組策略安全管理問答

引言：網絡管理人員對組策略肯定不陌生，通過修改組策略可以解決很多安全問題，下文給大家羅列了平時可能會遇到的問題和解決辦法，希望對大家有所幫助。

優(yōu)盤在局域網環(huán)境中使用很普遍，于是一些病毒趁虛而入，常常通過優(yōu)盤在局域網中瘋狂傳播，請問怎樣才能有效預防優(yōu)盤病毒，通過網絡隨意感染自己的計算機呢？

答：可以想辦法限制優(yōu)盤讀寫操作權限。打開系統(tǒng)組策略編輯界面，依次展開“本地計算機策略”、“用戶配置”、“管理模板”、“系統(tǒng)”、“可移動存儲”分支選項，雙擊指定分支下的“可移動磁盤：拒絕讀取權限”組策略，選中對應組策略屬性對話框中的“已啟用”選項，單擊“確定”按鈕保存設置操作。之后，打開“可移動磁盤：拒絕寫入權限”組策略屬性對話框，勾選“已啟用”選項，確認后退出設置對話框，這樣自己的計算機就不會輕易感染優(yōu)盤病毒了。

為了躲避殺毒軟件的追殺，很多狡猾病毒往往會想方設法地將自身隱藏到系統(tǒng)臨時文件夾中，那樣病毒文件即使被搜索到，殺毒軟件對它們也無可奈何。請問有沒有辦法防止病毒隱藏到系統(tǒng)臨時文件夾中呢？

答：答案是肯定的！以Windows Server 2008系統(tǒng)為例，只要按照下面的操作設置系統(tǒng)軟件限制策略，就能防止病毒隱藏到系統(tǒng)臨時文件夾中：依次單擊“開始”、“運行”命令，展開系統(tǒng)運行對話框，輸入“gpedit.msc”命令并回車，切換到系統(tǒng)組策略編輯界面。

在該編輯界面的左側顯示區(qū)域，將鼠標定位到“本地計算機策略”、“計算機配置”、“Windows設 置”、“安全設置”、“軟件限制策略”、“其他規(guī)則”選項上，用鼠標右鍵單擊指定選項，點選右鍵菜單中的“新建路徑規(guī)則”命令，在其后界面中單擊“瀏覽”按鈕，將Windows Server 2008系統(tǒng)臨時文件夾選中并導入進來，之后將“安全級別”選擇為“不允許”，再單擊“確定”按鈕退出設置對話框。

有些網絡病毒程序常常會利用遠程訪問注冊表方式，影響局域網終端系統(tǒng)的安全，請問怎樣限制網絡病毒程序遠程訪問注冊表？

答：可以先打開系統(tǒng)注冊表編輯界面，在該界面左側顯示區(qū)域，依次展開“本地計算機策略”、“計算機配置”、“Windows設 置”、“安全設置”、“本地策略”、“安全選項”組策略分支，雙擊指定分支下的“網絡訪問：可遠程訪問的注冊表路徑”組策略選項，在其后彈出的對話框中，刪除所有注冊表路徑信息。接著按照同樣的操作方法，進入“網絡訪問：可遠程訪問的注冊表路徑和子路徑”組策略屬性對話框，刪除所有缺省路徑信息，這樣任何網絡病毒程序日后都不能遠程訪問本地注冊表了。

如果登錄密碼設置得比較短，很容易被人猜中，請問怎樣才能強制用戶將密碼設置得更復雜一些？

答：只要調整系統(tǒng)組策略設置，強制用戶使用最小長度的密碼。比方說，要將密碼強制設置為10位以上時，不妨將鼠標定位到組策略編輯界面左側區(qū)域的“本地計算機策略”、“計算機配置”、“Windows設置”、“安全設置”、“賬戶策略”、“密碼策略”節(jié)點上，雙擊目標節(jié)點下面的“密碼必須符合復雜性要求”組策略，選中其后界面中的“已啟用”選項；接著用鼠標雙擊“密碼長度最小值”組策略，在其后彈出的對話框中輸入“10”，最后按下“確定”按鈕保存設置操作。這樣，用戶日后只有將登錄密碼修改成10位以上，才能符合安全要求。

