第9章 使用策略编辑器维护计算机 2017/3/21

大家都知道一些常用的系统外观、网络设置等我们往往通过控制面板进行修改，不过通过控制面板能修改的东西太少了，不能满足用户的需要；有一些专业水平的朋友可以使用修改注册表的方法来设置，但注册表涉及内容又太多、太专业、结构也很复杂，因此要求普通用户使用注册表维护计算机的方法不是十分可行，使用起来极其不方便。 但是我们要求大家一定要知道注册表的维护方法，掌握一些实例的设置方法还是完全能做到的。 组策略正好介于二者之间，涉及的内容比控制面板中的多，安全性和控制面板一样非常高，而在条理性、可操作性方面则比注册表强多了。可以说组策略就是注册表的编辑工具，下面就简单介绍组策略的使用方法。 2017/3/21

9.1.1 组策略的基本知识 什么是“组策略”呢？其实组策略就是介于控制面板和注册表之间的一种修改系统、设置的工具。 9.1 Windows XP组策略应用 9.1.1 组策略的基本知识 　什么是“组策略”呢？其实组策略就是介于控制面板和注册表之间的一种修改系统、设置的工具。 微软自Windows NT 4.0开始便采用了组策略这一机制，经过Windows 2000发展到Windows XP已相当完善。组策略使用户自己更完善的管理组织方法，可以设置各种软件、计算机和用户策略,它实际上是Windows XP中的一个高级管理工具，它以图形化的界面和易于设置的选项来让用户轻松完成以往只有通过修改系统注册表才能完成的操作 。 　　 2017/3/21

“组策略”可以对计算机进行两个方面的设置：一种是“本地计算机配置”，另一种是“本地用户配置”，所有策略的设置都将保存到注册表的相关项目中。 启动组策略时，您只需依次点击“开始”→“运行”命令，然后在“运行”窗口中输入“gpedit.msc”，然后单击“确定”按扭即可启动Windows XP组策略编辑器。（注：这个“组策略”程序位于“C:\windows\system32”中，文件名为“gpedit.msc”。） 　“组策略”可以对计算机进行两个方面的设置：一种是“本地计算机配置”，另一种是“本地用户配置”，所有策略的设置都将保存到注册表的相关项目中。 对计算机策略的设置保存到注册表的HKEY_LOCAL_MACHINE的相关项中，对用户的策略设置将保存到HKEY_CURRENT_USER相关项中。 2017/3/21

展开“用户配置”→“管理模板”→“Windows组件”→“Windows资源管理器”项 9.1.2系统的个性化设置 1．隐藏或删除资源管理器中的项目 展开“用户配置”→“管理模板”→“Windows组件”→“Windows资源管理器”项 2017/3/21

2．不显示欢迎屏幕界面 展开“用户配置”→“管理模板”→“系统”→右侧窗口中找到并双击“登录时不显示欢迎屏幕”，在弹出的属性窗口中的“设置”标签页里选中“已启用”，最后点击“确定”即可，这样以后每次用户登录时欢迎屏幕将隐藏。 2017/3/21

3.用IE作为用户界面 展开“用户配置”→“管理模板”→“系统”，在右边窗口中找到并启用“自定义用户界面”项，然后在下面的“界面文件名”下的输入框内输入所要运行的程序路径及程序名（包括扩展名），例如输入“c:\program files\internet explorer\iexplore.exe”最后点击“确定”并重新启动系统即可。 4．让“开始”菜单返璞归真 依次展开“用户配置”→“管理模板”→“任务栏和‘开始’菜单”，然后在右边窗口中我们找到并启用“强制典型菜单”项，最后点击“确定”并重新启动系统即可看到修改后的效果。 2017/3/21

5．为“开始”菜单减肥 展开“用户配置”→“管理模板”→“任务栏和‘开始’菜单”，在右边窗口中双击“从‘开始’菜单上删除‘我的文档’图标”项，在弹出对话框的“设置”标签中点选“已启用”，然后单击“确定”，这样在“开始”菜单中“我的文档”图标将会隐藏。 6个性化的IE浏览器 “用户配置→Windows设置→Internet Explorer维护→浏览器用户界面”分支；在右边的窗口中双击“浏览器工具栏自定义”策略，打开“浏览器工具栏自定义”对话框。 2017/3/21

9.1.3系统功能设置 1、让整个桌面隐藏起来 　　如果您不希望别人随意打开自己桌面上的“我的文档”、“我的电脑”、“回收站”等系统图标的话，我们可以通过组策略来实现或者将整个桌面隐藏起来。具体步骤如下： 在“组策略”窗口中依次展开“用户配置”→“管理模板”→“桌面”，如果要隐藏“我的文档”，那么就可以在右边窗口中找到并启用“删除桌面上的‘我的文档’图标”项，最后点击“确定”即可；同样我们在右边窗口中找到并启用“删除桌面上的‘我的电脑’图标”或“从桌面删除回收站”即可删除“我的电脑”或“回收站”，启用“隐藏和禁用桌面上的所有项目”则可隐藏整个桌面。 2017/3/21

