电脑组策略设置

【踏上攻防的征途】一一第九十六课一一组策略

简介:组策略(GroupPolicy)是管理员为用户和计算机定义并掌握程序、网络资源及操作

系统行为的主要工具。通过使用组策略可以设置各种软件、计算机和用户策略。

打开方式：开头菜单一运行一输入“gpedit.msc”一点击确定，即可打开！

所谓组策略，就是基于组的策略。它以Windows中的一个由IC管理单元的形式存在，可以关

心系统管

理员针对整个计算机或是特定组策略界面图用户来设置多种配置，包括桌面配置和平安配

置。譬

如，可以为特定用户或用户组定制可用的程序、桌面上的内容，以及“开头”菜单选项等,

也可以

在整个计算机范围内创建特殊的桌面配置。简而言之，组策略是Windows中的一套系统更改

和配置

管理工具的集合。

注册表是Windows系统中保存系统软件和应用软件配置的数据库，而随着Windows功能越来

越丰富，

注册表里的配置项目也越来越多，很多配置都可以自定义设置.，但这些配置分布在注册表的

各个

角落，假如是手工配置，可以想像是多么困难和烦杂。而组策略则将系统重要的配置我能汇

合成

各种配置模块，供用户直接使用，从而达到便利管理计算机的目的。

其实简洁地说，组策略设置就是在修改注册表中的配置。当然，组策略使用了更完善的管理

组织

方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表便利、敏捷，功能也

更加

强大。

组策略的用途：组策略是管理员为用户和计算机定义并掌握程序、网络资源及操作系统行为

的主要工具。通过使用组策略可以设置各种软件、计算机和用户策略。考虑到平安方面的缘

由，Windows7已经开发了很多新的和增加的组策略功能和服务，关心您更好地爱护计算机

上驻留的数据、功能和服务。这些功能的配置取决于您的具体要求和使用环境，本文将主要

介绍Windows7组策略的平安使用技巧，介绍如何配置组策略功能和服务来更好地满意您的

系统平安、网络平安、数据爱护及共性化需求。

具体用途：

1.禁止运行指定程序

系统启动时一些程序会在后台启动，这些程序通过“系统配置有用程序"（msconfig）佗启动

项

无法阻挡，操作起来特别不便，通过组策略则特别便利，这对削减系统资源占用特别有效。

通过

启用该策略并添加相应的应用程序，就可以限制用户运行这些应用程序。具体步骤如下：

(1)打开「开头」菜单，在“搜寻程序和文件”搜寻框中输入“gpedit.msc”并回车，打开

组策略

对象编辑器。

(2)在左边的窗格依次单击“用户配置一管理模板一系统”，然后在右边的窗格双击“不要

运行指

定的Windows应用程序”(如图1所示)。

图1双击”不要运行指定的Windows应用程序”

(3)选中“已启用”，单击“显示”按钮(如图2所示),添加要阻挡的程序如“Wgatray.ex

e”即可。

图2添加要阻挡的程序

当用户试图运行包含在不允许运行程序列表中的应用程序时，系统会提示警告信息。把

不允许运行的应用程序复制到其他的名目和分区中，仍旧是不能运行的。要恢复指定的受限

程序的运行力量，可以将“不要运行指定的Windows应用程序”策略设置为“未配置”或“已

禁用”，或者将指定的应用程序从不允许运行列表中删除(这要求删除后列表不会成为空白

的)。

这种方式只阻挡用户运行从Windows资源管理器中启动的程序，对于由系统过程或其他

过程启动的程序并不能禁止其运行。该方式禁止应用程序的运行,其用户对象的作用范围是

全部的用户，不仅仅是受限用户，Administrators组中的账户甚至是内建的administrato

r帐户都将受到限制，因此给管理员带来了肯定的不便。当管理员需要执行一个包含在不允

许运行列表中的应用程序时.，需要先通过组策略编辑器将该应用程序从不运行运行列表中删

除，在程序运行完成后，再将该程序添加到不允许运行程序列表中。需要留意的是，不要将

图4所示)，按“确定”即可。

图4双击“阻挡访问注册表编辑工具”

