组策略应用
組策略(gpedit.msc)
1、隱藏不必要的桌面圖標
2、禁止對桌面的改動
3、啟用或禁止活動桌面
4、給“開始”菜單減肥
5、保護好“任務欄”和“開始”菜單的設置
1. 禁止訪問“控制面板”
2、隱藏或禁止“添加/刪除程序”項
3、隱藏或禁止“顯示”項
1、登錄時不顯示歡迎屏幕界面
2、禁用注冊表編輯器
3、關閉系統自動播放功能
4、關閉Windows自動更新
5、刪除任務管理器
1、刪除“文件夾選項”
2、隱藏“管理”菜單項
1、限制IE瀏覽器的保存功能
2、給工具欄減肥
3、在IE工具欄添加快捷方式
4、讓IE插件不再騷擾你
5、保護好你的個人隱私
6、禁止修改IE瀏覽器的主頁
7、禁用導入和導出收藏夾
1、密碼策略
2、用戶權利指派
3、文件和文件夾設置審核
4、Windows 98訪問Windows XP共享目錄被拒絕的問題解決
5、阻止訪問命令提示符
6、阻止訪問注冊表編輯工具
一、桌面項目設置
在“組策略”的左窗口依次展開“用戶配置”→“管理模板”→“桌面”節點,便能看到
有關桌面的所有設置。此節點主要作用在于管理用戶使用桌面的權利和隱藏桌面圖標。
1、隱藏不必要的桌面圖標
桌面上的一些快捷方式我們可以輕而易舉地刪除,但要刪除“我的電腦”、“回收站”、
“網上鄰居”等默認圖標,就需要依靠“組策略”了。例如要刪除“我的文檔”,只需在
“刪除桌面上的‘我的文檔’圖標”一項中設置即可。若要隱藏桌面上的“網上鄰居”和
“Internet Explorer”圖標,只要在右側窗格中將“隱藏桌面上‘網上鄰居’圖標”和“
隱藏桌面上的Internet Explorer圖標”兩個策略選項啟用即可;如果隱藏桌面上的所有圖
標,只要將“隱藏和禁用桌面上的所有項目”啟用即可;當啟用了“刪除桌面上的‘我的
文檔’圖標”和“刪除桌面上的‘我的電腦’圖標”兩個選項以后,“我的電腦”和“我
的文檔”圖標將從你的電腦桌面上消失了;如果在桌面上你不再喜歡“回收站”這個圖標
,那么也可以把它給刪除,具體方法是將“從桌面刪除回收站”策略項啟用。
2、禁止對桌面的改動
利用組策略可達到禁止別人改動桌面某些設置的目的。“禁止用戶更改‘我的文檔’路徑
”項可防止用戶更改“我的文檔”文件夾的路徑。“禁止添加、拖、放和關閉任務欄的工
具欄”項可阻止用戶從桌面上添加或刪除任務欄。雙擊啟用“退出時不保存設置”后,用
戶將不能保存對桌面的更改。最后,雙擊啟用“隱藏和禁用桌面上的所有項目”設置項,
將從桌面上刪除圖標、快捷方式以及其他默認的和用戶定義的所有項目,連桌面右鍵菜單
都將被禁止。
3、啟用或禁止活動桌面
利用“Active Desktop”項,可根據自己的需要設置活動桌面的各種屬性。“啟用活動桌
面”項可啟用活動桌面并防止用戶禁用它。“活動桌面墻紙”項可指定在所有用戶的桌面
上顯示的桌面墻紙。而啟用“不允許更改”項便可防止用戶更改活動桌面配置。
4、給“開始”菜單減肥
Windows XP的“開始”菜單的菜單項很多,可通過組策略將不需要的刪除掉。提供了刪除
“開始”菜單中的公用程序組、“我的文檔”圖標、“文檔”菜單、“網絡連接”、“收
藏夾”菜單、“搜索”菜單、“幫助”命令、“運行”菜單、“圖片收藏”圖標、“我的
音樂”圖標和“網上鄰居”圖標等策略。只要將不需要的菜單項所對應的策略啟用即可。
以刪除開始菜單中的“我的文檔”圖標為例看看其具體操作方法:在右邊窗口中雙擊“從
‘開始’菜單上刪除‘我的文檔’圖標”項,在彈出對話框的“設置”標簽中點選“已啟
用”,然后單擊“確定”,這樣在“開始”菜單中“我的文檔”圖標將會隱藏。
5、保護好“任務欄”和“開始”菜單的設置
倘若不想隨意讓他人更改“任務欄”和“開始”菜單的設置,只要將右側窗格中的“阻止
更改‘任務欄和「開始」菜單’設置”和“阻止訪問任務欄的上下文菜單”兩個策略項啟
用即可。這樣,當用鼠標右鍵單擊任務欄并單擊“屬性”時,系統會出現一個錯誤消息,
提示信息是某個設置禁止了這個操作。
二、隱藏或禁止控制面板項目
