針對Windows 7(以下簡稱Win7)的最佳化設定方法也層出不窮,使用者往往是東拼西湊,沒個頭緒,而且這些方法更是真偽難辨,效果到底如何也無從知曉。其實利用Win7的系統組策略功能,就可以實現Win7的系統優化。本文為大家說明如何利用群組策略,讓Win7變得更安全。
註:組策略功能只在Win7專業版、旗艦版和企業版中提供。
文件保密給驅動器穿上隱形衣
驅動器主要包括硬碟、光碟機和行動裝置等,主要用於儲存資料等。因此,限制驅動器的使用,可以有效防止重要和機密的資訊外洩,阻擊病毒和木馬的入侵,十分必要。驅動器不同,限制方法也不同,同一種驅動器也有不同的限制等級。就說硬碟吧,一般有隱藏和禁止存取兩種等級。隱藏等級比較初級,只是讓驅動器不可見,一般用於防範小孩和初級用戶,而禁止訪問則可徹底阻止驅動器的訪問。對於行動設備,可以選擇設定讀取、寫入和執行權限,不過病毒和木馬一般透過執行惡意程式來傳播,因此禁止執行權限才最有效。
初級防禦普通用戶看不到
家裡電腦硬碟上有一些重要文件,不想讓別人看到,最簡單的方法就是把文件所在的磁碟機隱藏起來。點選“開始”,在搜尋框中輸入“gpedit.msc”,確認後即開啟了群組原則編輯器,依序展開“使用者設定→管理範本→Windows元件→Windows資源管理器”,在右邊設定視窗中,進入“隱藏'我的電腦'中這些指定的驅動器”,選擇“已啟用”,在下面的下拉列表中選擇需要隱藏的驅動器,然後確定。再進入“計算機”,剛才選擇的驅動器圖示就不見了。
提示:這個方法只是隱藏磁碟機圖標,使用者仍可使用其他方法存取磁碟機的內容,例如在網址列中直接鍵入磁碟機上的目錄路徑。另外,此設定不會阻止使用者使用程式存取這些磁碟機或其內容。
進階防禦特權使用者才能用
系統盤裡面有重要的系統文件,不能讓別人隨便修改或移動。特別是有些分區存有重要文件時,如果只是隱藏驅動器,別人還是能夠訪問,這樣當然不行!最安全的方法就是把相關驅動器保護起來,禁止無權限的用戶訪問。
同樣,在群組原則管理器當中依次展開“用戶配置→管理模板→Windows組件→Windows資源管理器”,進入“防止從'我的電腦'訪問驅動器”,選擇“已啟用”,在下面的下拉列表中選擇需要禁止存取的驅動器,確定後即可生效(如圖1所示)。別人再想存取相關驅動器時,會出現「限制」的提示視窗!當自己需要查看時,只要把相關的策略設定從「已啟用」改成「未配置」即可。
.jpg)
針對Windows 7(以下簡稱Win7)的最佳化設定方法也層出不窮,使用者往往是東拼西湊,沒個頭緒,而且這些方法更是真偽難辨,效果到底如何也無從知曉。其實利用Win7的系統組策略功能,就可以實現Win7的系統優化。本文為大家說明如何利用群組策略,讓Win7變得更安全。
註:組策略功能只在Win7專業版、旗艦版和企業版中提供。
文件保密給驅動器穿上隱形衣
驅動器主要包括硬碟、光碟機和行動裝置等,主要用於儲存資料等。因此,限制驅動器的使用,可以有效防止重要和機密的資訊外洩,阻擊病毒和木馬的入侵,十分必要。驅動器不同,限制方法也不同,同一種驅動器也有不同的限制等級。就說硬碟吧,一般有隱藏和禁止存取兩種等級。隱藏等級比較初級,只是讓驅動器不可見,一般用於防範小孩和初級用戶,而禁止訪問則可徹底阻止驅動器的訪問。對於行動設備,可以選擇設定讀取、寫入和執行權限,不過病毒和木馬一般透過執行惡意程式來傳播,因此禁止執行權限才最有效。
初級防禦普通用戶看不到
家裡電腦硬碟上有一些重要文件,不想讓別人看到,最簡單的方法就是把文件所在的磁碟機隱藏起來。點選“開始”,在搜尋框中輸入“gpedit.msc”,確認後即開啟了群組原則編輯器,依序展開“使用者設定→管理範本→Windows元件→Windows資源管理器”,在右邊設定視窗中,進入“隱藏'我的電腦'中這些指定的驅動器”,選擇“已啟用”,在下面的下拉列表中選擇需要隱藏的驅動器,然後確定。再進入“計算機”,剛才選擇的驅動器圖示就不見了。
提示:這個方法只是隱藏磁碟機圖標,使用者仍可使用其他方法存取磁碟機的內容,例如在網址列中直接鍵入磁碟機上的目錄路徑。另外,此設定不會阻止使用者使用程式存取這些磁碟機或其內容。
進階防禦特權使用者才能用
系統盤裡面有重要的系統文件,不能讓別人隨便修改或移動。特別是有些分區存有重要文件時,如果只是隱藏驅動器,別人還是能夠訪問,這樣當然不行!最安全的方法就是把相關驅動器保護起來,禁止無權限的用戶訪問。
同樣,在群組原則管理器當中依次展開“用戶配置→管理模板→Windows組件→Windows資源管理器”,進入“防止從'我的電腦'訪問驅動器”,選擇“已啟用”,在下面的下拉列表中選擇需要禁止存取的驅動器,確定後即可生效(如圖1所示)。別人再想存取相關驅動器時,會出現「限制」的提示視窗!當自己需要查看時,只要把相關的策略設定從「已啟用」改成「未配置」即可。
.jpg)
提示:啟用此策略設定後,使用者將無法對預設主頁進行設置,因此如果需要,使用者必須在修改設定之前指定預設主頁。
冰封IE設置
如同上文所述,一旦系統中毒或中了木馬,除了IE首頁會被竄改,其他的IE設定也可能會被竄改。因此給IE設定加上防護罩也是非常必要的。特別是IE設定一旦設定之後,可能長期都不會改變,因此不如徹底冰封!