此策略被启用后，用户试图启动注册表编辑器(Regedit.exe及Regedt32.exe)的时候，

系统会禁止这类操作并弹出警告消息。

若要防止用户使用其他管理工具，请使用“只运行有定的Windows应用程序”设置。

提示：解除注册表锁定与禁用注册表编辑器方法步骤相同，双击右侧窗格中的“阻挡访

问注册表编辑器”，在弹出的窗口中选择“已禁用”或“未配置”，点击“确定”按钮后退

出组策略编辑器，即可为注册表解锁。

这项设置是•一把双刃剑：假如设为“已禁用”，则有一些正常软件(大部分软件需要与

注册表打交道)有可能不能使用，甚至无法安装；假如设置为“已启用”，则在杀毒软件的

监护之外，为恶意程序留下隐患。

3.阻挡访问命令提示符

命令提示符下有很多危急的操作，要阻挡非法用户使用命令提示符窗口(Cmd.exe),远

离各种不行预料的风险，具体步骤如下：

(1)打开I■开头」菜单,在“搜寻程序和文件”搜寻框中输入“gpedit.msc”并回车，

打开组策略对象编辑器。

(2)在组策略对象编辑器窗格左侧的树形图中依次绽开“用户配置一管理模板一系统”，

在右侧窗格中双击“阻挡访问命令提示符"(如图5所示),打开目标策略属性设置对话框。

图5双击“阻挡访问命令提示符”

(3)在“阻挡访问命令提示符"属性对话框中勾选已启用(如图6所示)，按“确定”即

可。

图6“阻挡访问命令提示符"属性对话框

假如启用这个设置，用户试图打开命令窗口，系统会显示一个消息，解释设置阻挡这种

操作。这个设置还打算批处理文件(.cmd和.bat)是否可以在计算机上运行。

提示：假如计算机使用登录、注销、启动或关闭批文件脚本，不能防止计算机运行批处

理文件；也不能防止使用终端服务的用户运行批处理文件。

4.禁止修改系统还原

“系统还原”是Wincows7的一项很重要的功能，假如您对计算机的平安性要求很高，

或是计算机是一台公用的计算机，有很多人会去使用，那么为了保证系统的可操作性，将“系

统还原”所占用的磁盘空间设置得大一些很有必要。但是假如这个设置被人更改，就会造成

以前创建的还原点中信息的丢失。

您可以在“组策略”中禁止对“系统还原”的配置进行修改。具体操作步骤如下：

(1)打开「开头」菜单，在“搜寻程序和文件”搜寻框中输入“gpedit.msc”并回车，

打开组策略对象编辑器。

(2)在组策略对象编辑器窗格左侧的树形图中依次绽开“计算机配置一管理模板一系统

一系统还原”，在右侧窗格中双击“关闭配置”(如图7所示)，打开目标策略属性设置对话

框。

图7双击“关闭配置”

(3)在“关闭配置”属性对话框中勾选“已启用”，按“确定”。“系统还原”配置界

面上配置系统还原的选项就会消逝。假如选择“已禁用”(如图8所示),则仍可观察配置界

面，但是，全部系统还原配置默认值都有效。

图8“关闭配置”属性对话框

留意：该配置必需重新启动计算机才会生效。

5.设置虚拟内存页面

对于重要文件，您可以通过加密和设置权限以禁止其他无关人员访问，不过您可知道，

假如真的有必要，他人完全可以通过其他途径获得您的机密信息，那就是虚拟内存页面文件。

虚拟内存页面文件作为物理内存的补充，用途是在硬盘和内存之间交换数据，而虚拟内存页

面文件本身就是硬盘上的一个文件，它位于系统所在硬盘分区的根名目中，文件名为pagef

ile.syso一般状况下，当您运行程序时，这些程序的一部分内容可能会被临时保存到分页

文件上，而假如您编辑完这个文件后立即就关闭了系统，那么文件的一些内容仍旧有可能被

保存在虚拟内存页面文件中。在这种状况下，假如有人得到了这台电脑的硬盘，那么只要把

硬盘拆出来，采用特殊的软件，就可以将虚拟内存页面文件中的机密信息读取出来。通过配

置组策略，您可以避开这种潜在的危急。

(1)打开「开头」菜单，在“搜寻程序和文件”搜寻框中输入“gpedit.msc”并回车，

打开组策略对象编辑器。

(2)在组策略对象编辑器窗格左侧的树形图中依次绽开“计算机配置一Windows设置一

平安设置一本地策略一平安选项”，在右侧窗格中双击“关机：清除虚拟内存页面文件”

(如图9所示)，打开目标策略属性设置对话框。

图9双击“关机：清除虚拟内存页面文件”