這里講到的控制面板項目設置是指配置控制面板程序的各項設置,主要用于隱藏或禁止控
制面板項目。在組策略左邊窗口依次展開“用戶配置”→“管理模板”→“控制面板”項
,便可看到“控制面板”節點下面的所有設置和子節點。
1. 禁止訪問“控制面板”
如果您不希望其他用戶訪問計算機的“控制面板”,您只要運行組策略編輯器(gpedit.m
sc),在左側窗格中逐極展開“‘本地計算機’策略”→“用戶配置”→“管理模板”→
“控制面板”分支,然后將右側窗格的“禁止訪問控制面板”策略啟用即可。此項設置可
以防止“控制面板”程序文件(Control.exe)的啟動。其結果是,他人將無法啟動“控制
面板”(或運行任何“控制面板”項目)。另外,這個設置將從“開始”菜單中刪除“控
制面板”。同時這個設置還從 Windows 資源管理器中刪除“控制面板”文件夾。
2、隱藏或禁止“添加/刪除程序”項
展開“添加/刪除程序”項:雙擊啟用“刪除‘添加/刪除程序’程序”設置項后,控制面
板中的“添加/刪除程序”項將被刪除。此外在“添加或刪除程序”對話框中共有3個頁面
:“更改或刪除程序”、“添加新程序”以及“添加/刪除Windows組件”;而當你進入“
添加新程序”頁面時,會發現有3個選項:“從CD-ROM或軟盤添加程序”、“從 Microsof
t添加程序”以及“從網絡中添加程序”,如果你想這些具體頁面或選項隱藏,可直接在組
策略“添加/刪除程序”項中將相應隱藏功能啟用。
3、隱藏或禁止“顯示”項
展開“顯示”項,發現這一項和上一項一樣,可隱藏“顯示屬性”對話框中的選項卡。這
里就不細講了,例如雙擊啟用“隱藏‘桌面’選項卡”后,“顯示窗口”中將不再出現“
桌面”項。此外,在這里用戶還可啟用“刪除控制面板中的‘顯示’”,這樣在控制面板
中雙擊打開“顯示”項時,就會彈出一個對話框提示你:系統管理員禁止使用“顯示”控
制面板。
4、其他
依次展開“顯示”→“桌面主題”項,雙擊啟用“刪除主題選項”、“阻止選擇窗口和按
鈕式樣”、“禁止選擇字體大小”項后,可阻止他人更改主題、窗口和按鈕式樣、字體。
展開“打印機”項,雙擊啟用“阻止添加打印機”或“阻止刪除打印機”可防止別的用戶
添加或刪除打印機。最后,直接在“控制面板”一項下啟用“禁止訪問控制面板”,控制
面板將無法啟動。
三、系統項目設置
這一項在“用戶配置”→“管理模板”→“系統”中設置(圖15)。組策略中對系統的設
置涉及到登錄、電源管理、組策略、腳本等很多項目,下面把和我們聯系緊密的部分清理
出來分類列舉如下:
1、登錄時不顯示歡迎屏幕界面
Windows 2000和Windows XP系統登錄時默認情況下都有歡迎屏幕,雖然漂亮但也麻煩且延
長登錄時間,通過組策略便可將其除去。雙擊啟用“系統”節點下的“登錄時不顯示歡迎
屏幕”,則每次用戶登錄時歡迎屏幕將隱藏。
2、禁用注冊表編輯器
為防止他人修改注冊表,可在組策略中禁止訪問注冊表編輯器。雙擊啟用“系統”節點下
的“阻止訪問注冊表編輯器”項后,用戶試圖啟動注冊表編輯器時,系統將提示:注冊編
輯已被管理員停用(圖16)。另外,如果你的注冊表編輯器被鎖死,也可雙擊此設置,在
彈出對話框的“設置”標簽中點選“未被配置”項,這樣你的注冊表便解鎖了。如果要防
止用戶使用其他注冊表編輯工具打開注冊表,請雙擊啟用“只運行許可的Windows應用程序
”。
3、關閉系統自動播放功能
一旦你將光盤插入光驅中,Windows XP就會開始讀取光驅,并啟動相關的應用程序。這樣
雖然給我們的工作帶來了便利,在某些時候也帶來了不少麻煩。在“系統”節點下有一項
為“關閉自動播放”設置項,雙擊其并在彈出對話框的“設置”標簽中點選“已啟用”,
在“關閉自動播放”框中選擇“CD-ROM啟動器”或“所有驅動器”項即可。
注意:此設置不阻止自動播放音樂CD。
4、關閉Windows自動更新
每當用戶連接到Internet,Windows XP就會搜索用戶計算機上的可用更新,根據配置的具
