Windows 7 (以下、Win7) の最適化設定方法も無数にあり、ユーザーはそれらをつなぎ合わせて、その真偽を判断することが難しく、その効果を知ることができません。実は、Win7のシステムグループポリシー機能を利用することで、Win7のシステム最適化を実現することができます。この記事では、グループ ポリシーを使用して Win7 の安全性を高める方法について説明します。
注: グループ ポリシー機能は、Win7 Professional、Ultimate、および Enterprise エディションでのみ使用できます。
ファイルの機密性により、ドライブに透明マントがかかります
ドライブには主にハード ドライブ、光学ドライブ、モバイル デバイスなどが含まれ、主にデータの保存に使用されます。したがって、重要な機密情報の漏洩を効果的に防止し、ウイルスやトロイの木馬の侵入をブロックするには、ドライブの使用を制限することが非常に必要です。ドライブが異なれば調整方法も異なり、同じドライブでも異なる調整レベルを持つことができます。ハードディスクについては、一般に、非表示アクセスと禁止アクセスの 2 つのレベルがあります。非表示レベルは比較的基本的なもので、ドライブを非表示にするだけで、通常は子供や初心者のユーザーを防止するために使用されますが、禁止されたアクセスはドライブへのアクセスを完全に防止できます。モバイル デバイスの場合は、読み取り、書き込み、および実行のアクセス許可を設定することを選択できますが、ウイルスやトロイの木馬は通常、悪意のあるプログラムを実行することによって拡散するため、実行アクセス許可を無効にすることが最も効果的です。
一次防御は一般ユーザーには見えない
自宅のコンピュータのハード ドライブに重要なファイルがいくつかあります。それらを他の人に見られたくない場合、最も簡単な方法は、ファイルが保存されているドライブを非表示にすることです。 「スタート」をクリックし、検索ボックスに「gpedit.msc」と入力します。確認後、右側の設定ウィンドウで「ユーザーの構成」→「管理用テンプレート」→「Windows エクスプローラー」の順に展開します。 , 「「マイ コンピューター」でこれらの指定したドライブを非表示にする」に移動し、「有効」を選択し、下のドロップダウン リストで非表示にする必要があるドライブを選択して、[OK] を選択します。もう一度「Computer」と入力すると、選択したドライブのアイコンが消えます。
ヒント: この方法では、ドライブ アイコンが非表示になるだけです。ユーザーは、アドレス バーにドライブのディレクトリ パスを直接入力するなど、他の方法を使用してドライブの内容にアクセスできます。さらに、この設定は、ユーザーがプログラムを使用してこれらのドライブまたはそのコンテンツにアクセスすることを妨げません。
Advanced Defense は特権ユーザーのみが使用できます
システム ディスクには重要なシステム ファイルがあり、他の人が変更したり移動したりすることはできません。特に、一部のパーティションに重要なファイルがある場合、ドライブを非表示にしただけでは、他の人がそのドライブにアクセスできてしまいます。これは当然不可能です。最も安全な方法は、関連するドライブを保護し、権限のないユーザーがアクセスできないようにすることです。
同様に、グループ ポリシー マネージャーで、[ユーザーの構成] → [管理用テンプレート] → [Windows コンポーネント] → [Windows エクスプローラー] を展開し、「'マイ コンピューター' からのドライブ アクセスを禁止する」と入力し、[有効] を選択し、ドロップダウンから [有効] を選択します。以下のリストからアクセスをブロックする必要があるドライブを選択します。確認後に有効になります (図 1 を参照)。他の人が該当するドライブにアクセスしようとすると、「制限」プロンプト ウィンドウが表示されます。自分で確認する必要がある場合は、関連するポリシー設定を「有効」から「未構成」に変更するだけです。
.jpg)
Windows 7 (以下、Win7) の最適化設定方法も無数にあり、ユーザーはそれらをつなぎ合わせて、その真偽を判断することが難しく、その効果を知ることができません。実は、Win7のシステムグループポリシー機能を利用することで、Win7のシステム最適化を実現することができます。この記事では、グループ ポリシーを使用して Win7 の安全性を高める方法について説明します。