2、保护个人的文档隐私 　　Windows XP有个高级智能功能，即可以记录你曾经访问过的文件。这个功能为用户再次打开该文件提供了方便，如果您出于安全和性能方面考虑的话——应屏蔽此功能。我们可以通过下面的设置来满足要求： 　　在“组策略”窗口中依次展开“用户配置”→“管理模板”→“任务栏和‘开始’菜单”，然后在右边窗口将“不要保留最近打开文档的记录”和“退出时清除最近打开的文档记录”两个策略启用即可。 2017/3/21

3、禁止访问“控制面板” 　　如果您不希望其他用户访问计算机上的“控制面板”，那么只要运行组策略编辑器，并在左侧窗口中展开“本地计算机策略→用户配置→管理模板→控制面板”分支，然后将右侧窗口的“禁止访问控制面板”设置为“已启用”即可。 　 此项设置可以防止控制面板程序文件的启动，其结果是他人将无法启动控制面板或运行任何控制面板项目。另外，这个设置将从“开始”菜单中删除控制面板，同时这个设置还从Windows资源管理器中删除控制面板文件夹。 2017/3/21

4．禁止访问注册表编辑器 　　为了防止他人修改你的注册表，我们可以在组策略中禁止访问注册表编辑器，具体步骤如下：依次展开“用户配置”→“管理模板”→“系统”，然后在右边窗口中找到并双击“阻止访问注册表编辑器”项，并将其设置为“已启用”，这样用户在试图启动注册表编辑器时，系统将提示：注册编辑已被管理员停用。 2017/3/21

5．禁用“添加/删除程序” 　　 我们可以从“控制面板”中的“添加或删除程序”项目中安装、卸载、修复并添加和删除 Windows 的功能和组件以及种类很多的 Windows 程序。如果你想阻止其他用户安装或卸载程序，可利用组策略来实现。 　　依次展开“用户配置”→“管理模板”→“控制面板”→“添加/删除程序”，然后在右边窗口中启用“删除‘添加/删除程序’程序”即可。 2017/3/21

6．禁用IE“工具”菜单下的“Internet选项” 如果不希望别人对IE浏览器的设置随意更改，可以将“‘工具’菜单：禁用‘Internet选项...’”策略启用。具体设置步骤如下：依次展开“用户配置”→“管理模板”→“Windows components”→“Internet Explorer”→“浏览器菜单”，然后在右边窗口中启用“工具”菜单：“禁用‘Internet选项...’”菜单项即可。 2017/3/21

9.2 本地安全策略的使用 启动“本地安全策略”的方法有三种： 开始→运行→gpedit.msc→计算机配置→windows设置→安全设置。 单击“控制面板”→“性能和维护”→“管理工具”→“本地安全策略”。 开始→运行→secpol.msc也可。 2017/3/21

9.2.1账户策略的使用 在账户策略中可进行密码策略和账户锁定策略的设定，通过密码策略和账户锁定策略可以加强用户安全。 1．密码策略 9.2.1账户策略的使用 在账户策略中可进行密码策略和账户锁定策略的设定，通过密码策略和账户锁定策略可以加强用户安全。 1．密码策略 　展开“计算机配置”→“Windows设置”→“安全设置” →“账户策略”→“密码策略”，在其右侧设置窗口中，可进行密码复杂性要求、密码长度、密码的存留期等的设置，以使我们的系统密码相对安全，不易破解。 2．账户锁定策略 在安全设置中，先定位于“帐户策略” →“帐户锁定策略”，在其右边的设置窗口中“帐户锁定阀值”将其默认值0改为3，这样当用户3次登陆不成功时锁定，0为不限制登录次数。 2017/3/21

2017/3/21

2．安全选项 安全选项可进行交互式登录、网络安全、网络访问等安全设置，设置的项目很多，设置方法也很简单。 9.2.2 本地策略的使用 1．指派本地用户权利 　　如果你是系统管理员身份，可以指派特定权利给组账户或单个用户账户。 “计算机配置”→“Windows设置”→“安全设置” → “本地策略”→“用户权利指派”，而后在其右侧的设置视图中，可针对其下的各项策略分别进行安全设置,如下图所示。 2．安全选项 　　安全选项可进行交互式登录、网络安全、网络访问等安全设置，设置的项目很多，设置方法也很简单。 展开“本地策略”→“安全选项”，在右侧窗口有很多设置项目，找到“网络访问：不允许SAM账户和共享的匿名枚举”。 2017/3/21

2017/3/21

9.3 软件限制策略介绍 9.3.1软件限制策略的基本概念 软件限制策略是本地安全策略的一个组成部分，软件限制策略是一种技术，通过这种技术，管理员可以决定哪些程序可以运行，该策略允许管理员针对一个指定的文件或某种类型的文件通过制定相应的规则对其进行标识，同时赋予这些文件相应的安全级别，从而允许或限制这些文件的运行。 2017/3/21

