组策略实例.doc

组策略应用实例1防止从“我的电脑”访问驱动器（Windows 2000/XP/2003）此策略让用户无法查看在“我的电脑”或“Windows 资源管理器”中所选驱动器的内容。同时它也禁止使用运行对话框、镜像网络驱动器对话框或Dir命令查看在这些驱动器上的目录。打开“组策略控制台用户配置管理模板Windows组件Windows资源管理器”中的“防止从我的电脑访问驱动器”并启用此策略，并在下面列表框中选择一个驱动器或几个驱动器。提示：这些代表指定驱动器的图标仍旧会出现在“我的电脑”中，但是如果用户双击图标，会出现一条消息解释设置防止这一操作。同时这些设置不会防止用户使用其它程序访问本地和网络驱动器。并且不防止他们使用磁盘管理即插即用查看和更改驱动器特性。2禁止使用命令提示符（Windows 2000/XP/2003）在Windows 2000/XP/2003下，我们可以运行cmd.exe进入命令提示符状态，并可以继续运行一些DOS命令和其他命令行程序。出于对安全的考虑，有些系统应该屏蔽此功能。打开“组策略控制台用户配置管理模板系统”中的“阻止访问命令提示符”并启用此策略，并在下面列表框中选择是否“也停用命令提示符脚本处理”，这个设置还决定批处理文件 .cmd和.bat是否可以在计算机上运行。如果启用这个设置，在用户试图打开命令窗口时，系统会显示一条消息，解释设置阻止这一操作。3禁用注册表编辑器（Windows 2000/XP/2003）为了防止他人进入电脑后对注册表文件进行修改，可以在组策略中对注册表编辑器做禁止访问设置。具体操作方法：打开“组策略控制台用户配置系统”中的“阻止访问注册表编辑工具”并启用此策略。此策略被启用后，用户试图启动注册表编辑器（Regedit.exe 及 Regedt32.exe）的时候，系统会禁止这类操作并弹出警告消息。4彻底禁止访问“控制面板”（Windows 2000/XP/2003）如果不希望其他用户访问计算机的“控制面板”，同样可以使用组策略来实现。打开“组策略控制台用户配置管理模板扩展面板”中的“禁止访问控制面板”并启用此策略。此策略启用后可以防止“控制面板”程序文件（Control.exe）的启动。他人将无法启动“控制面板”（或运行任何“控制面板”项目）。另外，这个设置将从“开始”菜单中删除“控制面板”。同时这个设置还从“Windows资源管理器”中删除“控制面板”文件夹。如果你只想显示隐藏某些配置，就选择下面的“隐藏指定的控制面板程序 已启用”。如想在控制面板中隐藏Internet选项，则在隐藏控制面板程序里添加Inetcpl.cpl，具体名称可查看WindowsSystem32里以cpl结尾的文件。5禁止建立新的拨号连接（Windows 2000/XP/2003）如果不想让别人在计算机中建立新连接来拨号上网的话，组策略也可以做到。打开“组策略控制台用户配置管理模板网络网络连接”中的“禁止访问新建连接向导”并启用此策略。启用此策略后，在“网络连接”文件夹和“开始菜单”中就不会出现“建立新连接”。提示：此设置无法阻止用户使用诸如 Internet Explorer 这样的其它程序来绕过此设置。另外此设置必须重新启动计算机后才能生效。6、隐藏文件夹平时我们隐藏文件夹后，别人只需在文件夹选项里显示所有文件，就可以看见了，我们可以在组策略里设置这个选项：位置：用户配置管理模板Windows组件Windows资源管理器从“工具”菜单删除“文件夹选项”菜单 已启用7、限制某些软件的使用选择如下项目“用户配置”-“管理模式”-“系统”；选择“不要运行指定的windows应用程序”；在“设置”菜单下，选择“已启用”，并将不需要运行的程序名称添加到“不允许的应用程序列表”；8、删除任务管理器可别小看了任务管理器，它除了可以终止程序、进程外还可以重启、关机，搜索程序的执行文件名，及更改程序运行的优先顺序。位置：用户配置管理模板系统C trl+Alt+Del选项 删除“任务管理器” 已启用9、禁止更改TCP/IP属性我们设定的IP地址可能会被更改，那么只要关闭它的属性页就可以了。位置：用户配置管理模板网络网络连接把下面两项设为启用：为管理员启用windows 2000 网络连接设置 已启用禁止访问LAN连接组件的属性 已启用10、禁用指定的文件类型在“组策略”中，我们可以禁用SHS、MSI、BAT、CMD、COM、EXE等程序文件类型，而且不影响系统的正常运行。这里假设我们要禁用注册表的REG文件，不让系统运行REG文件，具体操作方法如下：1. 打开组策略，点击“计算机配置Windows设置安全设置软件限制策略”，在弹出的右键菜单上选择“创建软件限制策略”，即生成“安全级别”、“其他规则”及“强制”、“指派的文件类型”、“受信任的出版商”项2. 