體情況,在下載的組件準備好安裝時或在下載之前,給用戶以提示。如果你不喜歡比爾老
大這種自作主張的態度,可通過組策略關閉這一功能。只須雙擊“系統”節點下的“Wind
ows自動更新”設置項,在彈出來的對話框中點選“已禁用”并確定即可。
5、刪除任務管理器
若Windows XP用戶已取消“使用歡迎屏幕”項,若同時按下“Ctrl+Alt+Del”鍵,便會彈
出一個“Windows安全”對話框,此對話框中有“鎖定計算機”、“注銷”、“關機”、“
更改密碼”、“任務管理器”、“取消”6個功能按鈕。大家都知道這里的每個按鈕對系統
都起著關鍵的作用。為了阻止別人操作,可通過組策略屏蔽這些按鈕。
找到“系統”下的“Ctrl+Alt+Del選項”,雙擊啟用“刪除任務管理器”、“刪除‘鎖定
計算機’”、“刪除改變密碼”、“刪除注銷”項便能屏蔽掉“Windows安全”對話框的“
任務管理器”、“鎖定計算機”、“更改密碼”、“取消”4個功能按鈕。
注意:“注銷”、“關機”兩個菜單項的屏蔽,在“用戶配置”→“管理模板”→“任務
欄和‘開始’菜單”節點下。
四、隱藏或刪除Windows XP資源管理器中的項目
一直以來,資源管理器就是Windows系統中最重要的工具,如何高效、安全地管理資源也一
直是電腦用戶的不懈追求。依次展開“用戶配置”→“管理模板”→“Windows組件”→“
Windows資源管理器”項,可以看到“Windows資源管理器”節點下的所有設置。下面就來
看看怎樣通過組策略實現資源管理器個性化
1、刪除“文件夾選項”
“文件夾選項”是資源管理器中一個重要的菜單項,通過它可修改文件的查看方式,編輯
文件類型的打開方式。我們自己對其設定好后,為了防止他人隨意更改,可將此菜單項刪
除,你只須雙擊啟用“從‘工具’菜單刪除‘文件夾選項’菜單”便能完成這一設置。
2、隱藏“管理”菜單項
在資源管理器中右鍵單擊“我的電腦”出現的快捷菜單中有一個“管理”菜單項,通過此
菜單項,可以打開一個包含“事件查看器”、“本地用戶和組”、“設備管理器”、“磁
盤管理”等眾多工具的“計算機管理”窗口。為了保障你的計算機免受他人無意破壞,可
通過雙擊啟用“隱藏Windows資源管理器上下文菜單上的‘管理’項目”項來屏蔽此菜單項
。
3、其他項目的隱藏
此外通過啟用“隱藏‘我的電腦’中的這些指定的驅動器”可隱藏你指定的驅動器。還可
通過啟用“‘網上鄰居’中不含‘整個網絡’”屏蔽掉“整個網絡”項。雙擊啟用“刪除
CD燒錄功能”刪除Windows XP自帶的光盤刻錄功能。雙擊啟用“不要將已刪除的文件移到
‘回收站’”則以后刪除文件時將不進入回收站直接刪除掉。當然還有不少項目這里沒有
講到,大家可根據需要自行探討,進行適當的配置。
五、IE瀏覽器項目設置
在組策略左邊窗口中依次展開“用戶配置”→“管理模板”→“Windows組件”→“Inter
net Explorer”項,在右邊窗口中便能看到“Internet Explorer”節點下的所有設置和子
節點。IE是Windows XP自帶的網頁瀏覽器,也是大多數用戶采用的瀏覽器,但其安全性也
為人所詬病,下面就通過組策略來對其進行“改造”。
1、限制IE瀏覽器的保存功能
當多人共用一臺計算機時,為了保持硬盤的整潔,需要對瀏覽器的保存功能進行限制使用
,那么如何才能實現呢?具體方法為:選擇“用戶設置”→“管理模板”→“Windows組件
”→“Internet Explorer”→“瀏覽器菜單”分支,然后將右側窗格中的“‘文件’菜單
:禁用‘另存為…’菜單項”、“‘文件’菜單:禁用另存為網頁菜單項”、“‘查看’
菜單:禁用‘源文件’菜單項”和“禁用上下文菜單”等策略項目啟用即可。
另外,倘若您不希望別人對IE瀏覽器的設置進行隨意更改,您只要將“‘工具’菜單:禁
用‘Internet選項…’”策略啟用即可。另外,根據您個人的需要,在該窗格中還可以對
其他項目進行禁用。
2、給工具欄減肥
倘若您要隱藏工具欄中的工具按扭,具體方法是:選擇“用戶設置”→“管理模板”→“
