windows组策略之深入解析篇.doc

windows组策略之深入解析篇2009-05-03 18:22 有人形象地把组策略称为Windows系统中的“大内高手”。与XP相比，Vista 中的组策略功能更强大，与系统的集成更加紧密，其更像Vista 系统中的“大内总管”。利用组策略可以在Vista 中完成一些看似很难完成的任务。下面我们一道深入挖掘，揭开Vista 组策略内幕，实现非常任务。1、隐藏、限制磁盘分区，保护数据无论是个人电脑还是公用电脑中都保存了某些数据资料，这些数据有时是不必让别人知道的。特别是办公场合的计算机由于位置开放，通常多人共用，个人电脑有时也会被他人临时使用，所有这些对存储其中的用户数据的保密和安全性提出了严重挑战，该怎么办呢?其实我们不需要第三方软件在Vista 中通过对磁盘分区进行隐藏或者限制即可轻易实现对数据的保护的。下面我们以限制C分区为例进行演示，其具体操作步骤如下：第一步：在开始菜单的“运行”对话框中，输入“Gpedit.msc”，打开“组策略”设置窗口，在“组策略”设置窗口中，依次打开 “本地计算机策略用户配置管理模板Windows组件Windows资源管理器”选项。第二步：在右边的设置窗口中，选择“防止从我的电脑访问驱动器”项，在这个选项上单击鼠标右键，选择“属性”，接着出现“防止从我的电脑访问驱动器的属性”设置窗口。在其中有三个选项，分别是“未配置”、“已启用”、“已禁用” 。第三步：我们选择“已启用”后，在下面就会出现选择驱动器的下沉列表，如果希望限制某个驱动器的使用，只要选中该驱动器就可以了。比如，我们要限制C盘的使用，选中“仅限制驱动器C”，就可以了。如果希望关闭所有的驱动器，包括光驱等，可以选中“限制所有驱动器”。提示：在“Windows资源管理器”下还有“隐藏我的电脑中的这些指定的驱动器”这条策略，通过该策略可以因此指定的驱动器，但是这个策略可以通过IE浏览器突破，在地址栏中输入C:，回车后隐藏的C磁盘分区同样可以访问，相比之下我们上面的限制更彻底一些。 延伸：通过上面的方法可以选择隐藏C分区或者隐藏所有分区，那如何实现隐藏某个特定的分区比如E磁盘分区呢?我们可以通过修改Vista 的组策略配置文件来实现，该文件被存储在“%windir%PolicyDefinitions”路径下，我们需要修改的是“WindowsExplorer.adml”和WindowsExplorer.admx”两个配置文件。第一步：用记事本打开WindowsExplorer.adml文件，找到包含如下代码的部分：仅限制分区 A、B、C 和 D仅限制分区 A、B 和 C仅限制分区 A 和 B限制所有分区例如需要隐藏E分区，则添加如下代码，修改完成后保存退出：仅限制分区 E第二步：用记事本打开WindowsExplorer.admx文件，分别找到”前者是用来限制访问分区，后者则是用来隐藏分区，例如这里还是以E分区为例进行说明，请在两处位置分别添加如下代码，这里的“16”表示E分区的十进制代码：第三步：替换两个重要文件。由于访问控制的权限问题，我们首先需要对两个文件的访问权限进行修改，打开属性对话框，切换到“安全”选项卡，单击“高级”按钮更改所有者后进行相关的设置，获得权限之后即可完成文件替换的操作。现在，我们可以在组策略的“防止从我的电脑访问驱动器”对话框，选择“已启用”就可以的了。 2、给U盘通行证U盘已经很普及了，而且很多手机功能也带U盘功能了，所以想从别人的电脑里面复制出一些文件，是非常简单的事情，这样对电脑里面资料就有很大的威胁，如何让系统只能使用指定的U盘或者移动硬盘呢?其实在Vista 系统中就不用担心这个问题，我们可以通过组策略来完成这项任务。通过设置既可以禁用所有的USB存储设备，而且还可以让系统只能使用指定的U盘。第一步：把自己的U盘先插入到Vista 系统中，让系统可以正常使用U盘，接着进入“控制面板”，双击“设备管理器”，在里面展开“便携设备”，可以看见里面有你的U盘。第二步：在上面点击鼠标右键来选择“属性”，在弹出的“属性”窗口中点击“详细信息”标签，然后在设备“属性”下拉框中选择“硬件ID”，下面的“值”中会出现字符串，这个就是你的U盘的硬件ID，把它复制出来保存好。第三步：还需要复制“通用串行总线控制器”中“USB大容量存储设备”的硬件ID，在“设备管理器”中展开“通用串行总线控制器”列表，找到“USB大容量存储设备”，在它的“属性”窗口中点击“详细信息”标签，复制出它的硬件ID也保存一下。第四步：找出U盘的硬件ID后就可以通过组策略来实现了。“开始运行”输入“Gpedit.msc”打开组策略窗口，依次展开“计算机配置管理模板系统设备安装设备安装限制”，双击右侧的“禁止安装未由其他策略设置描述的设备”，在弹出的窗口中选择“已启用”，再点击 “确定”按钮，设置它可以来禁止策略设置描述的USB设备。 