Windows高手的选择:利用组策略加强安全性
技巧与实践
组策略是系统策略的高级扩展,它是管理员为用户和计算机控制程序、网络资源、系统、Windows组件的主要工具,它可对系统的各种特殊属性进行设置,简单地理解就是:组策略是调整注册表的一个所见即所得编辑器。系统高手们往往不仅擅长玩弄注册表,他们还经常通过组策略完成一些系统的高级调整与修改。下面我们就介绍三招,利用组策略提升系统安全性。
第一招:清理IE上网痕迹
在WinXP系统中,关于组策略“Internet Explorer维护”的技巧有很多,我们可以进行个性化的设置。其中,可以通过添加脚本的方法,实现在退出IE时对上网痕迹进行自动清理。具体方法是找一台Win2000操作系统,将Deltree.exe文件复制到WinXP系统的system32目录下,用记事本编写一个如图所示的脚本文件,并保存为.bat批处理文件。在“开始→运行”中输入“gpedit.msc”打开组策略,依次进入“用户配置→Windows设置→脚本(登录/注销)”,双击右边窗口中的“注销”,在“添加”项目中导入刚才编写的脚本文件即可。
第二招:禁用指定软件程序
在组策略中,可以对注册表、光驱进行禁用,对磁盘分区进行隐藏等一些设置。这些功能在Win2000中就能实现。在WinXP系统中还增加了对软件的限制策略。在此我们以常用软件QQ为例进行实例说明。
打开组策略,依次进入“计算机配置→Windows设置→安全设置→软件限制策略→其它规则→新路径规则”,点击“浏览”选项找到QQ安装目录中的“QQ.exe”文件,在“安全级别”下选择“不允许”。重启计算机后,别人就无法用QQ了。若要重新使用QQ,把安全级别选为“不受限的”即可。
第三招:打造系统防火墙
在“组策略”中我们可以打造一个系统防火墙。在默认情况下,Windows有很多端口是开放的, 网络病毒和黑客可以通过这些端口连上你的电脑。现在我们以封闭80端口为例进行演示:在“计算机配置”的“IP安全策略”中创建一个新的 IP 安全策略,在“属性”中添加“筛选器列表”,在“编辑规则属性”中选择“新IP筛选器列表”对话框并点击“添加”。
现在用三个步骤屏蔽80端口。第一步寻址,源地址选“任何 IP 地址”,目标地址选“我的 IP 地址”;第二步选协议,选择 “TCP”,在“到此端口”下的文本框中输入“80”;第三步创建,返回进入“编辑规则属性”的“筛选器操作”,选择“请求安全(可选)”,确定后返回,再对“创建 IP 安全策略”选择“指派”。这样就对TCP的80端口的服务进行了屏蔽,因为端口80是HTTP的协议,提供WWW服务,因而屏蔽之后HTTP协议的网站也将无法打开了(要重新开放可对以上各项进行修改和删除)。同理我们也可对一些木马入侵的端口进行屏蔽,让一些木马靠边站。