Windows組件”→“Internet Explorer”→“工具欄”分支,然后在右側窗格中雙擊“配
置工具欄按扭”策略,彈出“配置工具欄按扭屬性”窗口,在“設置”選項卡中選擇“已
啟用”單選按扭,將列表中將要顯示按扭名稱前面的復選框打上勾選標記,若要隱藏某些
按扭,則不要將其前面的復選框進行勾選。然后單擊“確定”按扭即可
3、在IE工具欄添加快捷方式
不知道大家注意到了沒有,不少軟件在安裝完之后都會在IE工具欄上添加圖標,單擊其便
能啟用相應程序。其實用組策略可以在IE工具欄上為任何程序添加快捷方式,這里舉例說
明如何添加一個ICQ的啟動圖標。展開“Internet Explorer維護”下的“瀏覽器用戶界面
”,雙擊“瀏覽器工具欄自定義”設置項,在彈出來的對話框中單擊“添加”按鈕,在“
瀏覽器工具欄按鈕信息”對話框的“工具欄標題”中輸入:ICQ,在“工具欄操作”中輸入
D:\Fun\ICQLite\ICQLite.exe,然后再隨便選擇一個“顏×××標”和“灰度圖標”,當然
你也可以用ExeScope等來提取ICQ的圖標)。單擊“確定”后IE工具欄中便多了一個ICQ圖
標!
4、讓IE插件不再騷擾你
我們平常上網瀏覽網頁時,總會彈出一些諸如“是否安裝Flash插件”、“是否安裝3721網
絡實名”的提示,就像廣告窗口一樣煩人。實際上我們可在組策略中通過啟用“Internet
Explorer”節點下的“禁用Internet Explorer組件的自動安裝”來禁止這種提示的出現
。不過有時這一功能也是很用的,所以在禁止此功能之前請稍加考慮。
5、保護好你的個人隱私
一般通過單擊IE工具欄上的“歷史”按鈕,便可了解以前瀏覽過的網頁和文件。為保密起
見,你可以通過雙擊啟用“Internet Explorer”節點下的“不要保留最近打開文檔的記錄
”和“退出時清除最近打開的文檔記錄”兩個設置項,這樣再單擊IE工具欄上的“歷史”
按鈕,你訪問過的歷史網頁記錄將全部消失。
6、禁止修改IE瀏覽器的主頁
如果不希望他人對你的主頁進行修改,可啟用“Internet Explorer”節點下的“禁用更改
主頁設置”設置項禁止別人更改你的主頁。你也可通過訪問“瀏覽器菜單”,啟用其中的
設置項對IE瀏覽器的若干菜單項進行屏蔽。最后,在“Internet控制面板”節點下,你還
可對“Internet選項”對話框中的部分選項卡進行隱藏。
倘若啟用了這個策略,在IE瀏覽器的“Internet 選項”對話框中,其“常規”選項卡的“
主頁”區域的設置將變灰。
特別提示:如果設置了位于“用戶配置”→“管理模板”→“Windows 組件”→“Intern
et Explorer”→“Internet 控制面板”中的“禁用常規頁”策略,則無需設置該策略,
因為“禁用常規頁”策略將刪除界面上的“常規”選項卡。
7、禁用導入和導出收藏夾
禁止用戶使用“導入/導出向導”菜單項導入或導出收藏夾鏈接。\用戶配置\管理模板\Wi
ndows組件\Internet Explorer。
如果啟用該策略,“導入/導出向導”菜單項將無法導入/導出收藏夾鏈接和Cookie。如果
禁用該功能或不對其進行配置,則用戶可以通過單擊“文件”菜單上的“導入和導出”菜
單項,然后運行“導入/導出向導”,導入/導出IE中的收藏夾。
注意:如果啟用該策略,用戶仍然可以查看“導入/導出向導”,但當用戶單擊“完成”按
鈕時,將出現說明該功能已被禁用的提示信息。
六、系統安全/共享/權限設置
自有計算機以來,安全一直就是人們關注的焦點問題,Windows XP也不例外。在組策略中
,系統安全配置一般在“計算機配置”→“Windows設置”→“安全設置”中進行。
1、密碼策略
這一策略在“賬戶策略”→“密碼策略”節點中配置。口令是系統安全的一大隱患,可通
過組策略設置密碼(口令)的最小長度:雙擊啟用“密碼必須符合復雜性要求”設置項,
確定后雙擊“密碼長度最小值”設置項,在彈出來的對話框中將密碼長度最小值設為8或更