請問怎樣避免用戶不設密碼，就能直接登錄Windows 8系統(tǒng)并進行操作的不安全現(xiàn)象呢？

答：很簡單!只要對使用空白密碼的用戶賬號進行權限限制，讓它們不能正常進行各種操作。

要做到這一點，可以先在Windows 8開始屏幕或傳統(tǒng)桌面中，使用“Win+R”快捷鍵，彈出系統(tǒng)運行對話框，輸入“gpedit.msc”命令打開Windows 8系統(tǒng)組策略控制臺窗口，在該窗口左側列表區(qū)域中，將鼠標定位在“本地計算機策略”、“Windows設置”、“安全設置”、“本地策略”、“安全選項”節(jié)點上，找到該節(jié)點下面的“帳戶：使用空白密碼的本地帳戶只允許進行控制臺登錄”組策略，同時用鼠標雙擊之，在其后界面中選擇“已啟用”選項，單擊“確定”按鈕保存設置操作，這樣空白密碼的用戶賬號日后就不能在Windows 8系統(tǒng)中隨意操作了。

非法用戶通常會通過系統(tǒng)管理員的SID來偷竊其登錄賬號名稱，再使用該名稱竊取本地系統(tǒng)的高級權限，請問怎樣限制非法用戶通過SID竊取管理員賬號？

答：只要展開系統(tǒng)組策略控制臺窗口，依次展開左側區(qū)域中的“本地計算機策略”、“計算機配置”、“Windows設置”、“安全設置”、“本地策略”、“安全選項”分支，雙擊指定分支下的“網絡訪問：允許匿名SID/名稱轉換”組策略，選擇其后對話框中的“已禁用”選項，再單擊“確定”按鈕退出設置對話框。這樣，非法用戶日后就不會隨意偷取到系統(tǒng)管理員賬號名稱了。

在使用IE瀏覽器訪問Web頁面內容時，一些潛藏在Web頁面背后的病毒、木馬程序，可能會自動下載到本地硬盤，日后這些惡意內容可能會威脅本地計算機的運行安全。請問如何禁止Web頁面中的內容自動下載存儲到本地硬盤中？

答：首先使用“Win+R”快捷鍵，調用系統(tǒng)運行文本框，在其中執(zhí)行“gpedit.msc”命令，開啟系統(tǒng)組策略編輯器運行狀態(tài)。

在該編輯窗口左側列表中，將鼠標定位到“本地計算機策略”、“計算機配置”、“管理模板”、“Windows 組件”、“Internet Explorer”、“安 全功能”、“限制文件下載”分支上。

雙擊該分支下的“Internet Explorer進程”組策略，打開“Internet Explorer進程”屬性對話框，選中“已啟用”選項，單擊“確定”按鈕返回，這樣就能禁止來自Web頁面中的內容自動下載存儲到本地硬盤中了。

在局域網工作環(huán)境中，有一些不自覺的用戶常常悄悄登錄自己的終端計算機，請問怎樣才能知道別人是否用過自己的計算機呢？

答：在Windows 7終端系統(tǒng)中，可以通過登錄監(jiān)控功能判斷用戶的悄悄登錄行為。只要先將鼠標定位到組策略編輯窗口的“計算機配置”、“管理模板”、“Windows組件”、“Windows登錄選項”節(jié)點上，雙擊“在用戶登錄期間顯示有關以前登錄的信息”組策略，選中“已禁用”選項，同時單擊“確定”按鈕，這樣下次登錄Windows 7系統(tǒng)時，用戶就能看到之前是否有人偷偷用過本地系統(tǒng)了。

為了避免普通用戶無意中發(fā)現(xiàn)計算機分區(qū)中的隱私數(shù)據(jù)，請問怎樣才能將重要分區(qū)隱藏起來，讓其他人無法輕易進入分區(qū)窗口？

答：可以先進入系統(tǒng)組策略編輯界面，逐一展開“本地計算機策略”、“用戶配置”、“管理模板”、“Windows組件”、“Windows資源管理器”分支，雙擊指定分支下的“隱藏‘我的電腦’中的這些指定驅動器”組策略，之后在“選擇下列組合中的一個”設置項處選中需要隱藏的特定磁盤分區(qū)，單擊“確定”按鈕退出設置對話框。這樣，普通用戶再次打開計算機窗口時，就無法找到特定磁盤分區(qū)了。

Web服務器作用相當突出，要是允許普通用戶自由執(zhí)行關機操作的話，一定會影響整個網絡用戶的正常工作。為了不讓別人隨意關閉Web服務器，影響其安全穩(wěn)定運行，請問怎樣讓系統(tǒng)“開始”菜單中的關機命令隱藏起來？

