管理",在右邊的窗格中雙擊"從休眠/掛起恢復時提示輸入密碼",將其設置為"已啟用",那么當我們從"待機"或"休眠"狀態返回時將會要求你輸入用戶密碼。
(六)、自動給操作做個記錄
在"計算機配置→Windows設置→安全設置→本地策略→審核策略"上,我們可以看到它可以審核策略更改、登錄事件、對象訪問、過程追蹤、目錄服務訪問、特權使用等。這些審核可以記錄下你某年某月某日某時某分某秒做過了什么操作:幾時登錄、關閉系統或更改過哪些策略等等。
我們應該養成經常在"控制面板→管理工具→事件查看器"里查看事件的好習慣。比如,當你修改過"組策略"后,系統就發生了問題,此時"事件查看器"就會及時告訴你改了哪些策略。在"登錄事件"里,你可以查看到詳細的登錄事件,知道有人曾嘗試使用禁用的賬戶登錄、誰的賬戶密碼已過期……而要啟用哪些審核,只要雙擊相應的項目,選中"成功"和"失敗"兩個選項即可。
注意:Windows XP Home Edition沒有"組策略",只有Windows XP Professional版本才有"組策略",這一點注意。
(七)、限制IE瀏覽器的保存功能
當多人共用一臺計算機時,為了保持硬盤的整潔,需要對瀏覽器的保存功能進行限制使用,那么如何才能實現呢?具體方法為:選擇"用戶設置"→"管理模板"→"Windows組件"→"Internet Explorer"→"瀏覽器菜單"分支。雙擊右側窗格中的"'文件'菜單:禁用'另存為…'菜單項",在打開的設置窗口中選中"已啟用"單選按鈕。 提示 :我們還可以對"'文件'菜單:禁用另存為網頁菜單項"、"'查看'菜單:禁用'源文件'菜單項"和"禁用上下文菜單"等策略項目進行修改,這樣我們的IE將會安全一些。
(八)、禁止修改IE瀏覽器的主頁
如果您不希望他人或網絡上的一些惡意代碼對自己設定的IE瀏覽器主頁進行隨意更改的話,我們可以選擇"用戶配置"→"管理模板"→"Windows 組件"→"Internet Explorer"分支,然后在右側窗格中,雙擊"禁用更改主頁設置"策略啟用即可。
1、提供了更改歷史記錄設置、更改顏色設置和更改Internet臨時文件設置等項目的禁用功能。如果啟用了這個策略,在IE瀏覽器的"Internet 選項"對話框中,其"常規"選項卡的"主頁"區域的設置將變灰。
2、如果設置了位于"用戶配置"→"管理模板"→"Windows 組件"→"Internet Explorer"→"Internet 控制面板"中的"禁用常規頁"策略,則無需設置該策略,因為"禁用常規頁"策略將刪除界面上的"常規"選項卡。
3、逐級展開"用戶設置"→"管理模板"→"Windows組件"→"Internet Explorer"分支,我們可以在其下發現"Internet控制面板"、"脫機頁"、"瀏覽器菜單"、"工具欄"、"持續行為"和"管理員認可的控件"等策略選項。利用它可以充分打造一個極有個性和安全的IE。
(九)、把Administrator藏起來
Windows系統默認的系統管理員賬戶名是Administrator。因此,為了避免有人惡意破解系統管理員Administrator賬戶的密碼,我們可以將Administrator改為其他名字以加強安全。點擊"開始→運行",輸入gpedit.msc,打開"組策略",如圖9所示,選擇"計算機配置→Windows設置→安全設置→本地策略→安全選項",在右邊窗格里雙擊"賬戶:重命名系統管理員賬戶"項,在上面輸入你想要的用戶名。重新啟動計算機后,輸入的新用戶名即刻生效。如果再新建一個Guest用戶,用戶名為Administrator,然后再加上十分復雜的密碼就更安全。
提示:為了避免讓人在Windows的登錄框中看到曾經登錄過的用戶名,就要雙擊"交互式登錄:不顯示上次的用戶名"子項,選擇"已啟用"將該策略啟用。這樣上次登錄到計算機的用戶名就不會顯示在Windows的登錄畫面中。
(十).禁用IE組件自動安裝
選擇"計算機配置"→"管理模板"→"Windows組件"→"Internet Explorer"項目,雙擊右邊窗口中"禁用Internet Explorer組件的自動安裝"項目,在打開的窗口中選擇"已啟用"單選按鈕,將會禁止 Internet Explorer 自動安裝組件。這樣可以防止 Internet Explorer 在用戶訪問到需要某個組件的網站時下載該組件,篡改IE的行為也會得到遏制!相對來說IE也會安全許多!