大,這樣以后設置賬戶密碼時就必須輸入8位以上,安全性就高多了。
2、用戶權利指派
展開“本地策略”→“用戶權利指派”節點,在右邊窗口中便能看到“用戶權利指派”節
點下的所有設置。合適地指派用戶權利可以解決一些奇怪的問題,例如在局域網中使用Wi
ndows XP系統的朋友一般會發現一個奇怪的現象,那就是即使你啟用guest用戶并給予權限
,局域網中的其他Win9X操作系統的用戶還是無法訪問Windows XP系統中的共享資源。這個
問題可在組策略中通過修改有關設置解決:雙擊“用戶權利指派”節點下的“拒絕從網絡
訪問這臺計算機”設置項,在彈出對話框中點選“guest”,然后單擊“刪除”,最后確定
即可。在“用戶權利指派”節點下還可給用戶添加許多權限,例如給guest添加遠程關機權
限、給一般用戶添加更改系統時間的權限。
3、文件和文件夾設置審核
Windows XP Professional可以使用審核跟蹤用于訪問文件或其他對象的用戶賬戶、登錄嘗
試、系統關閉或重新啟動以及類似的事件。審核文件、文件夾(只適用于 NTFS文件系統)
可以保證文件和文件夾的安全。在審核發生之前,您必須使用“組策略”指定要審核的事
件類型。為文件和文件夾設置審核的步驟如下。
a.單擊選擇“開始”→“運行”命令,在彈出的“運行”對話框中鍵入“gpedit.msc”命
令,然后單擊“確定”按扭即可;當然你也可以在桌面上創建一個相應的快捷方式。
b.在彈出的“組策略”窗口中,逐級展開右側窗格中的“計算機配置”→“Windows設置”
→“安全設置”→“本地策略”分支,然后在該分支下選擇“審核策略”選項。
c.在右側窗格中用鼠標雙擊“審核對象訪問”選項,在彈出的“本地安全策略設置”窗口
中,將“本地策略設置”框內的“成功”和“失敗”復選框都打上勾選標記。如圖12所示
。然后單擊“確定”按扭
d.用鼠標右鍵單擊想要審核的文件(或文件夾)。選擇快捷菜單的“屬性”命令,然后在
彈出的窗口中選擇“安全”選項卡。
e.單擊“高級”按扭,然后選擇“審核”選項卡。
f.根據具體情況選擇您的操作:
(1)倘若對一個新組(或用戶)設置審核, 請單擊“添加”按扭,在“名稱”框中鍵入新用
戶名,然后單擊“確定”按扭,將打開“審核項目”對話框。
(2)要查看(或更改)原有的組(或用戶)審核, 選擇用戶名,然后單擊“查看/編輯
”按扭。
(3)要刪除原有的組(或用戶)審核, 選擇用戶名,然后單擊“刪除”按扭即可。
g.如有必要的話,在“審核項目”對話框中的“應用到”列表中選取您希望審核的地方(
“應用到”列表僅對文件夾有效)。
h.如果您想禁止目錄樹中的文件和子文件夾繼承這些審核項目,選擇“僅對此容器內的對
象和/或容器應用這些審核項”復選框。
如果在“審核項目”對話框中的“訪問”之下的復選框變暗,或在“訪問控制設置”對話
框中“刪除”按鈕不可用,那么說明已經繼承了來自父文件夾的審核。
需要注意的是:必須是管理員組成員或在組策略中被授權有“管理審核和安全日志”權限
的用戶可以審核文件或文件夾。在Windows XP審核文件、文件夾之前,您必須啟用“組策
略”中“審核策略”的“審核對象訪問”。否則,當您設置完文件、文件夾審核時會返回
一個錯誤消息,并且文件、文件夾都沒有被審核。通過事件查看器(Event Viewer)可以
檢查那些訪問審核過的文件和文件夾的成功或失敗的嘗試。
4、Windows 98訪問Windows XP共享目錄被拒絕的問題解決
在局域網內,經常可以遇到裝有Windows 2000的電腦開了共享目錄,而裝有Windows 98的
電腦卻無法訪問的問題。這個在微軟的官方網頁上可以找到答案,提示開啟Windows 2000
的GUEST用戶就行了。可是Windows XP出來以后,同樣的又面臨這個問題,結果有些人發現
這個方法不靈了,從網上鄰居訪問Windows XP的共享目錄不一定能被允許。原因何在?這
個問題本也困擾過我好幾天,后來在無意中發現了問題的答案,也許這是Windows XP的一
個BUG?