依序展開“使用者設定→管理範本→Windows元件→Internet Explorer→Internet控制面板”,右邊窗格有「停用進階頁」、「停用連線頁」、「停用內容頁」、「停用常規頁」、「停用隱私權頁”、“停用程式頁”和“停用安全頁”,分別對應IE裡“Internet選項”中的七個選項卡(如圖3所示)。如全部啟用,開啟「Internet選項」將出現「限制」的出錯對話框,這就徹底杜絕了對IE瀏覽器設定的修改。
.jpg)
提示:啟動「停用常規頁」將會刪除「Internet選項」中的「常規」標籤。如果啟用此策略,則使用者無法查看和變更主頁、快取、歷史記錄、網頁外觀以及輔助功能的設定。因為此策略會刪除「常規」選項卡,所以如果設定此策略,則無須設定以下Internet Explorer策略-「停用變更首頁設定」、「停用變更Internet暫存檔案設定」、「停用變更歷史記錄設定」、 「停用更改顏色設定」、「停用更改連結顏色設定」、「停用更改字體設定」、「停用更改語言設定」和「停用更改輔助功能設定」。
權限管理為系統配上火眼金睛
現在有些軟體真流氓,例如許多軟體美其名曰為了方便別人使用,卻會在軟體打包或綠化的過程中惡意捆綁一些程式或是將一些網頁也打包進去。方法一般很低級,無非是透過批次檔和手動注入登錄資訊來實現,因此我們可以利用群組原則來禁止一些危險類型的檔案運作。另外一些公共場所(如辦公室等),很多軟體都是不允許使用的(如聊天軟體等),那麼管理人員也可以利用群組策略來實現有效地管理。
禁止危險文件運行
有些類型的檔案(如「.reg」登錄檔和「.bat」批次檔)一般使用者很少用得上,而且又很容易被病毒或木馬利用,因此禁止這些類型的檔案運作就可以在一定程度上保障計算機的安全。
依序展開“電腦設定→Windows設定→安全設定→軟體限制原則”,在彈出的右鍵選單上選擇“建立軟體限制原則”,會自動產生「安全等級」、「其他規則」、「強制」、「指定的文件類型」和「受信任的發布者」五項。進入“指定的檔案類型”的屬性窗口,只留下需要禁止的檔案類型,例如“bat批次檔”,將其他的檔案類型全部刪除。如果類型不在清單中,就直接在下面的「檔案副檔名」文字方塊中輸入要停用的檔案類型,加入進去即可。再進入“安全等級→不允許”,點選“設為預設”按鈕,此原則即生效。再運行任何批次檔時,就會被阻止執行。
禁用程式穿上馬甲我也認識你
除此之外,很多公司都不允許使用聊天軟體。以QQ為例,如果直接卸載QQ,使用者也可能再安裝,或把軟體安裝到其他位置。此時不妨利用群組策略來輕鬆搞定。
依序展開“電腦設定→Windows設定→安全設定→軟體限制策略→其他規則”,選擇“新建雜湊規則”(如圖4所示)。點擊“瀏覽”選擇QQ的執行檔“QQ.exe”,“檔案資訊”下面第一行就是產生的雜湊值,這個值是唯一的,下面還會顯示出檔案的基本信息,“安全等級”選擇“不允許”。確認、登出後,再次登錄,設定即可生效。
.jpg)
提示:採用雜湊規則的好處是不管程式被改名或是移動位置或其他任何操作,只要雜湊值被驗證一致,那麼限制就不會失效!因此可以有效限制某些軟體的運作。