答：只要進入服務器系統(tǒng)組策略控制臺窗口，依次展開“本地計算機策略”、“用戶配置”、“管理模板”、“開始菜單和任務欄”分支上，打開“刪除并阻止訪問‘關機’、‘重新啟動’、‘睡眠’和‘休眠’命令”組策略屬性對話框，選中“已啟用”選項，單擊“確定”按鈕后關閉設置對話框即可。

大家知道，“系統(tǒng)還原”功能可以保護系統(tǒng)運行穩(wěn)定性，但要是允許用戶隨意修改系統(tǒng)還原配置，很容易引起Windows系統(tǒng)還原點信息被丟失，從而造成系統(tǒng)無法安全運行，請問如何限制他人自由調整系統(tǒng)還原配置？

答：不妨先進入系統(tǒng)組策略編輯界面，將鼠標定位到“本地計算機策略”、“計算機配置”、“管理模板”、“系統(tǒng)”、“系統(tǒng)還原”分支上，雙擊指定分支下的“關閉配置”組策略，選中其后界面中的“已啟用”選項，確認后重新啟動Windows系統(tǒng)。這樣，Windows系統(tǒng)還原配置框中的設置選項將會全部失效，普通用戶自然就不能自由調整系統(tǒng)還原配置了。

在缺省狀態(tài)下，Windows 7系統(tǒng)會為匿名賬號和everyone賬號授予相同訪問權限，倘若管理員無意中為everyone帳號授予較高權限時，匿名賬號將會自動獲得相應權限。請問為了確保Windows 7系統(tǒng)運行安全，怎樣降低匿名用戶的權限等級？

答：只要打開系統(tǒng)組策略編輯界面，依次跳轉到“本地計算機策略”、“計算機配置”、“Windows設 置”、“安全設置”、“本地策略”、“安全選項”分支上，雙擊指定分支下的“網絡訪問：將everyone權限應用于匿名用戶”組策略，選中其后界面中的“已禁用”選項，再單擊“確定”按鈕保存設置操作。這樣，匿名用戶在缺省狀態(tài)下就不會擁有訪問權限了。

為了圖管理方便，有些管理員會對特定組用戶賬號集中授予網絡訪問權限，但這可能會給網絡安全帶來麻煩。所以，在一些特別重要的Windows 8系統(tǒng)中，應取消組用戶帳號的網絡訪問權，請問如何進行這項操作呢？

答：在系統(tǒng)組策略編輯窗口，依次跳轉到“本地計算機策略”、“計算機配置”、“Windows設 置”、“安全設置”、“本地策略”、“用戶權限分配”分支上，找到指定分支下的“從網絡訪問此計算機”組策略，用鼠標雙擊之，在其后的組策略設置框中能看到所有用戶賬號的身影。

在默認狀態(tài)下，它們都具有一定的網絡訪問權限。這個時候，不妨嘗試選中那些陌生或可疑的組用戶賬號，單擊“刪除”按鈕，確認后退出設置對話框。這樣，就能取消指定組用戶賬號的網絡訪問權限了。

通過網絡打印能有效提高打印機利用效率，同時能節(jié)約辦公成本，但如果網絡打印機被隨意使用的話，就不能達到上述控制目的。請問怎樣限制他人隨意進行網絡打印呢？

答：只要進入網絡打印機所在主機的組策略編輯界面，依次展開“本地計算機策略”、“計算機配置”、“管理模塊”、“打印機”分支選項，雙擊指定分支下的“打印機瀏覽”組策略，選擇其后界面中的“禁用”選項，單擊“確定”按鈕退出設置對話框。這樣，普通用戶將不能輕易找到網絡打印機的“身影”了。

一些狡猾的黑客工具經常會借助匿名枚舉方式，暴力破解重要共享資源的訪問密碼，請問怎樣防止暴力破解？

答：只要在系統(tǒng)組策略編輯界面中，用鼠標逐一雙擊“本地計算機策略”、“計算機配置”、“Windows 設置”、“安全設置”、“本地策略”、“安全選項”分支下的“網絡訪問：不允許SAM賬號和共享的匿名枚舉”組策略，從其后展開的選項設置框中，將“已啟用”選項勾選起來，再單擊“確定”按鈕返回。這樣，Windows系統(tǒng)的共享資源訪問密碼就不會被輕易暴力破解了。

