组策略应用37招.doc

1 隐藏电脑的驱动器 位置：用户配置管理模板url=file:/WindowsWindows/url组件url=file:/WindowsWindows/url资源管理器启用后，发现我的电脑里的磁盘驱动器全不见了，但在地址栏输入盘符后，仍然可以访问，如果再把下面的防止从“我的电脑”访问驱动器设置为启用，在地址栏输入盘符就无法访问了，但在运行里直接输入cmd，在Dos下仍然可以看见，接下来就是把CMD命令也禁用了。 位置：用户配置管理模板系统 2禁用注册表 位置：用户配置管理模板系统 3禁用控制面板 位置：用户配置管理模板系统 如想在控制面板中隐藏Internet选项，则在隐藏控制面板程序里添加Inetcpl.cpl，具体名称可查看WindowsSystem32里以cpl结尾的文件。 4隐藏文件夹 平时我们隐藏文件夹后，别人只需在文件夹选项里显示所有文件，就可以看见了，我们可以在组策略里删除这个选项, 位置：用户配置管理模板url=file:/WindowsWindows/url组件url=file:/WindowsWindows/url资源管理器 5关闭缩略图缓存 有时我们在文件夹中放过图片，后来移除了，但以缩略图缓存仍然能被其他人读取。 位置：用户配置管理模板url=file:/WindowsWindows/url组件url=file:/WindowsWindows/url资源管理器 6去除开始菜单中的“文档”菜单 开始菜单中的文档一栏，会记载我们曾经编辑过的文档，我们可以去掉这个菜单： 位置：用户配置管理模板url=file:/WindowsWindows/url组件任务栏和“开始”菜单 7隐藏屏幕保护程序“”选项卡 有时我们设置了屏幕密码保护，但很容易被人修改，我们可以隐藏这一选项。 用户配置管理模板控制面板显示。 8禁止更改TCP/IP属性 我们设定的IP地址可能会被更改，那么只要关闭它的属性页就可以了。 位置：用户配置管理模板网络网络连接 把下面两项设为启用。 9删除任务管理器 可别小看了任务管理器，它除了可以终止程序、进程外还可以重启、关机，搜索程序的执行文件名，及更改程序运行的优先顺序。 位置：用户配置管理模板系统url=file:/CC/url trl+Alt+Del选项 10禁用IE“工具”菜单下的“Internet选项” 为了阻止别人对IE浏览器设置的随意更改。 位置：用户配置管理模板 Windows组件 Internet Explorer 浏览器菜单 11只运行许可的Windows应用程序 如果您启用这个设置，用户只能运行您加入“允许运行的应用程序列表”中的程序。 12在“组策略”中，我们可以禁用SHS、MSI、BAT、CMD、COM、EXE等程序文件类型，而且不影响系统的正常运行。这里假设我们要禁用注册表的REG文件，不让系统运行REG文件，具体操作方法如下：. 打开组策略，点击“计算机配置Windows设置安全设置软件限制策略”，在弹出的右键菜单上选择“创建软件限制策略”，即生成“安全级别”、“其他规则”及“强制”、“指派的文件类型”、“受信任的出版商”。 13让Windows 的上网速率提升20%（Windows XP/2003） 默认情况下，Windows网络连接数据包调度程序将系统限制在80%的连接带宽之内，这对带宽较小的网络来说，无疑是笔不小的开支。我们可以通过组策略设置来替代默认值，让我们的上网速率提高20%! 打开“组策略控制台计算机配置管理模板网络”中的“QoS数据包调度程序”并启用此策略，然后使用下面“带宽限制”框来调整系统可保留的带宽比例，将它设置为0%即可，然后按确定退出，之后我们就可以使用另外20%的带宽了。 