(3)在“关机：清除虚拟内存页面文件”属性对话框中勾选“已启用”(如图10所示)，

按“确定”即可。

图10“关机：清除虚拟内存页面文件”属性对话框

启用这个策略后，关机的时候系统会将分页文件中的全部内容都用“0”或者“1”写满，

这样全部的信息自然也都会消逝。

提示：这样做会减慢系统的关闭速度，假如不是特别必要，不建议您启用这个策略。

6.防止菜单泄漏隐私

在「开头」菜单中有一个“我最近的文档”菜单项，可以纪录您曾经访问过的文件。这

个功能可以便采用户再次打开该文件，但别人也可通过此菜单访问您最近打开的文档，为平

安起见，可屏蔽此项功能，具体操作步骤如下：

(1)打开「开头」菜单，在“搜寻程序和文件”搜寻框中输入“gpedit.msc”并回车，

打开组策略对象编辑器。

(2)在组策略对象编辑器窗格左侧的树形图中依次绽开“用户配置一管理模板一「开头」

菜单和任务栏”，分别在右侧窗格中双击”不要保留最近打开文档的历史”和“退出时清除

最近打开的文档的历史”(如图11所示)，打开目标策略属性设置对话框。

图11双击“退出时清除最近打开的文档的历史”

(3)分别在“不要保留最近打开文档的历史”和“退出时清除最近打开的文档的历史”

属性对话框中勾选“已启用”，按“确定”即可。

假如启用“退出时清除最近打开的文档的历史”设置，系统就会在用户注销时删除最近

使用的文档文件的快捷方式。因此，用户登录时，「开头」菜单上的“最近的项目”菜单总

是空的。假如禁用或不配置此设置，系统就会保留文档快捷方式，这样用户登录时，“最近

的项目”菜单中的内容与用户注销时一样。

提示：系统在“系统驱动器\DocumentsandSettings'用户名'我最近的文档”文件夹

中的用户配置文件中保存文档快捷方式。

当没有选择“从开头菜单删除最近的项目菜单”和“不要保留最近打开的文档的历史”

策略任何一个相关设置时，此项设置才能使用。

7.别让搜寻泄露隐私

快捷搜寻框是Windows7的一大特色，尤其在执行叉件夹搜寻时特别便利。不过这一功

能有时也特殊令人尴尬，那就是会自动保存下全部历史搜寻，而且并没有供应清除功能，其

中一些隐私内容就会挥之不去。

使用组策略随时清空搜寻历史是一个很好的补救措施，具体步骤如卜.：

(1)打开「开头」菜单，在“搜寻程序和文件”搜寻框中输入“gpedit.msc”并回车，

打开组策略对象编辑器。

(2)在组策略对象编辑器窗格左侧的树形图中依次绽开“用户配置一管理模板-Window

s组件一Windows资源管理器”，在右侧窗格中双击“在Windows资源管理器搜寻框中关闭

最近搜寻条目的显示”(如图12所示)，打开目标策略属性设置对•话框。

图12双击“在Windows资源管理器搜寻框”

(3)选择“已启用”(如图13所示)，按“确定”之后搜寻历史即被清空，当然以后也就

不会自动保存了。

图13选择“已启用”

8.设置桌面小工具

现在的病毒和木马真是特别的狡猾，竟然能够采用桌面小工具(WindowsVista中称边

栏小工具)入侵系统，虽然系统能够检测到如：“天气与生活”这款小工具没有得到微软认

可的有效数字签名，但用户只要单击“安装”按钮，即可顺当完成安装进程。如何防止这些

没有签证的桌面小工具给系统可能带来的潜在危急呢？通过组策略可以拒绝使用没有签证

的桌面小工具，具体操作步骤如下：

(D打开「开头」菜单,在“搜寻程序和文件”搜寻框中输入“gpedit.msc”并回车，

打开组策略对象编辑器。

(2)在组策略对象编辑器窗格左侧的树形图中依次绽开“计算机配置一管理模块一wind

ows组件一桌面小工具”，在右侧窗格中双击“限制未经数字签名的小工具的解包和安装”

(如图14所示)，打开目标策略属性设置对话框。

图14双击“限制未经数字签名的小工具的解包和安装”

(3)在“限制未经数字签名的小工具的解包和安装”属性对话框中勾选“已启用”(如图

15所示)，按“确定”，则Windows桌面小工具不会提取未经数字签名的任何小工具，

图15"限制未经数字签名的小工具的解包和安装”

