使用组策略配置Windows安全选项

原创
系统 Windows
关于Windows设置中安全设置的配置有需要大家格外重视,这关系到我们计算机的安全。这里我们又要用的强大的组策略。

【51CTO独家特稿】关于组策略有很多需要我们掌握的知识。本文主要介绍Windows配置“Windows设置”里的安全设置,如下图:

(1).账户策略

在这里可以设置密码和账户的锁定策略。例如,在这部分组策略中,我们可以设置密码最小长度或者密码需要包含复杂字符。

(2).本地策略

“本地策略”下有三个安全策略项,通过配置可以实现Windows系统的各种安全需求。例如,其中的“审计策略”用于配置服务器的Windows安全事件日志收集哪些事件;“用户权限分配”用于配置哪些用户能通过“远程桌面”访问指定的服务器或工作站;使用“安全选项”配置以确定是否激活指定系统上的“管理员”账户以及重命名“管理员”账户。

“审计策略”:允许我们控制Windows安全事件日志能收集哪些事件类型,在此指定成功或失败的事件,用于审计从活动目录访问到系统对象访问(如文件和注册表键)的各种事件类型。

“用户权限分配”是组策略中另一个强大的安全工具,能用于控制谁能在指定系统上做什么事情。用户权限的例子包括“本地登录”权限,用于控制谁能交互式登录服务器或工作站的控制台;“加载和卸载设备驱动”权限,用于赋予组或用户安装设备驱动的权限。

另外,还有一些与安全相关的Windows组策略设置:

禁用指定的文件类型

在“组策略”中,我们可以禁用SHS、MSI、BAT、CMD、COM、EXE等程序文件类型,而且不影响系统的正常运行。这里假设我们要禁用注册表的REG文件,不让系统运行REG文件,具体操作方法如下:

1. 打开组策略,点击“计算机配置→Windows设置→安全设置→软件限制策略”,在弹出的右键菜单上选择“创建软件限制策略”,即生成“安全级别”、“其他规则”及“强制”、“指派的文件类型”、“受信任的出版商”项。

2. 双击“指派的文件类型”打开“指派的文件类型属性”窗口,只留下REG文件类型,将其他的文件全部删除,如果还有其他的文件类型要禁用,可以再次打开这个窗口,在“文件扩展名”空白栏里输入要禁用的文件类型,将它添加上去。

3. 双击“安全级别→不允许的”项,点击“设为默认”按钮。然后注销系统或者重新启动系统,此策略即生效,运行REG文件时,会提示“由于一个软件限制策略的阻止,Windows无法打开此程序”。

4.要取消此软件限制策略的话,双击“安全级别→不受限的”,打开“不受限的 属性”窗口,按“设为默认值”即可。

提示:为了避免“软件限制策略”将系统管理员也限制,我们可以双击“强制”,选择“除本地管理员以外的所有用户”。如果用你的是文件类型限制策略,此选项可以确保管理员有权运行被限制的文件类型,而其他用户无权运行。

未经许可,不得在本机登录

使用电脑时,我们有时要离开座位一段时间。为了避免有人动用电脑,我们一般会把电脑锁定。但是在局域网中,为了方便网络登录,我们有时候会建立一些来宾账户,如果对方利用这些账户来注销当前账户登录到别的账户,那就麻烦了。既然我们不能删除或禁用这些账户,那么我们可以通过“组策略”来禁止一些账户在本机上登录,让对方只能通过网络登录。

在“组策略”窗口中依次打开“计算机配置→Windows设置→安全设置→本地策略→用户权限分配”,然后双击右侧窗格的“拒绝本地登录”项,在弹出的窗口中添加要禁止的用户或组即可实现。

如果我们想反其道而行之,禁止用户从网络登录,只能从本地登录,可以双击“拒绝从网络访问这台计算机”项将用户加上去。

给“休眠”和“待机”加个密码

在“组策略”窗口中展开“用户配置→管理模板→系统→电源管理”,在右边的窗格中双击“从休眠/挂起恢复时提示输入密码”,将其设置为“已启用”,那么当我们从“待机”或“休眠”状态返回时将会要求你输入用户密码。

禁止修改IE浏览器的主页

如果您不希望他人或网络上的一些恶意代码对自己设定的IE浏览器主页进行随意更改的话,我们可以选择“用户配置”→“管理模板”→“Windows 组件”→“Internet Explorer”分支,然后在右侧窗格中,双击“禁用更改主页设置”策略启用即可。

逐级展开“用户设置”→“管理模板”→“Windows组件”→“Internet Explorer”分支,我们可以在其下发现“Internet控制面板”、“脱机页”、“浏览器菜单”、“工具栏”、“持续行为”和“管理员认可的控件”等策略选项。利用它可以充分打造一个极有个性和安全的IE。

把Administrator藏起来

Windows系统默认的系统管理员账户名是Administrator。因此,为了避免有人恶意破解系统管理员Administrator账户的密码,我们可以将Administrator改为其他名字以加强安全。选择“计算机配置→Windows设置→安全设置→本地策略→安全选项”,在右边窗格里双击“账户:重命名系统管理员账户”项,在上面输入你想要的用户名。重新启动计算机后,输入的新用户名即刻生效。如果再新建一个Guest用户,用户名为Administrator,然后再加上十分复杂的密码就更安全。

为了避免让人在Windows的登录框中看到曾经登录过的用户名,就要双击“交互式登录:不显示上次的用户名”子项,选择“已启用”将该策略启用。这样上次登录到计算机的用户名就不会显示在Windows的登录画面中。

禁用IE组件自动安装

选择“计算机配置”→“管理模板”→“Windows组件”→“Internet Explorer”项目,双击右边窗口中“禁用Internet Explorer组件的自动安装”项目,在打开的窗口中选择“已启用”单选按钮,将会禁止 Internet Explorer 自动安装组件。这样可以防止 Internet Explorer 在用户访问到需要某个组件的网站时下载该组件,篡改IE的行为也会得到遏制!相对来说IE也会安全许多。

【51CTO独家特稿,合作站点转载请注明原文译者和出处。】

【编辑推荐】

  1. 组策略与桌面管理相结合 保护用户数据安全
  2. Windows系统组策略中的八个酷炫小技巧
  3. 组策略关闭Windows7的自动播放功能
  4. Windows 2008组策略ADMX文件配置攻略
责任编辑:张浩 来源: 51CTO.com
相关推荐

2010-12-15 15:30:45

组策略

2011-03-21 15:51:56

2016-10-09 09:28:22

Windows 10组策略配置

2010-11-15 17:32:00

组策略

2010-05-21 13:55:34

2011-07-07 16:27:10

安全策略组策略域控制器

2011-03-21 14:22:08

2010-05-26 10:45:34

2013-11-28 09:53:37

2011-07-19 16:11:36

组策略安全模板

2011-03-29 10:17:38

2009-07-29 16:52:40

2009-02-18 20:27:24

组策略提升Windows性能

2019-05-05 08:00:00

Windows密码组策略

2011-07-21 17:08:41

组策略

2010-04-08 15:40:16

Windows组策略

2011-07-21 13:04:01

组策略GPOAD

2013-11-28 10:50:31

2011-07-22 14:11:17

组策略

2011-07-26 10:51:04

点赞
收藏

51CTO技术栈公众号