禁用指定的文件类型
网络安全
在日常工作中,系统中的很多文件都可能给系统带来威胁,比如SHS、MSI、BAT、CMD、COM、EXE等程序文件类型。其实我们完全可以利用系统的组策略功能,来禁用这些危险的文件类型。
这样操作不但可以保证系统的安全,而且不会影响系统的正常运行。这里假设我们要禁用批处理格式BAT文件,不让系统运行BAT格式的文件,具体的策略组设置方法如下:
第一步:首先点击开始菜单中的“运行”命令,输入“gpedit.msc”打开组策略。接着点击“计算机配置→Windows设置→安全设置→软件限制策略”,然后在弹出的右键菜单上选择“创建软件限制策略”,即可生成“安全级别”、“其他规则”、“强制”、“指派的文件类型”、“受信任的出版商”等选项。
第二步:双击“指派的文件类型”选项,在弹出的“指派的文件类型属性”窗口,将“指定的文件类型”列表中将其他的文件全部删除,只留下BAT文件类型。如果还有其他的文件类型要禁用,可以再次打开这个窗口,在“文件扩展名”空白栏里输入要禁用的文件类型,将它添加上去。
第三步:双击“安全级别”中的“不允许的”选项,在弹出的“不允许的属性”窗口中,点击“设为默认值”按钮。然后注销系统或者重新启动系统,此策略即可生效。以后再运行BAT文件时,系统就会出现提示“由于一个软件限制策略的阻止,Windows无法打开此程序”。
为了避免“软件限制策略”将系统管理员也限制,我们可以双击“强制”选项,在弹出的窗口选择“除本地管理员以外的所有用户”。如果用的是文件类型限制策略,此选项可以确保管理员有权运行被限制的文件类型,而其他用户无权运行。
第四步:如果用户要取消此软件限制策略的话,双击“安全级别”中的“不受限的”选项,在弹出的“不受限的属性”窗口中,点击“设为默认值”按钮即可。
其实用户鼠标右键点击“软件限制策略→其他规则”,就会看到它可以建立新证书规则、新散列规则、新Internet区域规则、新路径规则等策略,利用这些规则我们可以让系统更加安全。
比如利用“新路径规则”可以为电子邮件程序用来运行附件的文件夹创建路径规则,并将安全级别设置为“不允许的”,以防止电子邮件病毒。