提示：默认状况下，Windows桌面小工具是可以安装未签名的工具软件，但是假如启用

上述设置，Windows桌面小工具将不会再允许用户安装未经签名的软件，包括一些压缩文件。

这将给用户的系统带来肯定的平安保障。

9.完全禁止使用U盘

现在U盘已经相当普及，电脑里面的资料很简洁被复制，这对电脑中的资料无疑是•种

威逼。假如您的电脑中有一些重要的资料，那就要当心了。莫非要把USB端口给拆下来吗？

当然不是。其实运用Windows7系统本身的禁止使用USB设施的功能，就能彻底解决这一问

题。具体操作步骤如下：

(1)打开「开头」菜单,在“搜寻程序和文件”搜寻框中输入“gpedit.msc”并回车,

打开组策略对象编辑器。

(2)在组策略对象编辑器窗格左侧的树形图中依次绽开“计算机配置一管理模板一系统

一可移动存储访问”，在右侧窗格中双击“全部可移动存储类：拒绝全部权限”，打开目标

策略属性设置对话框(如图16所示)。

图16打开“全部可移动存储类：拒绝全部权限”

(3)在“全部可移动存储类：拒绝全部权限”属性质•话框中勾选“已启用”(如图17所

示)，按“确定”按钮就可以完全禁止USB存储类设施了。

图17“全部可移动存储类：拒绝全部权限”属性框

10.禁止数据写入U盘

假如您不预备完全禁止USB设施，盼望能读取L.盘的内容，只是禁止数据写入U盘。具

体操作步骤如卜.：

(1)打开「开头」菜单，在“搜寻程序和文件”搜寻框中输入“gpedit.msc”并回车，

打开组策略对象编辑器。

(2)在组策略对象编辑器窗格左侧的树形图中依次绽开“计算机配置一管理模板一系统

一可移动存储访问”，在右侧窗格中双击”可移动磁盘：拒绝写入权限”(如图18所示)，

打开目标策略属性设置对话框。

图18双击“可移动磁盘：拒绝写入权限”

(3)在“可移动磁盘：拒绝读取权限”属性对话框中勾选“已启用”(如图19所示)，按

“确定”按钮即可。

图19“可移动磁盘：拒绝读取权限”属性对话框

提示：以上对U盘进行了禁止写入设置。假如要U盘禁止读取，而允许写入数据，那可

以启用“可移动磁盘：拒绝读取权限”来实现。

11.允许识别指定U盘

以上“禁止使用U盘”和“禁止数据写入U盘”两项设置，在爱护自己电脑资料的同

时也给自己带来了很大的不便，如何让系统只能使用指定的U盘或者移动硬盘呢？通过组策

略“允许识别指定U盘”可能解决这一问题。操作步骤如下：

(D把I.盘插入到Windows7系统的USB接口中,让系统可以正常使用U盘，接着进入

“掌握面板”，双击“硬件和声音”、“设施管理器”;如图20所示)。

图20双击“硬件和声音”、“设施管理器”

(2)绽开“便携设施”，可以观察里面有您刚刚插入的U盘，在上面点击鼠标右键来选

择“属性”(如图21所示)。

图21绽开“便携设施”

(3)在弹出的“属性”窗口中点击“具体信息”标签，然后在设施“属性”下拉框中选

择“硬件ID”，下面的“值”中会消失字符串，这个就是您的U盘的硬件ID,把它复制出

来保存好。

(4)复制“通用串行总线掌握器”中“USB大容量存储设施”的硬件II),在“设施管理

器”中绽开“通用串行总线掌握器”列表,找到“USB大容量存储设施”(如图22所示)。

图22找到“USB大容量存储设施”

(5)在它的“属性”窗口中点击“具体信息”标签，更制出它的硬件ID(如图23所示)。

图23复制出U盘硬件ID

(6)打开「开头」菜单，在“搜寻程序和文件”搜寻框中输入“gpedit.msc”并回车，

打开组策略对象编辑器。侬次绽开“计算机配置一管理模板一系统一设施安装~设施安装限

制”(如图24所示)。

图24双击“禁止安装未由其他策略设置描述的设施”

