นอกจากนี้ยังมีวิธีการตั้งค่าการปรับให้เหมาะสมที่สุดสำหรับ Windows 7 (ต่อไปนี้จะเรียกว่า Win7) ผู้ใช้มักจะปะติดปะต่อสิ่งต่าง ๆ เข้าด้วยกันและไม่มีเบาะแส ยิ่งกว่านั้น เป็นการยากที่จะแยกแยะความถูกต้องของวิธีการเหล่านี้และเป็นไปไม่ได้ที่จะทราบถึงผลกระทบ ในความเป็นจริง ด้วยการใช้ฟังก์ชันนโยบายกลุ่มระบบของ Win7 คุณสามารถเพิ่มประสิทธิภาพระบบของ Win7 ได้ บทความนี้จะอธิบายวิธีใช้นโยบายกลุ่มเพื่อทำให้ Win7 ปลอดภัยยิ่งขึ้น
หมายเหตุ: ฟังก์ชั่นนโยบายกลุ่มมีเฉพาะในรุ่น Win7 Professional, Ultimate และ Enterprise เท่านั้น
การรักษาความลับของไฟล์จะทำให้มีการปิดบังการมองไม่เห็นบนไดรฟ์
ไดรฟ์ส่วนใหญ่ประกอบด้วยฮาร์ดไดรฟ์ ออปติคัลไดรฟ์ และอุปกรณ์เคลื่อนที่ ฯลฯ และส่วนใหญ่จะใช้เพื่อจัดเก็บข้อมูล ดังนั้นจึงจำเป็นอย่างยิ่งที่จะต้องจำกัดการใช้ไดรฟ์เพื่อป้องกันการรั่วไหลของข้อมูลที่สำคัญและเป็นความลับอย่างมีประสิทธิภาพ และป้องกันการบุกรุกของไวรัสและโทรจัน ไดรฟ์ที่ต่างกันมีวิธีการควบคุมปริมาณที่แตกต่างกัน และไดรฟ์เดียวกันอาจมีระดับการควบคุมปริมาณที่แตกต่างกัน เรามาพูดถึงฮาร์ดดิสก์กันดีกว่า โดยทั่วไปมีสองระดับ: การเข้าถึงที่ซ่อนอยู่และการเข้าถึงที่ไม่ได้รับอนุญาต ระดับที่ซ่อนอยู่นั้นค่อนข้างพื้นฐานและทำให้มองไม่เห็นไดรฟ์ โดยทั่วไปจะใช้เพื่อป้องกันเด็กและผู้ใช้มือใหม่ ในขณะที่การเข้าถึงที่ต้องห้ามสามารถป้องกันการเข้าถึงไดรฟ์ได้อย่างสมบูรณ์ สำหรับอุปกรณ์เคลื่อนที่ คุณสามารถเลือกที่จะตั้งค่าสิทธิ์ในการอ่าน เขียน และดำเนินการได้ แต่โดยทั่วไปแล้วไวรัสและโทรจันจะแพร่กระจายโดยการเรียกใช้โปรแกรมที่เป็นอันตราย ดังนั้นการปิดใช้งานสิทธิ์ในการดำเนินการจึงมีประสิทธิภาพมากที่สุด
ผู้ใช้ทั่วไปไม่สามารถมองเห็นการป้องกันหลักได้