注: グループ ポリシー機能は、Win7 Professional、Ultimate、および Enterprise エディションでのみ使用できます。
ファイルの機密性により、ドライブに透明マントがかかります
ドライブには主にハード ドライブ、光学ドライブ、モバイル デバイスなどが含まれ、主にデータの保存に使用されます。したがって、重要な機密情報の漏洩を効果的に防止し、ウイルスやトロイの木馬の侵入をブロックするには、ドライブの使用を制限することが非常に必要です。ドライブが異なれば調整方法も異なり、同じドライブでも異なる調整レベルを持つことができます。ハードディスクについては、一般に、非表示アクセスと禁止アクセスの 2 つのレベルがあります。非表示レベルは比較的基本的なもので、ドライブを非表示にするだけで、通常は子供や初心者のユーザーを防止するために使用されますが、禁止されたアクセスはドライブへのアクセスを完全に防止できます。モバイル デバイスの場合は、読み取り、書き込み、および実行のアクセス許可を設定することを選択できますが、ウイルスやトロイの木馬は通常、悪意のあるプログラムを実行することによって拡散するため、実行アクセス許可を無効にすることが最も効果的です。
一次防御は一般ユーザーには見えない
自宅のコンピュータのハード ドライブに重要なファイルがいくつかあります。それらを他の人に見られたくない場合、最も簡単な方法は、ファイルが保存されているドライブを非表示にすることです。 「スタート」をクリックし、検索ボックスに「gpedit.msc」と入力します。確認後、右側の設定ウィンドウで「ユーザーの構成」→「管理用テンプレート」→「Windows エクスプローラー」の順に展開します。 , 「「マイ コンピューター」でこれらの指定したドライブを非表示にする」に移動し、「有効」を選択し、下のドロップダウン リストで非表示にする必要があるドライブを選択して、[OK] を選択します。もう一度「Computer」と入力すると、選択したドライブのアイコンが消えます。
ヒント: この方法では、ドライブ アイコンが非表示になるだけです。ユーザーは、アドレス バーにドライブのディレクトリ パスを直接入力するなど、他の方法を使用してドライブの内容にアクセスできます。さらに、この設定は、ユーザーがプログラムを使用してこれらのドライブまたはそのコンテンツにアクセスすることを妨げません。
Advanced Defense は特権ユーザーのみが使用できます
システム ディスクには重要なシステム ファイルがあり、他の人が変更したり移動したりすることはできません。特に、一部のパーティションに重要なファイルがある場合、ドライブを非表示にしただけでは、他の人がそのドライブにアクセスできてしまいます。これは当然不可能です。最も安全な方法は、関連するドライブを保護し、権限のないユーザーがアクセスできないようにすることです。
同様に、グループ ポリシー マネージャーで、[ユーザーの構成] → [管理用テンプレート] → [Windows コンポーネント] → [Windows エクスプローラー] を展開し、「'マイ コンピューター' からのドライブ アクセスを禁止する」と入力し、[有効] を選択し、ドロップダウンから [有効] を選択します。以下のリストからアクセスをブロックする必要があるドライブを選択します。確認後に有効になります (図 1 を参照)。他の人が該当するドライブにアクセスしようとすると、「制限」プロンプト ウィンドウが表示されます。自分で確認する必要がある場合は、関連するポリシー設定を「有効」から「未構成」に変更するだけです。
.jpg)
ヒント: このポリシー設定を有効にすると、ユーザーはデフォルトのホームページを設定できなくなるため、必要に応じて、ユーザーは設定を変更する前にデフォルトのホームページを指定する必要があります。
IE設定をフリーズする
前述したように、システムがウイルスやトロイの木馬に感染すると、IE のホームページが改ざんされるだけでなく、他の IE の設定も改ざんされる可能性があります。したがって、IE の設定に保護カバーを追加することが非常に必要です。特にIEの設定は一度設定すると長期間変更されない可能性があるので完全に凍結した方が良いです!