3、杜绝恶意关机在企事业单位，经常有一些好事之徒或者恶作剧者，偷窥别人电脑上的资料，虽然我们可以通过Windows+L来锁定计算机，防止了别人的偷窥，但是在在锁定页面上还有一个“关闭计算机”，虽然他人无法乱动机器了，但是却可以关机，如果遇到好事之人点击一下“关闭计算机”，那么，前期的工作很可能就付之东流了。因此，很有必要给“关闭计算机”再加一把锁。通过组策略即可轻易完成这样的任务。点击“开始运行”，在弹出的运行对话框中输入“Gpedit.msc”，回车后打开组策略编辑器。依次展开如下分支“计算机配置Windows设置安全设置本地策略安全选项”，在右侧的窗格中找到“关机：允许在未登陆前关机”选项，双击，在弹出来的属性对话框中将其属性设置为“已禁用”，点击“确定”按钮并关闭组策略编辑器即可。4、帐户相关(1).来宾帐户改名在工作组环境中，网络共享是需要开启guest帐户，这是有一定的安全风险的，因为攻击者可以通过默认的guest帐户入侵系统，给来宾帐户改名是个不错的方法。因为是系统默认帐户，在常规情况下是没法改名的，我们可以通过组策略来完成。“开始运行”输入Gpedit.msc打开组策略，依次定位到“本地计算机策略计算机配置windows设置安全设置本地策略安全选项”，双击右边的选项“重命名来宾用户”，然后输入新的来宾用户的名字即可。 (2).Guest也能远程关机在之前Windows 2000/xp系统默认只有Adminstrators组的成员才可以有远程关闭计算机的权限，这个设计的是为了系统安全，这个策略也延续到了Windows Vista 中，但有的时候我们是以Guest帐号登陆某台局域网中的计算机进行操作，需要赋予guest用户远程关机的权限，如何实现呢?具体步骤如下：第一步：运行Gpedit.msc打开组策略，依次定位到“本地计算机策略计算机配置windows设置安全设置本地策略用户权限分配”，在右边找到“从网络访问计算机”，右击“属性”可以看见允许远程访问的用户。默认情况下guest用户是禁用并且没有权限关闭这台计算机的，我们先在命令提示符下输入命令“net user guest /active:yes”开启guest，然后单击“添加用户或组”，在输入对象名称来选择的对话框中输入“Guest”确定即可。第二步：在当前组策略控制台窗口中的“用户权限指派”中找到“远程强制关机”并双击该项目。在弹出的窗口和上面一样添加“guest”账户然后依次“确定”完成，这样guest就具有了远程关闭这台计算机的权限。当你的Windows Vista 用户口令不够“强壮”时，非法用户很容易通过多次重试“猜”出用户密码而登录系统，存在很大的数据风险。那如何来防止黑客猜解或者爆破系统密码呢?其实，要避免这一情况，通过组策略设置帐户锁定策略即可完美解决。此时当某一用户尝试登录系统输入错误密码的次数达到一定阈值即自动将该帐户锁定，在帐户锁定期满之前，该用户将不可使用，除非管理员手动解除锁定。其设置方法如下：第一步：在开始菜单的搜索框输入“Gpedit.msc”打开组策略对象编辑器，然后依次点击定位到“计算机设置Windows设置安全设置帐户策略帐户锁定策略”策略项下。第二步：双击右侧的“帐户锁定阈值”，此项设置触发用户帐户被锁定的登录尝试失败的次数。该值在0到999之间，默认为0表示登录次数不受限制。大家可以根据自己的安全策略进行设置，我们设置为5。说明：Windows Vista接下来将自动设置帐户锁定时间与复位帐户锁定计数器的时间间隔，一般而言我们使用默认值，当然，也可根据自己的需要修改。 5、安全相关(1).巧防Windows+X热键漏洞Windows Vista 的组合键为我们的工作带来了方便，但因此也带来了麻烦，前段时间的粘滞键漏洞和win+u组合键漏洞让不少系统告破。在微软没有出补丁的情况下，我们可以先把它禁止。操作如下：运行“Gpedit.msc”打开“组策略”设置窗口。在“组策略”设置窗口中，依次定位到“本地计算机策略用户配置管理模板Windows组件Windows资源管理器”选项。在右边栏中我们找到“关闭 Windows+X 热键”的选项，并启用它即可。(2).记录并报告非法登陆个人电脑有时会成为大家的玩物，当你不在身边的时候它饱受某些人的蹂躏，我们如何知道是否动了我们的电脑呢?其实在Vista 中有个新功能可以让我们是否有人动了我们的电脑。我们可以让Vista 记录我们每一次登录系统的时间，如果我们发现了陌生的登录时间可以肯定有人动了我们的电脑。运行“gpedit.msc”打开“组策略”设置窗口打开组策略对象编辑器，依次定位到“计算机配置管理模块