มีไฟล์สำคัญบางไฟล์อยู่ในฮาร์ดไดรฟ์ของคอมพิวเตอร์ที่บ้าน และคุณไม่ต้องการให้ผู้อื่นเห็นไฟล์เหล่านั้น วิธีที่ง่ายที่สุดคือการซ่อนไดรฟ์ที่มีไฟล์อยู่ คลิก "Start" และป้อน "gpedit.msc" ในช่องค้นหา หลังจากการยืนยัน ตัวแก้ไขนโยบายกลุ่มจะเปิดขึ้น ขยาย "การกำหนดค่าผู้ใช้→เทมเพลตการดูแลระบบ→ส่วนประกอบของ Windows → Windows Explorer" ตามลำดับในหน้าต่างการตั้งค่าทางด้านขวา ไปที่ "ซ่อนไดรฟ์ที่ระบุเหล่านี้ใน 'My Computer'" เลือก "เปิดใช้งาน" เลือกไดรฟ์ที่ต้องซ่อนในรายการแบบเลื่อนลงด้านล่าง จากนั้นคลิก ตกลง เข้าสู่ "คอมพิวเตอร์" อีกครั้ง และไอคอนไดรฟ์ที่คุณเพิ่งเลือกจะหายไป
เคล็ดลับ: วิธีนี้จะซ่อนเฉพาะไอคอนไดรฟ์เท่านั้น ผู้ใช้ยังคงสามารถเข้าถึงเนื้อหาของไดรฟ์โดยใช้วิธีอื่น เช่น การพิมพ์เส้นทางไดเร็กทอรีบนไดรฟ์ลงในแถบที่อยู่โดยตรง นอกจากนี้ การตั้งค่านี้ไม่ได้ป้องกันผู้ใช้จากการใช้โปรแกรมเพื่อเข้าถึงไดรฟ์หรือเนื้อหาเหล่านี้
การป้องกันขั้นสูงสามารถใช้ได้โดยผู้ใช้ที่มีสิทธิ์เท่านั้น
มีไฟล์ระบบที่สำคัญอยู่ในดิสก์ระบบ ซึ่งผู้อื่นไม่สามารถแก้ไขหรือย้ายได้ โดยเฉพาะอย่างยิ่งเมื่อมีไฟล์สำคัญในบางพาร์ติชั่น หากคุณซ่อนไดรฟ์ ผู้อื่นก็ยังสามารถเข้าถึงได้ แน่นอนว่าวิธีที่ปลอดภัยที่สุดคือการปกป้องไดรฟ์ที่เกี่ยวข้องและป้องกันไม่ให้ผู้ใช้ที่ไม่ได้รับอนุญาตเข้าถึงได้
ในทำนองเดียวกัน ในตัวจัดการนโยบายกลุ่ม ให้ขยาย "การกำหนดค่าผู้ใช้ → เทมเพลตการดูแลระบบ → ส่วนประกอบของ Windows → Windows Explorer" ป้อน "ป้องกันการเข้าถึงไดรฟ์จาก 'คอมพิวเตอร์ของฉัน'" เลือก "เปิดใช้งาน" และเลือก "เปิดใช้งาน" จากเมนูแบบเลื่อนลง รายการด้านล่าง เลือกไดรฟ์ที่ต้องการบล็อกไม่ให้เข้าถึง และจะมีผลหลังจากการยืนยัน (ดังแสดงในรูปที่ 1) เมื่อผู้อื่นต้องการเข้าถึงไดรฟ์ที่เกี่ยวข้อง หน้าต่างข้อความ "ข้อจำกัด" จะปรากฏขึ้น เมื่อคุณต้องการตรวจสอบด้วยตนเอง เพียงเปลี่ยนการตั้งค่านโยบายที่เกี่ยวข้องจาก "เปิดใช้งาน" เป็น "ไม่ได้กำหนดค่า"
.jpg)
นอกจากนี้ยังมีวิธีการตั้งค่าการปรับให้เหมาะสมที่สุดสำหรับ Windows 7 (ต่อไปนี้จะเรียกว่า Win7) ผู้ใช้มักจะปะติดปะต่อสิ่งต่าง ๆ เข้าด้วยกันและไม่มีเบาะแส ยิ่งกว่านั้น เป็นการยากที่จะแยกแยะความถูกต้องของวิธีการเหล่านี้และเป็นไปไม่ได้ที่จะทราบถึงผลกระทบ ในความเป็นจริง ด้วยการใช้ฟังก์ชันนโยบายกลุ่มระบบของ Win7 คุณสามารถเพิ่มประสิทธิภาพระบบของ Win7 ได้ บทความนี้จะอธิบายวิธีใช้นโยบายกลุ่มเพื่อทำให้ Win7 ปลอดภัยยิ่งขึ้น