上一篇文章,我們接著來講win10、win7與XP如何共享文件和打印機的簡單方法。那就是使用共享軟件來操作。如果對大家有用,請幫忙點關注與轉發,謝謝。
局域網共享軟件
軟件打開界面
這里要解釋幾個概念:
計算機名:這個和我們人一樣,都有個名字,好方便交流。
主機名就是計算機的名字(計算機名),網上鄰居就是根據主機名來識別的,這個名字可以隨時更改,從我的電腦屬性的計算機名就可更改。
計算機名
工作組:這個和我們在單位上班是一樣的,市場部的是一個組,技術部的是一個組,研發部的是一個組,就是將不同的電腦按功能分別列入不同的組中,以方便管理。
工作組
我們必須讓電腦在同一個工作組中才能實現通信,所以在用本軟件的時候,要檢查一下是否計算機都在同個工作組里,這個很重要,請大家一定要記住。
打開軟件界面,我們會看到一排的命令按鈕,現在一個一個給大家講解
軟件界面
1、設置向導:如果你不了解怎么用軟件設置共享,那就用設置向導,軟件會一步步的引導你設置。
設置向導界面
點擊設置向導會出現“第一步”這個選項,
有密碼訪問
開啟局域網共享(對訪問本機要填用戶名和密碼)這個選項是針對電腦設置了密碼的用戶,在設置時要填寫正確的計算機名和登錄密碼。
這一項是推薦使用的方法,大部分電腦都能實現這個功能,意思如字面。
如果不想共享文件或打印機,就用這項,點一下就關閉共享。
這里我們用第二個接著說設置向導的用法。
點擊下一步,軟件會自動設置共享
這里要再次強調一下,運行軟件一定要關閉殺病毒軟件,不然會導致共享不成功。
至此,共享就設置成功了,重新啟動電腦,然后就可以打開網上鄰居,設置各種共享了。
共享文件:簡單的來講就是你的文件大家都能用,和共享單車一個道理,只不過不要付錢而已。
文件共享是指主動地在網絡上共享自己的計算機文件。一般文件共享使用P2P模式,文件本身存在用戶本人的個人電腦上。大多數參加文件共享的人也同時下載其他用戶提供的共享文件。有時這兩個行動是連在一起的。共享文件夾是指某個計算機用來和其它計算機間相互分享的文件夾,所謂的共享就是分享的意思。共享文件夾的共享方式是“控制面板-用戶帳戶-啟用來賓帳戶”。
共享打印機:我們學習這個軟件最終的目的就是為了共享打印機。當我們做完設置向導并重新啟動電腦后,就可以去做共享打印機的操作了,操個的方式請參閱win10、win7與XP如何共享文件和打印機(上),這里就不多講了,至次,我們共享的經驗就分享完了,希望對大家有用。
何處理共享打印機的一些常見問題
共享打印機
我們現在共享打印機的應用一般都是電腦都在一個局域網內,否則無法實現共享,當然也可以通過一些技術手段實現遠程共享,但是那樣意義不大。在開始說問題之前,我們需要了解打印機的共享方式,現在一些打印機帶有網絡接口支持直接插入網線,一些不帶網絡接口的打印機,一般是連接在局域網內其中一臺PC上,然后通過系統共享方式共享的。帶有網絡接口的打印機在共享方便,一般不會出現什么問題,它們只需要一根網線連接到局域網PC只需裝上驅動程序就可以了,除非你的網絡或者網線出現了問題,否則基本無故障,打印機本身故障除外。而不帶網絡接口的打印機,是通過系統共享的方式,因為各制系統不一,所以平時會出現一些問題。
問題一、操作系統不一致,引發的無法安裝驅動程序。