倘若非法用戶向重要主機系統(tǒng)不停發(fā)送Ping命令測試包，或許會引起重要主機系統(tǒng)無法安全穩(wěn)定運行，請問怎樣有效防止Ping命令攻擊？

答：只要在系統(tǒng)組策略編輯界面中，將鼠標逐一定位到“本地計算機策略”、“計算機配置”、“Windows設置”、“安全設置”、“高級安全Windows防火墻”、“高級安全Windows防火墻——本地組策略對象”、“入站規(guī)則”、“新規(guī)則”分支上，接著根據(jù)向導提示，依次選中“自定義”、“所有程序”、“ICMPv4”、“阻止連接”選項，同時定義好入站規(guī)則應用環(huán)境，最后重新啟動終端系統(tǒng)。這樣，重要終端系統(tǒng)日后就不會輕易受到惡意Ping命令攻擊了。

在多用戶賬號環(huán)境下，為了保護計算機的使用安全，請問如何禁止普通用戶使用USB存儲設備？

答：USB存儲設備每次插入計算機后，Windows系統(tǒng)都會自動調用位于“C:WindowsSystem32Drivers”文件夾中的驅動文件“Substor.sys”，手工將其刪除后，文件保護機制會自動生成新的驅動。為了避免這種現(xiàn)象，我們可以開啟記事本程序運行狀態(tài)，創(chuàng)建好“aaa.bat”批處理文件，在該文件編輯窗口中輸入如下命令代碼：

@echo

copy c:windowsaa.exe c:usbstor.sys /y //復制任意文件到C盤根目錄，并將其名稱設置為“usbstor.sys”

replace c:usbstor.sys C:WindowsSystem32Drivers //將虛假的設備驅動替換到“C:WindowsSystem32Drivers”文件夾中

del aaa.bat

之后依次點擊“開始”、“運行”命令，彈出系統(tǒng)運行對話框，在其中執(zhí)行“gpedit.msc”命令，打開系統(tǒng)組策略控制臺窗口。在該窗口的左側列表中，依次跳轉到“本地計算機策略”、“計算機配置”、“Windows設 置”、“腳 本（啟動/關機）”分支上，用鼠標雙擊該分支下的“啟動”組策略，在對應組策略屬性對話框中，按下“添加”按鈕，導入“aaa.bat”批處理文件，確認后保存設置操作，這樣普通用戶日后就不能在本地計算機中使用USB存儲設備了。

我們知道，組策略也是病毒、木馬程序經?！安厣怼钡牡胤?，請問怎樣識別出系統(tǒng)組策略中是否隱藏了病毒、木馬程序呢？

答：進入系統(tǒng)組策略編輯界面，依次展開“本地計算機策略”、“用戶配置”、“管理模板”、“系統(tǒng)”、“登錄”分支選項，雙擊指定分支下的“在用戶登錄時運行這些程序”組策略，將“已啟用”選項勾選起來，再按下“顯示”按鈕，檢查其后界面中是否存在一些稀奇古怪的內容，缺省狀態(tài)下這里應該是空的，要是看到有內容存在，那基本就可以識別出系統(tǒng)組策略中隱藏了病毒、木馬程序。

現(xiàn)在USB存儲設備隨處可見，很多病毒、木馬程序，常常會通過該設備自動播放功能，實現(xiàn)病毒惡意傳播目的。請問如何禁止USB存儲設備自動播放功能，以避免“autorun”病毒的非法傳播？

答：可以打開系統(tǒng)運行文本框，在其中執(zhí)行“gpedit.msc”命令，彈出組策略編輯界面。依次跳轉到該界面左側顯示區(qū)域中的“本地計算機策略”、“計算機配置”、“管理模板”、“系統(tǒng)”分支上，雙擊指定分支下的“關閉自動播放”選項，選中其后對話框中的“已啟用”選項，同時展開關閉自動播放列表，選擇USB存儲設備對應的分區(qū)符號，點擊“應用”按鈕返回。當然，上述設置操作僅適合Windows XP操作系統(tǒng)，在Vista以后操作系統(tǒng)版本中，應該依次展開“本地計算機策略”、“計算機配置”、“管理模板”、“Windows組件”、“自動播放策略”分支選項，雙擊指定分支下的“關閉自動播放”組策略，在其后界面中選擇USB存儲設備分區(qū)符號即可。