หมายเหตุ: ฟังก์ชั่นนโยบายกลุ่มมีเฉพาะในรุ่น Win7 Professional, Ultimate และ Enterprise เท่านั้น
การรักษาความลับของไฟล์จะทำให้มีการปิดบังการมองไม่เห็นบนไดรฟ์
ไดรฟ์ส่วนใหญ่ประกอบด้วยฮาร์ดไดรฟ์ ออปติคัลไดรฟ์ และอุปกรณ์เคลื่อนที่ ฯลฯ และส่วนใหญ่จะใช้เพื่อจัดเก็บข้อมูล ดังนั้นจึงจำเป็นอย่างยิ่งที่จะต้องจำกัดการใช้ไดรฟ์เพื่อป้องกันการรั่วไหลของข้อมูลที่สำคัญและเป็นความลับอย่างมีประสิทธิภาพ และป้องกันการบุกรุกของไวรัสและโทรจัน ไดรฟ์ที่ต่างกันมีวิธีการควบคุมปริมาณที่แตกต่างกัน และไดรฟ์เดียวกันอาจมีระดับการควบคุมปริมาณที่แตกต่างกัน เรามาพูดถึงฮาร์ดดิสก์กันดีกว่า โดยทั่วไปมีสองระดับ: การเข้าถึงที่ซ่อนอยู่และการเข้าถึงที่ไม่ได้รับอนุญาต ระดับที่ซ่อนอยู่นั้นค่อนข้างพื้นฐานและทำให้มองไม่เห็นไดรฟ์ โดยทั่วไปจะใช้เพื่อป้องกันเด็กและผู้ใช้มือใหม่ ในขณะที่การเข้าถึงที่ต้องห้ามสามารถป้องกันการเข้าถึงไดรฟ์ได้อย่างสมบูรณ์ สำหรับอุปกรณ์เคลื่อนที่ คุณสามารถเลือกที่จะตั้งค่าสิทธิ์ในการอ่าน เขียน และดำเนินการได้ แต่โดยทั่วไปแล้วไวรัสและโทรจันจะแพร่กระจายโดยการเรียกใช้โปรแกรมที่เป็นอันตราย ดังนั้นการปิดใช้งานสิทธิ์ในการดำเนินการจึงมีประสิทธิภาพมากที่สุด
ผู้ใช้ทั่วไปไม่สามารถมองเห็นการป้องกันหลักได้
มีไฟล์สำคัญบางไฟล์อยู่ในฮาร์ดไดรฟ์ของคอมพิวเตอร์ที่บ้าน และคุณไม่ต้องการให้ผู้อื่นเห็นไฟล์เหล่านั้น วิธีที่ง่ายที่สุดคือการซ่อนไดรฟ์ที่มีไฟล์อยู่ คลิก "Start" และป้อน "gpedit.msc" ในช่องค้นหา หลังจากการยืนยัน ตัวแก้ไขนโยบายกลุ่มจะเปิดขึ้น ขยาย "การกำหนดค่าผู้ใช้→เทมเพลตการดูแลระบบ→ส่วนประกอบของ Windows → Windows Explorer" ตามลำดับในหน้าต่างการตั้งค่าทางด้านขวา ไปที่ "ซ่อนไดรฟ์ที่ระบุเหล่านี้ใน 'My Computer'" เลือก "เปิดใช้งาน" เลือกไดรฟ์ที่ต้องซ่อนในรายการแบบเลื่อนลงด้านล่าง จากนั้นคลิก ตกลง เข้าสู่ "คอมพิวเตอร์" อีกครั้ง และไอคอนไดรฟ์ที่คุณเพิ่งเลือกจะหายไป