(7)双击右侧的“禁止安装未由其他策略设置描述的设施”，在弹出的窗口中选择“已

启用”，再点击“确定”按钮，设置它可以来禁止策略没描述的USB设施(如图25所示)。

图25禁止安装未由其他策略设置描述的设施

(8)双击右侧的“允许安装与下列设施ID相匹配的设施”(如图26所示)，在弹出的窗

口中选择“已启用”,单击“显示”按钮，将允许安装的U盘的硬件H)粘贴到其中,再点

击“确定”按钮。

图26允许安装与下列设施ID相匹配的设施

12.禁止光盘自动播放

光盘自动播放虽然能给您带来了很多便利，但有些时候也会带来不少麻烦。默认状态下,

当您将光盘插入光驱时，系统就会自动读取光驱，并启动autorun.inf指定的应用程序。这

一默认状态对系统来说是极担心全的，说不定自动运行的是一个木马程序。有时插入光盘仅

仅是想查看一下光盘中的内容，自动播放功能会使您这一简洁想法的实现变得简单。关闭光

盘自动播放实属明智之举。用组策略可以关闭光盘自动播放功能，具体操作步骤如下：

(1)打开「开头」菜单,在“搜寻程序和文件”搜寻框中输入“gpedit.msc”并回车,

打开组策略对象编辑器。

(2)在组策略对象编辑器窗格左侧的树形图中依次绽开“用户配置一管理模板-window

s组件一自动播放策略”，在右侧窗格中双击“关闭自动播放”(如图27所示)，打开目标

策略属性设置对话框。

图27双击“关闭自动播放”

(3)在“关闭自动播放”属性对话框中勾选“已启用”(如图28所示)，在“关闭自动播

放”框中选择“CD-ROM启动器”或“全部驱动器”项按“确定”即可。

图28“关闭自动播放”对话框

留意：插入光盘时按住shift键可禁止光盘自动播放。这种方式最好能成为使用生疏光

盘时的一种操作习惯。此设置不阻挡自动播放音乐CD。

13.禁止安装移动设施

假如不盼望其他人在您的电脑上任凭使用移动设施，则可以通过组策略禁止安装可移动

设施。具体操作步骤如下：

(1)打开「开头」菜单,在“搜寻程序和文件”搜寻框中输入“gpedit.msc”并回车,

打开组策略对象编辑器。

(2)在组策略对象编辑器窗格左侧的树形图中依次绽开“计算机配置一管理模块一系统

一设施安装一设施安装限制”，在右侧窗格中双击“禁止安装可移动设施”(如图29所示),

打开目标策略属性设置对话框。

图29双击“禁止安装可移动设施”

(3)在属性对话框中勾选“已启用”并按“确定”。假如启用了此设置，则不会安装可

移动设施，而且无法更新现有可移动设施的驱动程序。

假如未配置或禁用了此设置，那么，只要其他策略设置允许安装设施，就可以安装可移

动设施和更新现有的可移动设施。

提示：此策略设置比允许安装设施的任何其他策略设置的优先级都高。假如此策略设置

禁止安装某个设施，那么，即使该设施与允许安装它的其他策略设置相匹配，也将无法安装

或更新该设施。

对于此策略，当设施所连接到的设施驱动程序该设施可移动时，设施被认为是可移动设

施。例如，设施连接到的USB集线器的驱动程序报告某个通用串行总线(USB)设施是可移动

设施。

假如此计算机是一台终端服务器，则启用此策略还会影响指定的设施从终端服务客户端

重定向到此计算机。

留意：禁止安装可移动设施对提高系统安装性能特别有效，使用此设置可防止可移动设

施如U盘的使用。

14.限制使用驱动器

若要防止用户使用“我的电脑”访问所选驱动器的内容，可按以下步骤操作：

(1)打开「开头」菜单,在“搜寻程序和文件”搜寻框中输入“gpedit.msc”并回车,

打开组策略对象编辑器。

(2)在组策略对象编辑器窗格左侧的树形图中依次绽开“用户配置一管理模板-Window

s组件一Windows资源管理器”，在右侧窗格中双击“防止用户使用‘我的电脑'访问所选

驱动器的内容”，打开目标策略属性设置对话框。

(3)在“防止用户使用‘我的电脑'访问所选驱动器的内容”属性对话框中勾选“已启

用”，并在下面列表框中选择一个驱动器或几个驱动器，按“确定”即可。

假如启用此设置，则用户可以扫瞄“我的电脑”或Windows资源管理器中所选驱动器

的名目结构，但是无法打开文件夹或访问其中的内容。此外，他们也无法使用“运行”对话

框或“映射网络驱动器”对话框来查看这些驱动器上的名目。

若要使用此设置.，请从下拉列表中选择一个驱动器或多个驱动器的组合。若要允许访问

全部驱动器名目，请禁用此设置或从卜拉列表