「ユーザーの構成」→「管理用テンプレート」→「Windows コンポーネント」→「Internet Explorer」→「インターネット コントロール パネル」の順に展開し、右側のペインに「詳細ページを無効にする」、「接続ページを無効にする」、「コンテンツ ページを無効にする」、「一般ページを無効にする」があります。 「プライバシー ページ」、「プログラム ページの無効化」、および「セキュリティ ページの無効化」は、それぞれ IE の「インターネット オプション」の 7 つのタブに対応しています (図 3 を参照)。すべて有効にすると、「インターネット オプション」を開いたときに「制限」エラー ダイアログ ボックスが表示され、IE ブラウザの設定を変更することが完全にできなくなります。
.jpg)
ヒント: [全般ページを無効にする] を有効にすると、[インターネット オプション] の [全般] タブが削除されます。このポリシーを有効にすると、ユーザーはホームページ、キャッシュ、履歴、ページの外観、アクセシビリティの設定を表示および変更できなくなります。このポリシーは [全般] タブを削除するため、このポリシーを設定すると、次の Internet Explorer ポリシー - 「ホームページ設定の変更を無効にする」、「インターネット一時ファイル設定の変更を無効にする」、「履歴設定の変更を無効にする」を設定する必要はありません。 「色の設定の変更を無効にする」、「リンクの色の設定の変更を無効にする」、「フォント設定の変更を無効にする」、「言語設定の変更を無効にする」、および「アクセシビリティ設定の変更を無効にする」。
権限管理によりシステムに鋭い監視が与えられます
最近では、一部のソフトウェアは本当に不正です。たとえば、多くのソフトウェアは、他のユーザーの便宜を図るためであると主張していますが、ソフトウェアのパッケージ化やグリーン化のプロセス中に、悪意を持って一部のプログラムをバンドルしたり、一部の Web ページをパッケージ化したりします。この方法は通常、非常に低レベルであり、バッチ ファイルとレジストリ情報の手動挿入にすぎません。そのため、グループ ポリシーを使用して、一部の危険な種類のファイルの実行を禁止できます。また、一部の公共の場所(オフィスなど)では使用が禁止されているソフトウェア(チャットソフトなど)も多いため、管理者はグループポリシーを利用して効果的な管理を行うこともできます。
危険なファイルの実行を防止する
一部の種類のファイル (「.reg」レジストリ ファイルや「.bat」バッチ ファイルなど) は、通常のユーザーが使用することはほとんどなく、ウイルスやトロイの木馬によって簡単に悪用されるため、これらの種類のファイルの操作を無効にすることができます。コンピュータのセキュリティをある程度確保する。
「コンピュータの構成→Windowsの設定→セキュリティの設定→ソフトウェア制限ポリシー」を順に展開し、ポップアップ右クリックメニューから「ソフトウェア制限ポリシーの作成」を選択し、「セキュリティレベル」、「その他のルール」、「適用」、 「ファイルの種類」と「信頼できる発行元」が自動的に生成されます。 「指定されたファイルの種類」のプロパティウィンドウに入り、「batバッチファイル」など、禁止する必要があるファイルの種類だけを残し、他のファイルの種類をすべて削除します。種類がリストにない場合は、下の [ファイル拡張子] テキスト ボックスに無効にするファイルの種類を入力して追加します。次に、「セキュリティレベル→許可しない」と入力し、「デフォルトに設定」ボタンをクリックすると、このポリシーが有効になります。バッチ ファイルを再度実行すると、実行はブロックされます。
プログラムを無効にして、ベストを着て、私もあなたを知っています
また、チャットソフトの使用を認めていない企業も多くあります。 QQ を例に挙げます。QQ を直接アンインストールすると、ユーザーは QQ を再インストールしたり、ソフトウェアを他の場所にインストールしたりする可能性があります。この時点で、グループ ポリシーを使用して簡単に実行することもできます。
[コンピュータの構成] → [Windows の設定] → [セキュリティの設定] → [ソフトウェア制限ポリシー] → [その他のルール] を展開し、[新しいハッシュ ルール] を選択します (図 4 を参照)。 「参照」をクリックして、QQ の実行可能ファイル「QQ.exe」を選択します。「ファイル情報」の最初の行は、生成されたハッシュ値です。この値は、ファイルの基本情報「セキュリティ レベル」も表示されます。 . 「許可しない」を選択します。確認してログアウトし、再度ログインすると設定が有効になります。
.jpg)
ヒント: ハッシュ ルールを使用する利点は、プログラムの名前が変更されたり、移動されたり、その他の操作が実行されても、ハッシュ値が一貫していることが確認されている限り、制限が期限切れにならないことです。特定のソフトウェアの動作。