เคล็ดลับ: วิธีนี้จะซ่อนเฉพาะไอคอนไดรฟ์เท่านั้น ผู้ใช้ยังคงสามารถเข้าถึงเนื้อหาของไดรฟ์โดยใช้วิธีอื่น เช่น การพิมพ์เส้นทางไดเร็กทอรีบนไดรฟ์ลงในแถบที่อยู่โดยตรง นอกจากนี้ การตั้งค่านี้ไม่ได้ป้องกันผู้ใช้จากการใช้โปรแกรมเพื่อเข้าถึงไดรฟ์หรือเนื้อหาเหล่านี้
การป้องกันขั้นสูงสามารถใช้ได้โดยผู้ใช้ที่มีสิทธิ์เท่านั้น
มีไฟล์ระบบที่สำคัญอยู่ในดิสก์ระบบ ซึ่งผู้อื่นไม่สามารถแก้ไขหรือย้ายได้ โดยเฉพาะอย่างยิ่งเมื่อมีไฟล์สำคัญในบางพาร์ติชั่น หากคุณซ่อนไดรฟ์ ผู้อื่นก็ยังสามารถเข้าถึงได้ แน่นอนว่าวิธีที่ปลอดภัยที่สุดคือการปกป้องไดรฟ์ที่เกี่ยวข้องและป้องกันไม่ให้ผู้ใช้ที่ไม่ได้รับอนุญาตเข้าถึงได้
ในทำนองเดียวกัน ในตัวจัดการนโยบายกลุ่ม ให้ขยาย "การกำหนดค่าผู้ใช้ → เทมเพลตการดูแลระบบ → ส่วนประกอบของ Windows → Windows Explorer" ป้อน "ป้องกันการเข้าถึงไดรฟ์จาก 'คอมพิวเตอร์ของฉัน'" เลือก "เปิดใช้งาน" และเลือก "เปิดใช้งาน" จากเมนูแบบเลื่อนลง รายการด้านล่าง เลือกไดรฟ์ที่ต้องการบล็อกไม่ให้เข้าถึง และจะมีผลหลังจากการยืนยัน (ดังแสดงในรูปที่ 1) เมื่อผู้อื่นต้องการเข้าถึงไดรฟ์ที่เกี่ยวข้อง หน้าต่างข้อความ "ข้อจำกัด" จะปรากฏขึ้น เมื่อคุณต้องการตรวจสอบด้วยตนเอง เพียงเปลี่ยนการตั้งค่านโยบายที่เกี่ยวข้องจาก "เปิดใช้งาน" เป็น "ไม่ได้กำหนดค่า"
.jpg)
เคล็ดลับ: เมื่อเปิดใช้งานการตั้งค่านโยบายนี้ ผู้ใช้จะไม่สามารถตั้งค่าหน้าแรกเริ่มต้นได้ ดังนั้น หากจำเป็น ผู้ใช้จะต้องระบุหน้าแรกเริ่มต้นก่อนที่จะแก้ไขการตั้งค่า
ตรึงการตั้งค่า IE
ตามที่กล่าวไว้ข้างต้น เมื่อระบบติดไวรัสหรือม้าโทรจัน นอกเหนือจากหน้าแรกของ IE ที่ถูกแก้ไขแล้ว การตั้งค่า IE อื่นๆ ก็อาจถูกดัดแปลงเช่นกัน ดังนั้นจึงจำเป็นอย่างยิ่งที่จะต้องเพิ่มฝาครอบป้องกันให้กับการตั้งค่า IE โดยเฉพาะอย่างยิ่งเมื่อตั้งค่า IE แล้ว อาจไม่เปลี่ยนแปลงเป็นเวลานาน ดังนั้นจึงควรหยุดการทำงานทั้งหมดจะดีกว่า!