盡管安裝系統(tǒng)補丁可以預防Windows系統(tǒng)漏洞帶來的安全威脅，不過該方法對應用程序漏洞不起作用，請問怎樣有效預防應用程序漏洞帶來的安全威脅？

答：只要限制用戶使用帶有漏洞的應用程序即可。先進入組策略編輯界面，依次跳轉到“本地計算機策略”、“計算機配置”、“Windows設置”、“安全設置”、“軟件限制策略”分支上，右擊“軟件限制策略”選項，選擇“創(chuàng)建軟件限制策略”命令。之后在“軟件限制策略”下雙擊“強制”選項，選中“所有用戶”，同時單擊“確定”返回。下面右擊“其他規(guī)則”選項，點選“新建路徑規(guī)則”命令，導入帶有漏洞的特定應用程序，將“安全級別”設置為“不允許”。這樣，用戶日后就不能在本地使用具有漏洞的應用程序了。

在缺省狀態(tài)下，Windows 7系統(tǒng)會限制遠程連接數(shù)量，當超過限制數(shù)量后，其他用戶就無法與Windows 7系統(tǒng)建立遠程連接了。請問怎樣防止空閑連接“占位”不干活，影響其他用戶的安全穩(wěn)定登錄？

答：可以展開系統(tǒng)組策略編輯界面中的“本地計算機策略”、“計算機配置”、“Windows設 置”、“安全設置”、“本地策略”、“安全選項”分支選項，雙擊指定分支下的“網絡安全：在超過登錄時間后強制注銷”組策略，選中其后界面中的“已啟用”選項，單擊“確定”按鈕返回。這樣，Windows 7系統(tǒng)日后會自動將空閑的遠程連接斷開，那么其他人就容易與之建立安全穩(wěn)定連接了。

盡管Windows 7系統(tǒng)自帶有BitLocker加密功能，但該功能在缺省狀態(tài)下對優(yōu)盤無效，請問怎樣使用該功能加密優(yōu)盤，以便保護其中的重要數(shù)據(jù)安全？

答：很簡單！只要在系統(tǒng)組策略編輯界面中，將鼠標定位到“本地計算機策略”、“計算機配置”、“管理模板”、“Windows組件”、“Bitlocker驅動器加密”、“可移動數(shù)據(jù)驅動器”分支選項上，雙擊指定分支下的“控制對可移動數(shù)據(jù)驅動器使用Bitlocker”選項，將其后對話框中的“已啟用”選項勾選起來，同時按下“確定”按鈕返回。這樣，用戶日后就能對存儲了重要數(shù)據(jù)的優(yōu)盤進行Bitlocker加密操作了。

為了保護系統(tǒng)登錄安全，我們需要對系統(tǒng)登錄操作加強監(jiān)控，請問如何對每次登錄系統(tǒng)狀態(tài)進行追蹤、監(jiān)控呢？

答：很簡單！利用Windows系統(tǒng)自帶的日志記錄功能，就能追蹤記憶每次登錄系統(tǒng)的狀態(tài)信息，即使登錄系統(tǒng)失敗了，該過程也能被自動記錄下來。要做到這一點，必須開啟審核登錄功能，只有對登錄事件進行審核后，其日志功能才會自動保存系統(tǒng)登錄狀態(tài)。在對系統(tǒng)登錄事件進行審核時，不妨使用“Win+R”快捷鍵，打開系統(tǒng)運行對話框，輸入“secpol.msc”命令并回車，彈出系統(tǒng)本地安全策略界面。

在該界面的左側顯示窗格中，逐一跳轉到“安全設置”、“本地策略”、“審核策略”節(jié)點上，找到目標節(jié)點下的“審核登錄事件”選項，并用鼠標雙擊之，選中其后界面中的“成功”、“失敗”選項，確認后返回，這樣Windows系統(tǒng)日后就能對每次登錄系統(tǒng)狀態(tài)進行自動監(jiān)控了。

如果想查看系統(tǒng)登錄監(jiān)控結果時，不妨用鼠標右鍵單擊“計算機”圖標，選擇快捷菜單中的“管理”命令，彈出計算機管理窗口，將鼠標定位到該窗口中的“系統(tǒng)工具”、“事件查看器”、“Windows日志”、“系統(tǒng)”節(jié)點上，在該節(jié)點下面我們就能看到系統(tǒng)登錄的所有記錄了，雙擊每個記錄選項，就能查看到每次登錄系統(tǒng)的狀態(tài)信息了。