針對Windows7(以下簡稱Win7)的優化設置方法也層出不窮,用戶往往是東拼西湊,沒個頭緒,而且這些方法更是真偽難辨,效果到底如何也無從知曉。其實利用Win7的系統組策略功能,就可以實現Win7的系統優化。本文為大家講解如何利用組策略,讓Win7變得更安全。
注:組策略功能只在Win7專業版、旗艦版和企業版中提供。
文件保密給驅動器穿上隱身衣
驅動器主要包括硬盤、光驅和移動設備等,主要用於存儲數據等。因此,限制驅動器的使用,可以有效防止重要和機密的信息外洩,阻擊病毒和木馬的入侵,十分必要。驅動器不同,限制方法也不同,而且同一種驅動器也有不同的限制級別。就說硬盤吧,一般有隱藏和禁止訪問兩種級別。隱藏級別比較初級,只是讓驅動器不可見,一般用於防范小孩和初級用戶,而禁止訪問則可徹底阻止驅動器的訪問。對於移動設備,可以選擇設置讀、寫和執行權限,不過病毒和木馬一般通過執行惡意程序來傳播,因此禁止執行權限才最有效。
初級防御普通用戶看不到
家裡電腦硬盤上有一些重要文件,不想讓別人看到,最簡單的辦法就是把文件所在的驅動器隱藏起來。點擊“開始”,在搜索框中輸入“gpedit.msc”,確認後即打開了組策略編輯器,依次展開“用戶配置→管理模板→Windows組件→Windows資源管理器”,在右邊設置窗口中,進入“隱藏‘我的電腦’中這些指定的驅動器”,選擇“已啟用”,在下面的下拉列表中選擇需要隱藏的驅動器,然後確定。再進入“計算機”,剛才選擇的驅動器圖標就不見了。
提示:這個方法只是隱藏驅動器圖標,用戶仍可使用其他方法訪問驅動器的內容,如在地址欄中直接鍵入驅動器上的目錄路徑。另外,此設置不會阻止用戶使用程序訪問這些驅動器或其內容。
高級防御特權用戶才能用
系統盤裡面有重要的系統文件,不能讓別人隨便修改或移動。特別是有些分區存有重要文件時,如果只是隱藏驅動器,別人還是能夠訪問,這樣當然不行!最安全的方法就是把相關驅動器保護起來,禁止無權限的用戶訪問。
同樣,在組策略管理器當中依次展開“用戶配置→管理模板→Windows組件→Windows資源管理器”,進入“防止從‘我的電腦’訪問驅動器”,選擇“已啟用”,在下面的下拉列表中選擇需要禁止訪問的驅動器,確定後即可生效(如圖1所示)。別人再想訪問相關驅動器時,會出現“限制”的提示窗口!當自己需要查看時,只要把相關的策略設置從“已啟用”改成“未配置”即可。
提示:如何阻止其他人使用組策略編輯呢?很簡單,通過建立不同權限的用戶,讓其他人使用普通User類型的賬戶(無權開啟組策略編輯器)就可以了。
針對Windows7(以下簡稱Win7)的優化設置方法也層出不窮,用戶往往是東拼西湊,沒個頭緒,而且這些方法更是真偽難辨,效果到底如何也無從知曉。其實利用Win7的系統組策略功能,就可以實現Win7的系統優化。本文為大家講解如何利用組策略,讓Win7變得更安全。
注:組策略功能只在Win7專業版、旗艦版和企業版中提供。
文件保密給驅動器穿上隱身衣
驅動器主要包括硬盤、光驅和移動設備等,主要用於存儲數據等。因此,限制驅動器的使用,可以有效防止重要和機密的信息外洩,阻擊病毒和木馬的入侵,十分必要。驅動器不同,限制方法也不同,而且同一種驅動器也有不同的限制級別。就說硬盤吧,一般有隱藏和禁止訪問兩種級別。隱藏級別比較初級,只是讓驅動器不可見,一般用於防范小孩和初級用戶,而禁止訪問則可徹底阻止驅動器的訪問。對於移動設備,可以選擇設置讀、寫和執行權限,不過病毒和木馬一般通過執行惡意程序來傳播,因此禁止執行權限才最有效。
初級防御普通用戶看不到