在软件限制策略中，用于标识文件的规则有4 种， 分别是散列规则、证书规则、路径规则、区域规则. 江苏大学教师备课用纸 2017/3/21 1．软件限制策略的规则 在软件限制策略中，用于标识文件的规则有4 种， 分别是散列规则、证书规则、路径规则、区域规则. 文件的安全级别分为:“不允许的”和“不受限的”两种，其中“不允许的”将禁止该程序运行，不论用户的权限如何；“不受限的”允许用户依据其拥有的权限运行程序。 利用软件限制策略预防病毒需要制定的规则通常为散列规则和路径规则，文件的安全级别要设定为“不允许的”。 Internet 区域规则 :区域规则只适用于 Windows 安装程序包。区域规则可以标识那些来自 Internet Explorer 指定区域的软件。 这些区域是 Internet、本地计算机、本地 Intranet、受限站点和可信站点。  散列规则:散列是唯一标识程序或文件的一系列定长字节。散列按散列算法算出来。 软件限制策略可以用 SHA-1（安全散列算法）和 MD5 散列算法根据文件的散列对其进行标识。 重命名的文件或移动到其他文件夹的文件将产生同样的散列。 路径规则:路径规则通过程序的文件路径对其进行标识。由于此规则按路径指定，所以程序发生移动后路径规则将失效。 路径规则也支持通配符，所支持的通配符为 * 和 ?。 证书规则:软件限制策略可以通过其签名证书来标识文件。证书规则不能应用到带有 .exe 或 .dll 扩展名的文件。 它们可以应用到脚本和 Windows 安装程序包。可以创建标识软件的证书，然后根据安全级别的设置，决定是否允许软件运行。 2017/3/21

在软件限制策略的四个规则中，如果对同一个文件设置了几个规则，那么哪个规则起作用呢？这四个规则的优先级从高到低排序依次为： 2．软件限制策略优先级别 在软件限制策略的四个规则中，如果对同一个文件设置了几个规则，那么哪个规则起作用呢？这四个规则的优先级从高到低排序依次为： 散列规则—>证书规则—>路径规则—>internet区域规则，而在实际的应用中，一般只用到散列规则和路径规则。 2017/3/21

以管理员或管理员组的成员身份登录系统，通过下面三种方法打开： 3．软件限制策略的打开方法 以管理员或管理员组的成员身份登录系统，通过下面三种方法打开： (1)在“开始”菜单的“运行”处运行secpol.msc 命令，启动本地安全策略编辑器，展开“安全设置”，点击“软件限制策略”项； (2) 在“开始”菜单的“运行”处运行gpedit.msc 命令，启动组策略编辑器，依次展开“‘本地计算机’策略”、“计算机设置”、“Windows 设置”、“安全设置”，点击“软件限制策略”项。 (3) 开始/程序/管理工具/本地安全策略 2017/3/21

4.规则的建立方法 在打开的软件限制策略，选择“其他规则”，发现系统默认有四个规则，用户不能修改或删除它，在该窗口点击右键，出现“快捷菜单”，在该菜单上可以建立“新散列规则”或“新路径规则”。 2017/3/21

软件限制策略可以有多个规则作用于同一个文件，此时限制策略的执行原则是按如下规定起作用。 5．软件限制策略执行原则 软件限制策略可以有多个规则作用于同一个文件，此时限制策略的执行原则是按如下规定起作用。 （1） 如多于一个规则作用于同一个程序，则优先级别最高的规则起作用。 （2） 如多于一个的同类规则作用于同一个程序，则同类规则中最具限制力的规则起作用。如对同一文件做散列两次（不受限、不允许），不允许优先。 （3）规则越具体越优先。如做了*.exe为不允许，1.exe为不受限，1.exe的规则优先，因为*.exe为一类文件，1.exe为一个文件比较具体。 2017/3/21

（1） 不要修改默认的域策略，不要连接外域策略。 （2） 坚持为软件限制策略建立独立的组策略对象。 6．使用软件限制策略注意事项 （1） 不要修改默认的域策略，不要连接外域策略。 （2） 坚持为软件限制策略建立独立的组策略对象。 （3） 如果应用软件限制策略出现预期之外的问题，请以安全模式启动计算机修正策略。 （4） 为获得最好的限制效果，应连同访问策略一起使用软件限制策略。 （5） 在软件限制策略应用前应在测试环境进行测试。 （6） 慎重使用“不允许的”默认策略。 （7） 不要删除系统自动建立的注册表路径规则。 2017/3/21

7．软件限制策略的解除 有时可能因为错误的设置而导致某些系统组件无法运行（例如禁止运行所有msc后缀的文件而无法打开组策略编辑器），这种情况下我们只要重新启动系统到安全模式，然后使用Administrator账号登录并删除或修改这一策略即可。因为安全模式下使用Administrator账号登录是不受这些策略影响的。 2017/3/21

9.3.2 软件限制策略的应用 1．预防已知文件名的病毒，如震荡波病毒 2．设置策略的作用对象 3． 防止应用程序的运行 2017/3/21

小 结 本章介绍了组策略的基本概念、策略编辑器在系统设置中的优势，同时还介绍了本地安全策略和软件限制策略在计算机维护中的应用，并给出了相应的设置实例，帮助读者实现理论与实践的完美结合。 2017/3/21