在開啟了系統Guest用戶的情況下,運行組策略編輯器程序,在“本地計算機策略”→“計
算機配置”→“Windows設置”→“安全設置”→“本地策略”→“用戶權利指派”→“拒
絕從網絡訪問這臺計算機”中赫然可以看到有Guest用戶!如果在這里刪除Guest用戶,那
么其他電腦就可以從網上鄰居中查看這臺電腦的共享目錄了
5、阻止訪問命令提示符
防止用戶運行命令提示符窗口(Cmd.exe)。這個設置還決定批文件(.cmd和.bat)是否可以在
計算機上運行。位置:\用戶配置\管理模板\系統\? 如果啟用這個設置,用戶試圖打開命
令窗口,系統會顯示一個消息,解釋設置阻止這種操作。
注意:如果計算機使用登錄、注銷、啟動或關閉批文件腳本,不防止計算機運行批文件;
也不防止使用終端服務的用戶運行批文件。
6、阻止訪問注冊表編輯工具
該策略將禁用Regedit.exe,以禁用Windows注冊表編輯器。這樣可以很大程度防止網頁上
的惡意代碼篡改IE。位置:\用戶配置\管理模板\系統\ 如果這個設置被啟用,并且用戶試
圖啟動注冊表編輯器,解釋設置禁止這類操作的消息會出現。要防止用戶使用其他系統管
理工具,請使用“只運行許可的Windows應用程序”策略設置。
八、補充
1.禁止程序后組策略無法使用
可以通過以下方法來恢復設置:重新啟動計算機,在啟動菜單出現時按F8鍵,在Windows高
級選項菜單中選擇“帶命令行提示的安全模式”選項,然后在命令提示符下運行mmc.exe。
在打開的“控制臺”窗口中,依次點擊“文件→添加/刪除管理單元→添加→組策略→添加
→完成→關閉→確定”,現在已經添加了一個組策略控制臺,接下來把原來的設置改回來
,然后重新進入Windows即可。
2、從“我的電腦”中刪除共享文檔
當Windows用戶在一個工作組中,一個“共享文檔”圖標會以Windows資源管理器的Web視圖
出現在“其他位置”和“在這臺計算機上存儲的其他文件”中。使用此設置,你可選擇不
顯示這些項目。
本地計算機策略——>用戶配置——>管理模板——>Windows組件——>Windows資源管理器
如果啟用此設置,“共享文檔”文件夾將不會以Web視圖方式顯示或在“我的電腦”中出現
。如果禁用或不配置此設置,當用戶是“工作組”的一部分時,“共享文檔”文件夾將會
以Web視圖方式顯示或在“我的電腦”中出現。
?
組策略防狗(轉帖)
圖片:
'800')this.width='800';if(this.height>'600')this.height='600';" border=0>
強!組策略防狗(個人覺得很帥的貼)
組策略防狗
[winxp中的系統變量]
%USERPROFILE%? 表示 C:\Documents and Settings\當前用戶名
%ALLUSERSPROFILE%? 表示 C:\Documents and Settings\All Users
%APPDATA%? 表示 C:\Documents and Settings\當前用戶名\Application Data
%ALLAPPDATA%? 表示 C:\Documents and Settings\All Users\Application Data
%SYSTEMDRIVE% 表示 C:
%HOMEDRIVE%? 表示C:\
%SYSTEMROOT%? 表示 C:\WINDOWS
%WINDIR%? 表示 C:\WINDOWS
%TEMP% 和 %TMP%? 表示 C:\Documents and Settings\當前用戶名\Local Settings\Temp
%ProgramFiles%? 表示 C:\Program Files
%CommonProgramFiles%? 表示 C:\Program Files\Common Files
考慮到可能有些初學者不太理解,今天花了一下午時間,重新精簡編輯了我自己的規則,以適合普通用戶直接套用,并附帶了詳細的編寫原理、注意事項等,希望借此拋磚引玉,使各位潛水的高手也能將自己的規則分享出來討論,也希望初學者可以DIY出適合自己的規則。
非常歡迎大家將自己的規則拿出來討論,以使此規則不斷進步和完善,成為傳統安全軟件有力的輔助和補充。好了,廢話說了一大堆,下面進入正文:
一、軟件限制策略的作用
首先說一下HIPS的3D
AD——程序保護 保護應用程序不被惡意修改、刪除、注入
FD——文件保護 保護關鍵的文件不被惡意修改、刪除,禁止惡意程序創建和讀取文件
RD——注冊表保護 保護注冊表關鍵位置不被惡意修改、讀取、刪除
XP系統軟件限制策略可以做到上面的AD與FD,至于RD,可以通過注冊表權限設置來實現
因此可以說,XP本身就具備3D功能,只是不被大家所熟悉。
二、軟件限制策略的優劣勢
1、優勢
優勢是很明顯的,它是系統的一部分,不存在兼容性問題,不占用內存,屬于系統最底層保護,保護能力遠不是HIPS可以比擬的
2、劣勢
劣勢也很明顯,與HIPS相比,它不夠靈活和智能,不存在學習模式,它只會默認阻止或放行,不會詢問用戶,若規則設置不當,可能導致某些程序不能運行
三、軟件限制策略 規則編寫實例
我直接以一些最常見的例子來說明