ขยาย "การกำหนดค่าผู้ใช้→เทมเพลตการดูแลระบบ→ส่วนประกอบของ Windows → Internet Explorer →แผงควบคุมอินเทอร์เน็ต" ตามลำดับ บานหน้าต่างด้านขวามี "ปิดการใช้งานหน้าขั้นสูง", "ปิดการใช้งานหน้าการเชื่อมต่อ", "ปิดการใช้งานหน้าเนื้อหา", "ปิดการใช้งานหน้าทั่วไป", " ปิดการใช้งาน "หน้าความเป็นส่วนตัว", "ปิดการใช้งานหน้าโปรแกรม" และ "ปิดการใช้งานหน้าความปลอดภัย" ตามลำดับสอดคล้องกับเจ็ดแท็บใน "ตัวเลือกอินเทอร์เน็ต" ใน IE (ดังแสดงในรูปที่ 3) หากเปิดใช้งานทั้งหมด กล่องโต้ตอบข้อผิดพลาด "ข้อจำกัด" จะปรากฏขึ้นเมื่อเปิด "ตัวเลือกอินเทอร์เน็ต" ซึ่งจะป้องกันการแก้ไขการตั้งค่าเบราว์เซอร์ IE โดยสิ้นเชิง
.jpg)
เคล็ดลับ: การเปิดใช้งาน "ปิดการใช้งานหน้าทั่วไป" จะลบแท็บ "ทั่วไป" ใน "ตัวเลือกอินเทอร์เน็ต" หากคุณเปิดใช้งานนโยบายนี้ ผู้ใช้จะไม่สามารถดูและเปลี่ยนแปลงการตั้งค่าสำหรับหน้าแรก แคช ประวัติ ลักษณะหน้าเว็บ และการเข้าถึงได้ เนื่องจากนโยบายนี้จะลบแท็บทั่วไป หากคุณตั้งค่านโยบายนี้ คุณไม่จำเป็นต้องตั้งค่านโยบาย Internet Explorer ต่อไปนี้ - "ปิดใช้งานการเปลี่ยนการตั้งค่าหน้าแรก" "ปิดใช้งานการเปลี่ยนแปลงการตั้งค่าไฟล์อินเทอร์เน็ตชั่วคราว" "ปิดใช้งานการตั้งค่าประวัติการเปลี่ยนแปลง" "ปิดใช้งานการเปลี่ยนการตั้งค่าสี", "ปิดใช้งานการเปลี่ยนการตั้งค่าสีลิงก์", "ปิดใช้งานการเปลี่ยนการตั้งค่าแบบอักษร", "ปิดใช้งานการเปลี่ยนการตั้งค่าภาษา" และ "ปิดใช้งานการเปลี่ยนการตั้งค่าการเข้าถึง"
การจัดการสิทธิ์ช่วยให้ระบบมีสายตาที่เฉียบคม
ในปัจจุบัน ซอฟต์แวร์บางตัวเป็นการโกงจริงๆ ตัวอย่างเช่น ซอฟต์แวร์จำนวนมากอ้างว่าเป็นไปเพื่อความสะดวกของผู้อื่น แต่จะรวมโปรแกรมบางโปรแกรมเข้าด้วยกันหรือจัดทำแพ็คเกจหน้าเว็บบางหน้าอย่างประสงค์ร้ายในระหว่างกระบวนการบรรจุซอฟต์แวร์หรือทำให้เป็นสีเขียว โดยทั่วไปวิธีการนี้อยู่ในระดับต่ำมากและไม่มีอะไรมากไปกว่าไฟล์แบตช์และการแทรกข้อมูลรีจิสทรีด้วยตนเอง ดังนั้นเราจึงสามารถใช้นโยบายกลุ่มเพื่อห้ามไม่ให้ไฟล์ประเภทที่เป็นอันตรายทำงาน นอกจากนี้ ในที่สาธารณะบางแห่ง (เช่น สำนักงาน เป็นต้น) ซอฟต์แวร์จำนวนมากไม่ได้รับอนุญาตให้ใช้ (เช่น ซอฟต์แวร์แชท เป็นต้น) ดังนั้น ผู้จัดการจึงสามารถใช้นโยบายกลุ่มเพื่อให้บรรลุการจัดการที่มีประสิทธิภาพ