其實這也是常見問題,例如:甲方用XP系統,乙方用的win7,當乙方去連接甲方的打印機肯定是無法連接的,因為操作系統不一致,所需驅動程序也不一致,解決方式:脫機安裝本操作系統的驅動程序,然后在進行連接即可。有的打印機不支持脫機安裝驅動程序必須要連接打印機才能安裝驅動程序。(驅動程序:建議到官方網站下載,或者使用驅動精靈、360驅動大師等軟件安裝)(特別說明:32位和64位的操作系統驅動也是不一致的,同樣需要下載驅動程序)
問題二、共享打印機所需服務必須開啟
檢查computer broser , server , workstation這幾項的服務是否開啟,如果沒有開啟,手動開啟否則無法共享打印機
服務必須開啟
問題三、在添加打印機的時候,無法找打打印機
找不到打印機
打開網絡共享發現
解決方式:打開網絡高級共享設置,并啟用網絡發現,和打印機共享,這時就可以再次添加打印機就可以看到打印機了
問題四、共享打印機脫機
有的時候,我們之前連接過共享打印機,但是突然就不能打印了,這時需要檢查一下,是否打印機脫機了,這里的脫機不是指,真正的打印機脫機,而是指你和打印機主機連接脫機了。如果是脫機了,先進行PING一下,查看網絡是否暢通,先確定一下是不是網絡問題,如果不是網絡問題,然后打開控制面板,找到打印機查看一下,如果是這里脫機了,打印機圖標的顏色會比平時變得淺一些。解決方式:非常簡單,刪除之前連接,在重新連接一次即可。
問題五、win7打印機共享時彈出,出現0x000006d9錯誤
解決方式:打開系統服務(services.msc),找到windows firewall,啟用它就可以了。如果已經啟動請手動停止,然后再手動啟動。
啟動服務
問題六、出現0x00000709錯誤
解決方式:打開系統服務(services.msc),找到Print Spooler并重新啟動它就可以了。
問題七、主機重啟之后,每次都要重新連接,是不是覺得很麻煩
解決方式: 打開控制面板找到用戶賬戶和家庭安全添加windows憑據解決此問題,選擇憑據管理器,添加windows憑據,輸入主機電腦IP地址、賬戶和密碼,點擊確定即可。
問題八、在連接共享打印機的時候需要輸入用戶名和密碼
我們有的時候在連接共享打印機的時候會被要求輸入用戶名和密碼,但是我們共享主機根本就沒有設置密碼,這時怎么辦呢?解決方式有兩種:1.懶人的解決方式,直接給共享主機設置一個密碼就可以了,在連接時輸入共享主機的用戶名和密碼,勾上記住密碼,就可以了。2.win+r,打開運行,輸入gpedit.msc,找到計算機配置-windows設置-安全設置-本地策略,用戶權限分配-拒絕從網絡訪問這臺計算機-刪除Guest用戶。接著打開計算機管理-系統工具,本地用戶和組-用戶,啟用Guest這個用戶并在Guest上右鍵選擇屬性,去掉停用此帳戶前面的勾。最后在網絡和共享中心中打開選擇家庭和共享選項,更改高級共享設置,關閉密碼訪問共享,再點擊保存修改即可。
問題九、修改win7系統的最大連接數
win7系統是有最大連接數限制的,當超過這個數字時,就無法再連接到,我們只需要更改一下,系統的最大連接數,就可以了。解決方式:控制面板-系統和安全-管理工具-本地安全策略-安全設置-本地策略-安全選項-交互式登錄:之前登錄到緩存的次數(域控制器不可用時),本地安全設置-緩存10登陸,改為50,其次,單擊“開始”按鈕,選擇“運行”命令。在“運行”文本框中鍵入“gpedit.msc”進入“本地計算機 策略”-計算機配置-管理模板-Windows組件-遠程桌面服務-遠程桌面會話主機-連接-限制連接的數量-已啟動-允許的DR最大連接數,改為50。