1、首先要學會系統通配符、環境變量的含義,以及軟件限制策略規則的優先級
2、如何阻止惡意程序運行
首先要注意,惡意程序一般會藏身在什么地方
?:\ 分區根目錄
C:\WINDOWS (后面講解一律以系統在C盤為例)
C:\WINDOWS\system32
C:\Documents and Settings\Administrator
C:\Documents and Settings\Administrator\Application Data
C:\Documents and Settings\All Users
C:\Documents and Settings\All Users\Application Data
C:\Documents and Settings\Administrator\「開始」菜單\程序\啟動
C:\Documents and Settings\All Users\「開始」菜單\程序\啟動
C:\Program Files
C:\Program Files\Common Files
注意:
C:\Documents and Settings\Administrator
C:\Documents and Settings\Administrator\Application Data
C:\Documents and Settings\All Users
C:\Documents and Settings\All Users\Application Data
C:\Documents and Settings\Administrator\「開始」菜單\程序\啟動
C:\Documents and Settings\All Users\「開始」菜單\程序\啟動
C:\Program Files
C:\Program Files\Common Files
這8個路徑下是沒有可執行文件的,只有在它們的子目錄下才有可能存在可執行文件,那么基于這一點,規則就容易寫了
%ALLAPPDATA%\*.* 不允許的
%ALLUSERSPROFILE%\*.* 不允許的
%ALLUSERPROFILE%\「開始」菜單\程序\啟動\*.* 不允許的
%APPDATA%\*.* 不允許的
%USERSPROFILE%\*.*
%USERPROFILE%\「開始」菜單\程序\啟動\*.* 不允許的
%ProgramFiles%\*.* 不允許的
%CommonProgramFiles%\*.* 不允許的
那么對于
C:\WINDOWS C:\WINDOWS\system32 這兩個路徑的規則怎么寫呢?
C:\WINDOWS下只有explorer.exe、notepad.exe、攝像頭程序、聲卡管理程序是需要運行的,而其他都不需要運行
則其規則可以這樣寫:
%SYSTEMROOT%\*.* 不允許的 (首先禁止C:\WINDOWS下運行可執行文件)
C:\WINDOWS\explorer.exe 不受限的
C:\WINDOWS\notepad.exe 不受限的
C:\WINDOWS\amcap.exe 不受限的
C:\WINDOWS\RTHDCPL.EXE 不受限的
(然后利用絕對路徑優先級大于通配符路徑的原則,設置上述幾個排除規則,則,在C:\WINDOWS下,除了explorer.exe、notepad.exe、攝像頭程序、聲卡管理程序可以運行外,其他所有的可執行文件均不可運行)
對于C:\WINDOWS\system32就不能像上面那樣寫規則了,在SYSTEM32下面很多系統必須的可執行文件,如果一個一個排除,那太累了。所以,對system32,我們只要對它的子文件作一些限制,并對系統關鍵進程進行保護
子文件夾的限制
%SYSTEMROOT%\system32\config\**\*.* 不允許的
%SYSTEMROOT%\system32\drivers\**\*.* 不允許的
%SYSTEMROOT%\system32\spool\**\*.* 不允許的
當然你可以限制更多的子文件夾
3、如何保護system32下的系統關鍵進程
有些進程是系統啟動時必須加載的,你不能阻止它的運行,但這些進程又常常被惡意軟件仿冒,怎么辦?其實很簡單,這些仿冒的進程,其路徑不可能出現在system32下,因為它們不可能替換這些核心文件,它們往往出現在其他的路徑中。那么我們可以這樣應對:
C:\WINDOWS\system32\csrss.exe 不受限的
C:\WINDOWS\system32\ctfmon.exe 不受限的
C:\WINDOWS\system32\lsass.exe 不受限的
C:\WINDOWS\system32\rundll32.exe 不受限的
C:\WINDOWS\system32\services.exe 不受限的
C:\WINDOWS\system32\smss.exe 不受限的
C:\WINDOWS\system32\spoolsv.exe 不受限的
C:\WINDOWS\system32\svchost.exe 不受限的
C:\WINDOWS\system32\winlogon.exe 不受限的