14关闭缩略图的缓存（Windows XP/2003） Windows XP/20003系统具有缩略图视图功能，且为了加快那些被频繁浏览的缩略图显示速度，系统会将这些被显示过的图片进行缓存，以便下次打开时直接读取缓存中的信息，从而达到快速显示的目的。但如果我们希望系统进行缓冲的话（比如只浏览一次的图片），则可以利用组策略关闭缩略图缓存的功能，这样第一次浏览速度反而会大大加快（因为不进行缓存处理）。 打开“组策略控制台用户配置管理模板Windows组件Windows资源管理器”中的“关闭缩略图的缓存”并启用此策略。 15屏蔽系统自带的CD刻录功能（Windows XP/2003） Windows XP/2003系统自带CD刻录功能，如果我有CD刻录机接在计算机上，Windows 资源管理器允许我制作 并修改可重写式CD。但这样无疑会影响系统性能和资源管理器的执行速度，因此我们可以利用组策略来屏蔽此 功能（大部分用户都使用专用的CD刻录软件）。 打开“组策略控制台用户配置管理模板网络”中的“删除CD刻录功能”并启用此策略。 16关闭系统还原功能（Windows XP/2003） 系统还原是Windows XP/2003中集成的强大功能，它在系统运行的同时，备份那些被更改的文件和数据，如出现问题，系统还原使用户能够在不丢失个人数据文件的情况下，将计算机还原到以前的状态。默认情况下，系统还原处于打开状态。 但为这一功能付出的代价也是相当大的，系统性能会明显下降，磁盘空间也会被占用很多。对于配置不高的计算机来说，强烈建议关闭此功能。 打开“组策略控制台计算机配置管理模板系统系统还原”中的“关闭系统还原”并启用此策略。启用此设置后即可关闭系统还原功能，并且不能访问“系统还原向导”和“配置界面”。 17禁止Windows Messenger自动运行（Windows XP/2003） 在Windows系统中集成的优秀应用软件越来越多，但这些系统内置的软件都没有卸载选项，引起很多电脑用 户的不满。比如Windows XP自带的Windows Messenger，不但卸载不方便而且还随系统一起自动运行。对于不上网的计算机用户或者根本就不用Windows Messenger的用户来说，当然要屏蔽此软件的自动运行功能。 打开“组策略控制台计算机配置管理模板Windows组件Windows Messenger”中的“不允许运行Windows Messenger ”并启用此策略。 18隐藏“我的电脑”中指定的驱动器（Windows XP/2003） 此组策略可以从“我的电脑”和“Windows 资源管理器”上删除代表所选硬件驱动器的图标。并且驱动器 号代表的所有驱动器不出现在标准的打开对话框上。 打开“组策略控制台用户配置管理模板Windows组件Windows资源管理器”中的“隐藏我的电脑 中的这些指定的驱动器”并启用此策略，并在下面列表框中选择一个驱动器或几个驱动器。 19防止从“我的电脑”访问驱动器（Windows 2000/XP/2003） 此策略让用户无法查看在“我的电脑”或“Windows 资源管理器”中所选驱动器的内容。同时它也禁止使用运行对话框、镜像网络驱动器对话框或Dir命令查看在这些驱动器上的目录。 打开“组策略控制台用户配置管理模板Windows组件Windows资源管理器”中的“防止从我的电 脑访问驱动器”并启用此策略，并在下面列表框中选择一个驱动器或几个驱动器。 提示：这些代表指定驱动器的图标仍旧会出现在“我的电脑”中，但是如果用户双击图标，会出现一条消息解释设置防止这一操作。同时这些设置不会防止用户使用其它程序访问本地和网络驱动器。并且不防止他们使用磁盘管理即插即用查看和更改驱动器特性。 20禁止使用命令提示符（Windows 2000/XP/2003） 在Windows 2000/XP/2003下，我们可以运行cmd.exe进入命令提示符状态，并可以继续运行一些DOS命令和其他命令行程序。