让组策略保护Windows XP的安全
更新日期:2010-07-23 09:07:09
默认安装完Windows XP之后,我们的Windows XP并不很安全。因此,我们有必要对系统进行一些修修补补, 一般情况下我们都要动用到注册表。诚然,修改注册表是一种非常有效的方法,但是它需要一定的计算机知识,否则极有可能会引起系统崩溃。不过,如果我们注意使用Windows XP中的组策略,就可以轻松地打造一个安全的Windows XP,而无需我们动用注册表编辑器!
一、了解XP的组策略
大家还记得Windows 98时代,我们曾用过Windows 98安装光盘上的策略编辑器的软件,当时想必也为它的神奇功能而惊叹不已!组策略工具的原理与Windows 98中的策略编辑器原理相同。利用它可以把很多平时需要冒着危险修改注册表才能够完成的操作在更为直观的界面中操作完成。
因此,通俗地说,组策略就是一个另类的注册表编辑器,利用它就可以更改系统中的某些重要设置。不仅可以省去记忆键值的痛苦,还可以免受修改注册表不慎带来的危险。
小提示
组策略不等同于注册表编辑器,注册表编辑器理论上可以更改任意的键值,从而让它更满足我们的要求。但是组策略只是对某些项目进行控制,因此从某种意义上来说,组策略能够完成的任务,修改注册表一定能够完成。但反之,修改注册表能够完成的任务,通过组策略就不一定能够有效。
二、组策略的启动
单击开始--运行--命令,在运行对话框的打开栏中输入gpedit.msc,然后单击确定按扭即可启动Windows XP组策略编辑器。
在打开的组策略窗口中(如图1所示),我们可以发现左侧窗格中是以树状结构给出的控制对象,右侧窗格中则是针对左边某一配置可以设置的具体策略。
小提示 计算机配置和用户配置的联系与区别
另外,您或许已经注意到,左侧窗格中的本地计算机策略是由计算机配置和用户配置两大子键构成,并且这两者中的部分项目是重复的,如两者下面都含有软件设置、Windows设置等。那么在不同子键下进行相同项目的设置有何区别呢?其实,这里的算机配置是对整个计算机中的系统配置进行设置的,它对当前计算机中所有用户的运行环境都起作用;而用户配置则是对当前用户的系统配置进行设置的,它仅对当前用户起作用。例如,二者都提供了停用自动播放功能的设置,如果是在计算机配置中选择了该功能,那么所有用户的光盘自动运行功能都会失效;如果是在用户配置中选择了此项功能,那么仅仅是该用户的光盘自动运行功能失效,其他用户则不受影响。设置时需注意这一点。
** 三、用组策略打造完全XP**
通过组策略工具,我们可以对系统进行一些设置,使它更加安全。下面就是非常实用的例子:
1.限制IE浏览器的保存功能
当多人共用一台计算机时,为了保持硬盘的整洁,需要对浏览器的保存功能进行限制使用,那么如何才能实现呢?具体方法为:选择用户设置--管理模板--Windows组件--Internet Explorer--浏览器菜单分支。双击右侧窗格中的文件菜单:禁用另存为菜单项(如图2),在打开的设置窗口中选中已启用单选按钮(如图)。
小提示
在图2窗格中,我们还可以对文件菜单:禁用另存为网页菜单项、查看菜单:禁用源文件;菜单项;和禁用上下文菜单等策略项目进行修改,这样我们的IE将会安全一些。
2.禁止修改IE浏览器的主页
如果您不希望他人或网络上的一些恶意代码对自己设定的IE浏览器主页进行随意更改的话,我们可以选择用户配置管理模板Windows 组件Internet Explorer分支,然后在右侧窗格中,双击禁用更改主页设置策略启用即可(如图4)。
小提示
(1)在图4窗格中,还提供了更改历史记录设置、更改颜色设置和更改Internet临时文件设置等项目的禁用功能。如果启用了这个策略,在IE浏览器的Internet 选项对话框中,其常规选项卡的主页区域的设置将变灰。
(2)如果设置了位于用户配置管理模板Windows 组件Internet ExplorerInternet 控制面板中的禁用常规页策略,则无需设置该策略,因为禁用常规页策略将删除界面上的常规选项卡。
(3)逐级展开用户设置管理模板Windows组件Internet Explorer分支,我们可以在其下发现Internet控制面板、脱机页浏览器菜单、工具栏、持续行为和管理员认可的控件等策略选项。利用它可以充分打造一个极有个性和安全的IE。
3.给我们的IP添加安全策略
在计算机配置Windows设置安全设置IP 安全策略,在本地计算机下与有与网络有关的几个设置项目。如果大家对Internet较为熟悉,那也可以通过它来添加或修改更多的网络安全设置,这样在 Windows上运行网络程序或者畅游Internet时将会更加安全。
** 小提示**
由于此项较为专业,其间会涉及到很多的专业概念,一般用户用不到,在这里只是给网络管理员们提个醒,因此在此略过。
4.禁用IE组件自动安装
选择计算机配置管理模板Windows组件Internet Explorer项目,双击右边窗口中禁用Internet Explorer组件的自动安装项目,在打开的窗口中选择已启用单选按钮,将会禁止 Internet Explorer 自动安装组件。这样可以防止 Internet Explorer 在用户访问到需要某个组件的网站时下载该组件,篡改IE的行为也会得到遏制!相对来说IE也会安全许多!
小提示
如果禁用该策略或不对其进行配置,则用户在访问需要某个组件的网站时,将会收到一则消息,提示用户下载并安装该组件。有时用户看也不看就选择安装则往往会出问题。网上的很多恶意代码往往都是这样工作的。
5.把用户的行动都记录下来
可能很多人都使用Windows XP作为局域网的域控制器,这样登录的用户必然较多。同时,Windows XP也是一个运行多用户的操作平台,因此,我们有必要对每个用户的行为进行一定的记录,以便到时对它们的行为进行监控,并进行记录,以供系统管理员查看和分析。所有的这些几乎全部集中在计算机配置Windows设置安全设置本地策略审核策略下。如图5,我们可以看到有很多与审核有关的项目:如审核策略更改、审核登录事件、审核对象访问、审核过程追踪、审核目录服务访问、审核特权使用、审核系统事件、审核账户登录事件和审核账户管理等等。双击某一个项目后,会出现如图6所示窗口,勾选成功和失败前复选框。
小提示
(1)审核(Audit)是Microsoft从Windows NT起开始使用的一项技术,所有被审核的对象会在系统的日志中创建出相应的项目,并会被记录下操作的时间、审核类别及相应的结果。
(2)所有的审核记录结果,可以通过选择开始控制面板管理工具管理工具系统工具事件查看器来查看。如果双击其中的某个审核项目,还可以看到它的详细资料,包括审核项目的日期、来源、时间、类别、类型、信息 、事件、用户、计算机、描述和数据等项目(如图7)。相信通过它,对于我们更加方便、安全地管理计算机是相当有用的。
当然,Windows XP中的组策略功能非常强大。有很多有用的设置可供我们修改,只是限于篇幅,笔者不能在这里一一说明了。
文档内容是否对您有帮助?
如果遇到产品相关问题,您可咨询 在线客服 寻求帮助。