先完全允許正常路徑下這些進程,再屏蔽掉其他路徑下仿冒進程
csrss.* 不允許的 (.* 表示任意后綴名,這樣就涵蓋了 bat com 等等可執行的后綴)
ctfm?n.* 不允許的
lass.* 不允許的
lssas.* 不允許的
rund*.* 不允許的
services.* 不允許的
smss.* 不允許的
sp???sv.* 不允許的
s??h?st.* 不允許的
s?vch?st.* 不允許的
win??g?n.* 不允許的
4、如何保護上網的安全
在瀏覽不安全的網頁時,病毒會首先下載到IE緩存以及系統臨時文件夾中,并自動運行,造成系統染毒,在了解了這個感染途徑之后,我們可以利用軟件限制策略進行封堵
%SYSTEMROOT%\tasks\**\*.* 不允許的 (這個是計劃任務,病毒藏身地之一)
%SYSTEMROOT%\Temp\**\*.* 不允許的
%USERPROFILE%\Cookies\*.* 不允許的
%USERPROFILE%\Local Settings\**\*.* 不允許的 (這個是IE緩存、歷史記錄、臨時文件所在位置)
另外可以免疫一些常見的流氓軟件
3721.* 不允許的
CNNIC.* 不允許的
*Bar.* 不允許的
等等,不贅述,大家可以自己添加
注意,*.* 這個格式只會阻止可執行文件,而不會阻止 .txt .jpg 等等文件
另外演示兩條禁止從回收站和備份文件夾執行文件的規則
?:\Recycler\**\*.* 不允許的
?:\System Volume Information\**\*.* 不允許的
5、如何防止U盤病毒的***
這個簡單,兩條規則就可以徹底搞定
?:\autorun.inf 不允許的
?:\*.* 不允許的
6、預防雙后綴名的典型惡意軟件
許多惡意軟件,他有雙后綴,比如 mm.jpg.exe
由于很多人默認不顯示后綴名,所以你看到的文件名是 mm.jpg
對于這類惡意,我本來想以一條規則徹底免疫
*.*.* 不允許的
可是這樣做了之后,卻發現我的ACDSee 3.1 無法運行
于是改成
*.???.bat 不允許的
*.???.cmd 不允許的
*.???.com 不允許的
*.???.exe 不允許的
*.???.pif 不允許的
這樣5條規則,ACDSEE沒有問題了。我現在還沒搞清楚,我的ACDSEE并沒有雙后綴,為何不能運行
7、其他規則
注意 %USERPROFILE%\Local Settings\**\*.* 這條規則設置后,禁止了從臨時文件夾執行文件,那么一些自解壓的單文件就無法運行了,因為這類文件是首先解壓到臨時文件夾,然后從臨時文件夾運行的。如果你的電腦中有自解壓的單文件,那么,刪除這條規則,增加3條:
%USERPROFILE%\Local Settings\Application Data\**\*.* 不允許的
%USERPROFILE%\Local Settings\History\**\*.* 不允許的
%USERPROFILE%\Local Settings\Temporary Internet Files\**\*.* 不允許的
威金的預防,很簡單三條
logo?.* 不允許的
logo??.* 不允許的
_desktop.ini 不允許的
小浩病毒的預防
xiaohao.exe 不允許的
禁止conimi.exe進程
c?nime.* 不允許的
禁止QQ自動更新
QQUpdateCenter.exe 不允許的
TIMPlatform.exe 不允許的
禁止遨游自動更新
maxupdate.exe 不允許的
禁止小紅傘C版的廣告
avnotify.exe 不允許的
………………………………
就不一一列舉了
大家根據自己的實際情況來設置吧
最后附上我自己精簡后的規則,比較大眾化,下載解壓后直接運行即可
運行前,先備份C:\WINDOWS\system32\GroupPolicy\Machine\Registry.pol 這個文件
如果導入規則出現不良反應,可以用原文件替換回去
有興趣的朋友可以深入研究,不良反應究竟是觸發了哪一條規則,如何設置能達到最佳效果
附帶啰嗦一句,現在很多病毒采用劫持IFEO的方法,致使殺毒軟件無法啟動。解決方法如下:
打開注冊表編輯器,找到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
右擊——權限,取消所有用戶的寫入、修改權限,僅保留讀取和刪除權限
規則導入完成之后,利用NTFS格式的安全設定,設置Registry.pol 的權限,取消所有用戶的修改、寫入和刪除權限,這樣惡意軟件便不能修改或刪除這個規則了
同理,可以利用NTFS的權限設置,保護任意文件不被修改和刪除,和軟件限制策略相輔相成,達到HIPS的FD功能。
這個是FAT格式無法享有的優越性
另外本人寫了一份防機器狗的軟件策略,經最新樣本測試,不能穿透。里面有導入導出工具,只要放在同一文件夾下就可以導入了?。
?
轉載于:https://blog.51cto.com/neiku/367194
總結
- 上一篇: XML 数据 BCP方式大批量的上传--
- 下一篇: awk和sed总结