出于对安全的考虑，有些系统应该屏蔽此功能。 打开“组策略控制台用户配置管理模板系统”中的“阻止访问命令提示符”并启用此策略，并在下面列表框中选择是否“也停用命令提示符脚本处理”，这个设置还决定批处理文件 .cmd和.bat是否可以在计算机上运行。 如果启用这个设置，在用户试图打开命令窗口时，系统会显示一条消息，解释设置阻止这一操作。 21禁止更改显示属性（Windows 2000/XP/2003） 选择“控制面板”中的“显示”或在Windows桌面的空白处单击右键选择“属性”，可进入“显示设置”对话框，可以对桌面主题、桌面背景、屏保程序、显示设置等各项进行设置，如果我不想让别人随意更改各项设置，可以通过组策略将它隐藏起来。 打开“组策略控制台用户配置管理模板控制面板显示”，然后可以看到隐藏桌面选项卡、隐藏主题选项卡、隐藏保护程序选项卡、隐藏设置选项卡等策略配置，可根据需要对这些项目进行配置。比如启用了“隐藏桌面选项卡”策略后，再打开“显示属性”对话框，就看不到“桌面”标签了，这样自然就无法再对桌面属性进行更改了。 22禁用注册表编辑器（Windows 2000/XP/2003） 为了防止他人进入电脑后对注册表文件进行修改，可以在组策略中对注册表编辑器做禁止访问设置。具体操作方法：打开“组策略控制台用户配置系统”中的“阻止访问注册表编辑工具”并启用此策略。 此策略被启用后，用户试图启动注册表编辑器（Regedit.exe 及 Regedt32.exe）的时候，系统会禁止这类操作并弹出警告消息。 23彻底禁止访问“控制面板”（Windows 2000/XP/2003） 如果不希望其他用户访问计算机的“控制面板”，同样可以使用组策略来实现。打开“组策略控制台用户配置管理模板扩展面板”中的“禁止访问控制面板”并启用此策略。 此策略启用后可以防止“控制面板”程序文件（Control.exe）的启动。他人将无法启动“控制面板”（或运行任何“控制面板”项目）。另外，这个设置将从“开始”菜单中删除“控制面板”。同时这个设置还从“Windows资源管理器”中删除“控制面板”文件夹。 24禁止建立新的拨号连接（Windows 2000/XP/2003） 如果不想让别人在计算机中建立新连接来拨号上网的话，组策略也可以做到。打开“组策略控制台用户配置管理模板网络网络连接”中的“禁止访问新建连接向导”并启用此策略。 启用此策略后，在“网络连接”文件夹和“开始菜单”中就不会出现“建立新连接”。 25禁用“添加/删除程序”（Windows 2000/XP/2003） “控制面板”中“添加或删除程序”项目允许我安装、卸载、修复并添加和删除 Windows 的功能和组件以及种类很多的 Windows 程序。如果我想阻止其他用户安装或卸载程序，可利用组策略来实现。 打开“组策略控制台用户配置管理模板控制面板添加删除程序”中的“删除添加/删除程序程序”并启用此策略，当我们再打开“控制面板”中“添加/删除程序”模块的时候，会自动弹出警告窗口，而“添加/删除程序”则无法运行。 此外，在“添加/删除程序”分支中还可以对Windows“添加/删除程序”项中的“添加新程序”、“从CD-ROM或软盘添加程序”、“从Microsoft添加程序”、“从网络添加程序”等项进行隐藏，通过这些策略项目的设置，起到了保护计算机中系统文件及应用程序的作用。 26限制驱动器的使用 如果我们不想让别人使用我们的驱动器，如系统盘C盘，光驱等，可以进行如下操作： .在开始菜单的“运行”对话框中，输入“gpedit.msc”，打开“组策略”设置窗口。 .在“组策略”设置窗口中，依次打开 “本地计算机策略用户配置管理模板Windows组件Windows资源管理器”选项。 .在右边的设置窗口中，选择“防止从我的电脑访问驱动器”项，在这个选项单击鼠标右键，选择“属性”，接着出现“防止从我的电脑访问驱动器的属性”设置窗口。