双击“指派的文件类型”打开“指派的文件类型属性”窗口，只留下REG文件类型，将其他的文件全部删除，如果还有其他的文件类型要禁用，可以再次打开这个窗口，在“文件扩展名”空白栏里输入要禁用的文件类型，将它添加上去。3. 双击“安全级别不允许的”项，点击“设为默认”按钮。然后注销系统或者重新启动系统，此策略即生效，运行REG文件时，会提示“由于一个软件限制策略的阻止，Windows无法打开此程序”。4.要取消此软件限制策略的话，双击“安全级别不受限的”，打开“不受限的 属性”窗口，按“设为默认值”即可。如果你鼠标右键点击“计算机配置Windows设置安全设置软件限制策略其他规则”，你会看到它可以建立哈希规则、Internet 区域规则、路径规则等策略，利用这些规则我们可以让系统更加安全，比如利用“路径规则”可以为电子邮件程序用来运行附件的文件夹创建路径规则，并将安全级别设置为“不允许的”，以防止电子邮件病毒。提示：为了避免“软件限制策略”将系统管理员也限制，我们可以双击“强制”，选择“除本地管理员以外的所有用户”。如果用你的是文件类型限制策略，此选项可以确保管理员有权运行被限制的文件类型，而其他用户无权运行。11、未经许可，不得在本机登录使用电脑时，我们有时要离开座位一段时间。如果有很多正在打开的文档还没有处理完成或者正在下载东西、挂POPO等等，为了避免有人动用电脑，我们一般会把电脑锁定。但是在局域网中，为了方便网络登录，我们有时候会建立一些来宾账户，如果对方利用这些账户来注销当前账户登录到别的账户，那就麻烦了。既然我们不能删除或禁用这些账户，那么我们可以通过“组策略”来禁止一些账户在本机上登录，让对方只能通过网络登录。在“组策略”窗口中依次打开“计算机配置Windows设置安全设置本地策略用户权限分配”，然后双击右侧窗格的“拒绝本地登录”项，在弹出的窗口中添加要禁止的用户或组即可实现如果我们想反其道而行之，禁止用户从网络登录，只能从本地登录，可以双击“拒绝从网络访问这台计算机”项将用户加上去。12、给“休眠”和“待机”加个密码只有“屏幕保护”有密码是远远不够安全的，我们还要给“休眠”和“待机”加上密码，这样才会更安全。让我们来给“休眠”和“待机”加上密码吧。在“组策略”窗口中展开“用户配置管理模板系统电源管理”，在右边的窗格中双击“从休眠/挂起恢复时提示输入密码”，将其设置为“已启用”，那么当我们从“待机”或“休眠”状态返回时将会要求你输入用户密码。13、自动给操作做个记录在“计算机配置Windows设置安全设置本地策略审核策略”上，我们可以看到它可以审核策略更改、登录事件、对象访问、过程追踪、目录服务访问、特权使用等。这些审核可以记录下你某年某月某日某时某分某秒做过了什么操作：几时登录、关闭系统或更改过哪些策略等等。 我们应该养成经常在“控制面板管理工具事件查看器”里查看事件的好习惯。比如，当你修改过“组策略”后，系统就发生了问题，此时“事件查看器”就会及时告诉你改了哪些策略。在“登录事件”里，你可以查看到详细的登录事件，知道有人曾尝试使用禁用的账户登录、谁的账户密码已过期而要启用哪些审核，只要双击相应的项目，选中“成功”和“失败”两个选项即可。*14、把Administrator藏起来Windows系统默认的系统管理员账户名是Administrator。因此，为了避免有人恶意破解系统管理员Administrator账户的密码，我们可以将Administrator改为其他名字以加强安全。点击“开始运行”，输入gpedit.msc，打开“组策略”，选择 “计算机配置Windows设置安全设置本地策略安全选项”，在右边窗格里双击“账户：重命名系统管理员账户”项，在上面输入你想要的用户名。重新启动计算机后，输入的新用户名即刻生效。如果再新建一个Guest用户，用户名为Administrator，然后再加上十分复杂的密码就更安全。15、启用账户锁定策略 有些黑客会利用帐户词典和密码词典远程破解Windows帐户以便通过IPC$或终端服务远程登录到Windows，启用帐户锁定策略可以有效防止黑客通过这种方法远程破解Windows帐户。打开组策略编辑器，依次展开“计算机配置”|“Windows设置”|“安全设置”|“帐户策略”|“帐户锁定策略”，在右侧双击“帐户锁定阈值”，在弹出的对话框上输入“5”（登录失败5次被猜测的帐户将被锁定），接着，再双击“账户锁定时间”，在弹出的对话框输入“30”（30分钟之后锁定将被解除），这样，就可有效地防止黑客利用软件采用穷举法远程破解Windows帐户。 16、启用密码策略 从上面的介绍可以看出Windows帐户和密码的重要性，但是大多数Windows用户的帐户使用的却是“弱口令”（密码极易被破解的