使用組策略配置Windows安全選項
原創【51CTO獨家特稿】關于組策略有很多需要我們掌握的知識。本文主要介紹Windows配置“Windows設置”里的安全設置,如下圖:
(1).賬戶策略
在這里可以設置密碼和賬戶的鎖定策略。例如,在這部分組策略中,我們可以設置密碼最小長度或者密碼需要包含復雜字符。
(2).本地策略
“本地策略”下有三個安全策略項,通過配置可以實現Windows系統的各種安全需求。例如,其中的“審計策略”用于配置服務器的Windows安全事件日志收集哪些事件;“用戶權限分配”用于配置哪些用戶能通過“遠程桌面”訪問指定的服務器或工作站;使用“安全選項”配置以確定是否激活指定系統上的“管理員”賬戶以及重命名“管理員”賬戶。
“審計策略”:允許我們控制Windows安全事件日志能收集哪些事件類型,在此指定成功或失敗的事件,用于審計從活動目錄訪問到系統對象訪問(如文件和注冊表鍵)的各種事件類型。
“用戶權限分配”是組策略中另一個強大的安全工具,能用于控制誰能在指定系統上做什么事情。用戶權限的例子包括“本地登錄”權限,用于控制誰能交互式登錄服務器或工作站的控制臺;“加載和卸載設備驅動”權限,用于賦予組或用戶安裝設備驅動的權限。
另外,還有一些與安全相關的Windows組策略設置:
禁用指定的文件類型
在“組策略”中,我們可以禁用SHS、MSI、BAT、CMD、COM、EXE等程序文件類型,而且不影響系統的正常運行。這里假設我們要禁用注冊表的REG文件,不讓系統運行REG文件,具體操作方法如下:
1. 打開組策略,點擊“計算機配置→Windows設置→安全設置→軟件限制策略”,在彈出的右鍵菜單上選擇“創建軟件限制策略”,即生成“安全級別”、“其他規則”及“強制”、“指派的文件類型”、“受信任的出版商”項。
2. 雙擊“指派的文件類型”打開“指派的文件類型屬性”窗口,只留下REG文件類型,將其他的文件全部刪除,如果還有其他的文件類型要禁用,可以再次打開這個窗口,在“文件擴展名”空白欄里輸入要禁用的文件類型,將它添加上去。
3. 雙擊“安全級別→不允許的”項,點擊“設為默認”按鈕。然后注銷系統或者重新啟動系統,此策略即生效,運行REG文件時,會提示“由于一個軟件限制策略的阻止,Windows無法打開此程序”。
4.要取消此軟件限制策略的話,雙擊“安全級別→不受限的”,打開“不受限的 屬性”窗口,按“設為默認值”即可。
提示:為了避免“軟件限制策略”將系統管理員也限制,我們可以雙擊“強制”,選擇“除本地管理員以外的所有用戶”。如果用你的是文件類型限制策略,此選項可以確保管理員有權運行被限制的文件類型,而其他用戶無權運行。
未經許可,不得在本機登錄
使用電腦時,我們有時要離開座位一段時間。為了避免有人動用電腦,我們一般會把電腦鎖定。但是在局域網中,為了方便網絡登錄,我們有時候會建立一些來賓賬戶,如果對方利用這些賬戶來注銷當前賬戶登錄到別的賬戶,那就麻煩了。既然我們不能刪除或禁用這些賬戶,那么我們可以通過“組策略”來禁止一些賬戶在本機上登錄,讓對方只能通過網絡登錄。
在“組策略”窗口中依次打開“計算機配置→Windows設置→安全設置→本地策略→用戶權限分配”,然后雙擊右側窗格的“拒絕本地登錄”項,在彈出的窗口中添加要禁止的用戶或組即可實現。
如果我們想反其道而行之,禁止用戶從網絡登錄,只能從本地登錄,可以雙擊“拒絕從網絡訪問這臺計算機”項將用戶加上去。
給“休眠”和“待機”加個密碼
在“組策略”窗口中展開“用戶配置→管理模板→系統→電源管理”,在右邊的窗格中雙擊“從休眠/掛起恢復時提示輸入密碼”,將其設置為“已啟用”,那么當我們從“待機”或“休眠”狀態返回時將會要求你輸入用戶密碼。
禁止修改IE瀏覽器的主頁
如果您不希望他人或網絡上的一些惡意代碼對自己設定的IE瀏覽器主頁進行隨意更改的話,我們可以選擇“用戶配置”→“管理模板”→“Windows 組件”→“Internet Explorer”分支,然后在右側窗格中,雙擊“禁用更改主頁設置”策略啟用即可。
逐級展開“用戶設置”→“管理模板”→“Windows組件”→“Internet Explorer”分支,我們可以在其下發現“Internet控制面板”、“脫機頁”、“瀏覽器菜單”、“工具欄”、“持續行為”和“管理員認可的控件”等策略選項。利用它可以充分打造一個極有個性和安全的IE。
把Administrator藏起來
Windows系統默認的系統管理員賬戶名是Administrator。因此,為了避免有人惡意破解系統管理員Administrator賬戶的密碼,我們可以將Administrator改為其他名字以加強安全。選擇“計算機配置→Windows設置→安全設置→本地策略→安全選項”,在右邊窗格里雙擊“賬戶:重命名系統管理員賬戶”項,在上面輸入你想要的用戶名。重新啟動計算機后,輸入的新用戶名即刻生效。如果再新建一個Guest用戶,用戶名為Administrator,然后再加上十分復雜的密碼就更安全。
為了避免讓人在Windows的登錄框中看到曾經登錄過的用戶名,就要雙擊“交互式登錄:不顯示上次的用戶名”子項,選擇“已啟用”將該策略啟用。這樣上次登錄到計算機的用戶名就不會顯示在Windows的登錄畫面中。
禁用IE組件自動安裝
選擇“計算機配置”→“管理模板”→“Windows組件”→“Internet Explorer”項目,雙擊右邊窗口中“禁用Internet Explorer組件的自動安裝”項目,在打開的窗口中選擇“已啟用”單選按鈕,將會禁止 Internet Explorer 自動安裝組件。這樣可以防止 Internet Explorer 在用戶訪問到需要某個組件的網站時下載該組件,篡改IE的行為也會得到遏制!相對來說IE也會安全許多。
【51CTO獨家特稿,合作站點轉載請注明原文譯者和出處。】
【編輯推薦】