在其中有三个选项，分别是:“未配置”、“已启用”、“已禁用”。 .我们选择“已启用”后，在下面就会出现选择驱动器的下沉列表，如果希望限制某个驱动器的使用，只要选中该驱动器就可以了。比如，我们要限制C盘的使用，选中“仅限制驱动器C”，就可以了。如果希望关闭所有的驱动器，包括光驱等，可以选中“限制所有驱动器”。 设置完毕以后，当再打开驱动器时，就会弹出禁止打开驱动器的提示框。即便是使用DIR命令、运行对话框和镜像网络驱动器对话框，也无法查看驱动器的目录。 27把Administrator藏起来Windows系统默认的系统管理员账户名是Administrator。因此，为了避免有人恶意破解系统管理员Administrator账户的密码，我们可以将Administrator改为其他名字以加强安全。点击“开始运行”，输入gpedit.msc，打开“组策略”，选择 “计算机配置Windows设置安全设置本地策略安全选项”，在右边窗格里双击“账户：重命名系统管理员账户”项，在上面输入我想要的用户名。重新启动计算机后，输入的新用户名即刻生效。如果再新建一个Guest用户，用户名为Administrator，然后再加上十分复杂的密码就更安全。 28防止恶意代码对IE主页的修改如果您不希望他人或网络上的一些恶意代码对自己设定的IE浏览器主页进行随意更改的话，我们可以选择“用户配置”“管理模板”“Windows 组件”“Internet Explorer”分支，然后在右侧窗格中，双击“禁用更改主页设置”策略启用即可。 29限制IE浏览器的保存功能 当多人共用一台计算机时，为了保持硬盘的整洁，需要对浏览器的保存功能进行限制使用，那么如何才能实现呢?具体方法为：选择“用户设置”“管理模板” “Windows组件”“Internet Explorer”“浏览器菜单”分支。双击右侧窗格中的“文件菜单：禁用另存为菜单项”，在打开的设置窗口中选中“已启用”单选按钮。 30自动给操作做个记录 在“计算机配置Windows设置安全设置本地策略审核策略”上，我们可以看到它可以审核策略更改、登录事件、对象访问、过程追踪、目录服务访问、特权使用等。这些审核可以记录下我某年某月某日某时某分某秒做过了什么操作：几时登录、关闭系统或更改过哪些策略等等。 31给“休眠”和“待机”加个密码 只有“屏幕保护”有密码是远远不够安全的，我们还要给“休眠”和“待机”加上密码，这样才会更安全。让我们来给“休眠”和“待机”加上密码吧。在“组策略”窗口中展开“用户配置管理模板系统电源管理”，在右边的窗格中双击“从休眠/挂起恢复时提示输入密码”，将其设置为“已启用”，那么当我们从“待机”或“休眠”状态返回时将会要求我输入用户密码。 32未经许可，不得在本机登录 在“组策略”窗口中依次打开“计算机配置Windows设置安全设置本地策略用户权限分配”，然后双击右侧窗格的“拒绝本地登录”项，在弹出的窗口中添加要禁止的用户或组即可实现。 33禁用指定的文件类型 在“组策略”中，我们可以禁用SHS、MSI、BAT、CMD、COM、EXE等程序文件类型，而且不影响系统的正常运行。这里假设我们要禁用注册表的REG文件，不让系统运行REG文件，具体操作方法如下： . 打开组策略，点击“计算机配置Windows设置安全设置软件限制策略”，在弹出的右键菜单上选择“创建软件限制策略”，即生成“安全级别”、“其他规则”及“强制”、“指派的文件类型”、“受信任的出版商”项。 . 双击“指派的文件类型”打开“指派的文件类型属性”窗口，只留下REG文件类型，将其他的文件全部删除，如果还有其他的文件类型要禁用，可以再次打开这个窗口，在“文件扩展名”空白栏里输入要禁用的文件类型，将它添加上去。 . 双击“安全级别不允许的”项，点击“设为默认”按钮。然后注销系统或者重新启动系统，