首先驅動要在官網下載 所有滿足條件都要檢查 打印機服務 共享啟用 防火墻關閉 同網段 當然跨網段也行 要路由支持靜態路由表 系統改host也能實現
帶網口IP的打印機共享也不是那么容易的,我單位的IP是動態分配的,但打印機的IP是靜態的,當別的電腦占有了打印機的IP,因IP沖突,共享就會失敗。
3種方式,實現辦公局域網的打印機共享:
使用操作系統的共享打印功能
使用網絡打印機,可以支持有線和無線打印功能
普通打印機+打印服務器,組成網絡打印機
方式1:使用電腦的共享功能
這種方式是最常規的方式,配置連接打印機的電腦共享打印機,這種方式有個缺點是不能跨網段打印,比如劃分了VLAN的辦公網絡,不同VLAN的電腦是無法共享打印機的;
step1:開啟guest賬號
由于需要共享打印機,需要開啟guest賬號,用戶通過guest賬號登陸的方式使用共享打印服務。
step2:設置共享目標打印機
依次點擊“開始”,“設備和打印機”,右擊需要共享的打印機,“打印機屬性”,“共享”,“共享這臺打印機”,設置共享名稱。
step3:共享設置
在電腦桌面右下角的網絡連接圖標右擊,選擇“打開網絡和共享中心”,單擊”選擇家庭組合共享選項“,”更改高級共享設置“。
step4:設置工作組
添加目標共享打印機之前,需要局域網內的電腦屬于同一個工作組,依次點擊”開始“,右擊”計算機“,”屬性“,”更改設置“,設置同一個局域網的工作組名稱一致。
方式2:使用網絡打印機
網絡打印機需要打印機設備的支持,這類打印機通常有網線接口,連接到局域網中,實現網絡打印功能,很多網絡打印機提供了無線打印功能;
網絡打印機的安裝就不多說了,安裝驅動、設置網絡打印機的IP地址、保證網絡可以ping通。
無線打印功能
設置打印機的無線打印功能,在打印機的操作面板選擇選擇“無線”符號,進行無線連接的設置,搜索局域網WiFi的SSID,輸入無線密碼,完成連接即可;
設置完成之后,手機端可以使用AirPring、Mopria等app進行無線打印了。
方式3:普通打印機+打印服務器
在網絡上有很多打印服務器可以選擇,打印服務器的體積跟普通的無線路由器差不多,不需要專用的打印電腦,通過打印機的USB接口連接到打印服務器,就可以實現網絡打印機的功能;
通過打印服務器可以實現有線和無線打印服務,并且支持跨網打印,還有很多個性化的服務,是一個不錯的選擇。
?共享打印機的使用
無論是通過操作系統共享打印、還是網絡打印機,共享打印機的連接方式是一樣的,通過控制面板添加打印機。
使用操作系統自帶的共享打印機,需要使用電腦連接打印機,并且無法跨VLAN使用,很多單位的局域網根據部門不同劃分了VLAN,那么不同VLAN之間是無法實現打印機共享的;
網絡打印機自帶操作系統,并且可以跨網段使用,并且支持無線打印功能,缺點是成本比較高,需要更換網絡打印機;
普通打印機+打印服務器,將普通的打印機組合成網絡打印機,可以低成本實現網絡打印機,而且可以脫離電腦。
分步閱讀
win10局域網打印機共享設置流程,打印機共享去掉用戶名密碼驗證,無法訪問問題