用組策略強(qiáng)化你的安全性

李車勝

組策略是系統(tǒng)策略的高級(jí)擴(kuò)展，是管理員為用戶和計(jì)算機(jī)控制程序、網(wǎng)絡(luò)資源、系統(tǒng)、Windows組件的主要工具，可對(duì)系統(tǒng)的各種特殊屬性進(jìn)行設(shè)置。簡(jiǎn)單地解釋就是：組策略是調(diào)整注冊(cè)表的一個(gè)所見(jiàn)即所得編輯器。系統(tǒng)高手們往往不僅精通注冊(cè)表，還經(jīng)常通過(guò)組策略完成一些系統(tǒng)的高級(jí)調(diào)整與修改。下面就介紹三招，如何利用組策略提升系統(tǒng)安全性。

第一招：清理IE上網(wǎng)痕跡

在Windows XP系統(tǒng)中，關(guān)于組策略“Internet Explorer維護(hù)”的技巧有很多，我們可以進(jìn)行個(gè)性化設(shè)置。其中，可以通過(guò)添加腳本的方法，實(shí)現(xiàn)在退出IE時(shí)對(duì)上網(wǎng)痕跡進(jìn)行自動(dòng)清理。具體步驟是找一臺(tái)Windows 2000操作系統(tǒng)，將Deltree.exe文件復(fù)制到Windows XP系統(tǒng)的system32目錄下。用記事本編寫一個(gè)如下內(nèi)容的文本文件：

@echo off

cd c:documents ad

settingsadministratorlocal

settings emporary internet files

c:winntsystem32deltree .*.* /y

將文本保存為.bat批處理文件。在“開始”|“運(yùn)行”中輸入“gpedit.msc”打開組策略對(duì)話框，依次進(jìn)入“用戶配置”|“Windows設(shè)置”|“腳本(登錄/注銷)”，雙擊右邊窗口中的“注銷”，在“添加”項(xiàng)目中導(dǎo)入這個(gè)腳本文件即可。

第二招：禁用指定軟件程序

在組策略中，可以采取禁用注冊(cè)表或光驅(qū)、隱藏磁盤分區(qū)等一系列設(shè)置。這些功能在Windows 2000中就能實(shí)現(xiàn)。在Windows XP系統(tǒng)中還增加了對(duì)軟件的限制策略。在此以常用即時(shí)通訊軟件QQ為例進(jìn)行實(shí)例說(shuō)明。

打開組策略對(duì)話框，依次進(jìn)入“計(jì)算機(jī)配置”|“Windows設(shè)置”|“安全設(shè)置”|“軟件限制策略”|“其它規(guī)則”|“新路徑規(guī)則”，點(diǎn)擊“瀏覽”，找到QQ安裝目錄下的“QQ.exe”文件，在“安全級(jí)別”下選擇“不允許”。重啟計(jì)算機(jī)后，就無(wú)法用QQ了。若要重新使用QQ，把安全級(jí)別選為“不受限的”即可。

第三招：打造系統(tǒng)防火墻

在“組策略”中還可以打造系統(tǒng)防火墻。在默認(rèn)設(shè)置下，Windows有很多端口是開放的，網(wǎng)絡(luò)病毒和黑客可以通過(guò)這些端口接入你的電腦。為了資料的安全，應(yīng)該把不必要的端口封閉，減少居心不良者入侵的機(jī)會(huì)。以封閉80端口為例：先在“計(jì)算機(jī)配置”的“IP安全策略”中單擊右鍵，創(chuàng)建一個(gè)新的IP安全策略，在“屬性”中添加“篩選器列表”，在“編輯規(guī)則屬性”中選擇“新IP篩選器列表”對(duì)話框并點(diǎn)擊“添加”。

現(xiàn)在用三個(gè)步驟屏蔽80端口。第一步尋址，源地址選“任何IP地址”，目標(biāo)地址選“我的IP地址”；第二步選協(xié)議，選擇“TCP”，在“到此端口”下的文本框中輸入“80”；第三步創(chuàng)建，返回后進(jìn)入“編輯規(guī)則屬性”的“篩選器操作”，選擇“請(qǐng)求安全（可選）”，確定后返回，再對(duì)“創(chuàng)建IP安全策略”選擇“指派”。這樣就對(duì)TCP的80端口的服務(wù)進(jìn)行了屏蔽，因?yàn)槎丝?0是HTFP的協(xié)議，提供WWW服務(wù)，因而屏蔽之后HTFP協(xié)議網(wǎng)站也將無(wú)法打開(要重新開放可對(duì)以上各項(xiàng)進(jìn)行修改和刪除)。同理我們也可對(duì)一些易被木馬入侵的端口進(jìn)行屏蔽，讓木馬靠邊站。

常見(jiàn)的端口號(hào)對(duì)應(yīng)的協(xié)議及用途

21：FTP（文件傳輸）

23：TELNET（遠(yuǎn)程登錄）

25：SMTP（發(fā)送E-mail）

80：HTTP（WWW服務(wù)）

110：POP3（接收e-mail）

119：NNTP（新聞服務(wù)）

常見(jiàn)木馬的入侵端口號(hào)

灰鴿子：3389

黑洞：2000

冰河：7626

廣外女生：6267

其他組策略安全技巧

1、隱藏電腦的驅(qū)動(dòng)器

位置：用戶配置管理模板Windows組件Windows資源管理器

將“隱藏‘我的電腦中的這些指定驅(qū)動(dòng)器”和“防止從‘我的電腦訪問(wèn)驅(qū)動(dòng)器”設(shè)置為“已啟用”并設(shè)置欲阻止訪問(wèn)的驅(qū)動(dòng)器。

2、禁用注冊(cè)表

位置：用戶配置管理模板系統(tǒng)

將“組織訪問(wèn)注冊(cè)表編輯工具”設(shè)置為“已啟用”。

3、禁用控制面板

位置：用戶配置管理模板控制面板

將“禁止訪問(wèn)控制面板“設(shè)置為“已啟用”；或啟用“隱藏指定的控制面板程序”并設(shè)定隱藏的項(xiàng)目，如想在控制面板中隱藏Internet選項(xiàng)，則在隱藏控制面板程序里添加Inetcpl.cpl，具體名稱可查看WindowsSystem32里以cpl結(jié)尾的文件。

4、隱藏文件夾

位置：用戶配置管理模板Windows組件Windows資源管理器

將“從‘工具菜單刪除‘文件夾選項(xiàng)菜單”設(shè)置為“已啟用”。

5、關(guān)閉縮略圖緩存

位置：用戶配置管理模板Windows組件Windows資源管理器

將“關(guān)閉縮略圖的緩存”項(xiàng)設(shè)置為”已啟用“。