ป้องกันไม่ให้ไฟล์ที่เป็นอันตรายทำงาน
ไฟล์บางประเภท (เช่น ไฟล์รีจิสทรี ".reg" และไฟล์แบตช์ ".bat") ไม่ค่อยได้ใช้โดยผู้ใช้ทั่วไป และไวรัสหรือโทรจันก็ถูกโจมตีได้ง่าย ดังนั้น การปิดใช้งานการทำงานของไฟล์ประเภทนี้จึงสามารถทำได้ ทำได้ในเรื่องความมั่นใจในความปลอดภัยของคอมพิวเตอร์ในระดับหนึ่ง
ขยาย "การกำหนดค่าคอมพิวเตอร์→การตั้งค่า Windows →การตั้งค่าความปลอดภัย→นโยบายการจำกัดซอฟต์แวร์" ตามลำดับ เลือก "สร้างนโยบายการจำกัดซอฟต์แวร์" บนเมนูคลิกขวาและ "ระดับความปลอดภัย", "กฎอื่น ๆ", "การบังคับใช้" "ระบุ" จะถูกสร้างขึ้นโดยอัตโนมัติประเภทไฟล์" และ "ผู้เผยแพร่ที่เชื่อถือได้" เข้าสู่หน้าต่างคุณสมบัติของ "Specified File Types" เหลือเฉพาะประเภทไฟล์ที่ต้องถูกแบน เช่น "batแบตช์ไฟล์" และลบไฟล์ประเภทอื่นๆ ทั้งหมด หากประเภทไม่อยู่ในรายการ เพียงป้อนประเภทไฟล์ที่จะปิดใช้งานในกล่องข้อความ "นามสกุลไฟล์" ด้านล่างแล้วเพิ่มเข้าไป จากนั้นป้อน "ระดับความปลอดภัย → ไม่อนุญาต" แล้วคลิกปุ่ม "ตั้งเป็นค่าเริ่มต้น" และนโยบายนี้จะมีผล เมื่อคุณเรียกใช้ไฟล์แบตช์ใดๆ อีกครั้ง การดำเนินการจะถูกบล็อก
ปิดการใช้งานโปรแกรม ใส่เสื้อ ฉันก็รู้จักเธอเหมือนกัน
นอกจากนี้ หลายบริษัทไม่อนุญาตให้ใช้ซอฟต์แวร์แชท ยกตัวอย่าง QQ หากคุณถอนการติดตั้ง QQ โดยตรง ผู้ใช้อาจติดตั้งใหม่หรือติดตั้งซอฟต์แวร์ไปยังตำแหน่งอื่น ณ จุดนี้ คุณอาจใช้นโยบายกลุ่มเพื่อให้เสร็จสิ้นได้อย่างง่ายดาย
ขยาย "การกำหนดค่าคอมพิวเตอร์ → การตั้งค่า Windows → การตั้งค่าความปลอดภัย → นโยบายการจำกัดซอฟต์แวร์ → กฎอื่น ๆ" และเลือก "กฎแฮชใหม่" (ดังแสดงในรูปที่ 4) คลิก "เรียกดู" เพื่อเลือกไฟล์ปฏิบัติการของ QQ "QQ.exe" บรรทัดแรกภายใต้ "ข้อมูลไฟล์" คือค่าแฮชที่สร้างขึ้น ข้อมูลพื้นฐานของไฟล์ "ระดับความปลอดภัย" จะแสดงด้านล่างด้วย เลือก "ไม่อนุญาต" หลังจากยืนยัน ออกจากระบบ และเข้าสู่ระบบอีกครั้ง การตั้งค่าจะมีผล
.jpg)
เคล็ดลับ: ข้อดีของการใช้กฎแฮชคือไม่ว่าโปรแกรมจะถูกเปลี่ยนชื่อหรือย้ายหรือดำเนินการอื่นใด ตราบใดที่ค่าแฮชได้รับการตรวจสอบว่าสอดคล้องกัน ข้อจำกัดจะไม่หมดอายุ ดังนั้นจึงสามารถจำกัดได้อย่างมีประสิทธิภาพ การทำงานของซอฟต์แวร์บางตัว