家裡電腦硬盤上有一些重要文件,不想讓別人看到,最簡單的辦法就是把文件所在的驅動器隱藏起來。點擊“開始”,在搜索框中輸入“gpedit.msc”,確認後即打開了組策略編輯器,依次展開“用戶配置→管理模板→Windows組件→Windows資源管理器”,在右邊設置窗口中,進入“隱藏‘我的電腦’中這些指定的驅動器”,選擇“已啟用”,在下面的下拉列表中選擇需要隱藏的驅動器,然後確定。再進入“計算機”,剛才選擇的驅動器圖標就不見了。
提示:這個方法只是隱藏驅動器圖標,用戶仍可使用其他方法訪問驅動器的內容,如在地址欄中直接鍵入驅動器上的目錄路徑。另外,此設置不會阻止用戶使用程序訪問這些驅動器或其內容。
高級防御特權用戶才能用
系統盤裡面有重要的系統文件,不能讓別人隨便修改或移動。特別是有些分區存有重要文件時,如果只是隱藏驅動器,別人還是能夠訪問,這樣當然不行!最安全的方法就是把相關驅動器保護起來,禁止無權限的用戶訪問。
同樣,在組策略管理器當中依次展開“用戶配置→管理模板→Windows組件→Windows資源管理器”,進入“防止從‘我的電腦’訪問驅動器”,選擇“已啟用”,在下面的下拉列表中選擇需要禁止訪問的驅動器,確定後即可生效(如圖1所示)。別人再想訪問相關驅動器時,會出現“限制”的提示窗口!當自己需要查看時,只要把相關的策略設置從“已啟用”改成“未配置”即可。
提示:如何阻止其他人使用組策略編輯呢?很簡單,通過建立不同權限的用戶,讓其他人使用普通User類型的賬戶(無權開啟組策略編輯器)就可以了。
權限管理給系統配上火眼金睛
現在有些軟件真流氓,例如很多軟件美其名曰為了方便別人使用,卻會在軟件打包或者綠化的過程中惡意捆綁一些程序或者將一些網頁也打包進去。方法一般很低級,無非是通過批處理文件和手動注入注冊表信息來實現,因此我們可以利用組策略來禁止一些危險類型的文件運行。此外一些公共場所(如辦公室等),很多軟件都是不允許使用的(如聊天軟件等),那麼管理人員也可以利用組策略來實現有效地管理。
禁止危險文件運行
有些類型的文件(如“.reg”注冊表文件和“.bat”批處理文件)一般用戶很少用得上,而且又很容易被病毒或木馬利用,因此禁止這些類型的文件運行就可以在一定程度上保障計算機的安全。
依次展開“計算機配置→Windows設置→安全設置→軟件限制策略”,在彈出的右鍵菜單上選擇“創建軟件限制策略”,會自動生成“安全級別”、“其他規則”、“強制”、“指定的文件類型”和“受信任的發布者”五項。進入“指定的文件類型”的屬性窗口,只留下需要禁止的文件類型,例如“bat批處理文件”,將其他的文件類型全部刪除。如果類型不在列表中,就直接在下面的“文件擴展名”文本框中輸入要禁用的文件類型,添加進去即可。再進入“安全級別→不允許”,點擊“設為默認”按鈕,此策略即生效。再運行任何批處理文件時,就會被阻止執行。
禁用程序穿上馬甲我也認識你
除此之外,很多公司都不允許使用聊天軟件。以QQ為例,如果直接卸載QQ,使用者還可能再安裝,或者把軟件安裝到其他位置。此時不妨利用組策略來輕松搞定。
依次展開“計算機配置→Windows設置→安全設置→軟件限制策略→其他規則”,選擇“新建哈希規則”(如圖4所示)。點擊“浏覽”選擇QQ的執行文件“QQ.exe”,“文件信息”下面第一行就是生成的哈希值,這個值是唯一的,下面還會顯示出文件的基本信息,“安全級別”選擇“不允許”。確認、注銷後,再次登錄,設置即可生效。
提示:采用哈希規則的好處是不管程序被改名或是移動位置或其他任何操作,只要哈希值被驗證一致,那麼限制就不會失效!因此可以有效限制某些軟件的運行。