第9章 使用策略编辑器维护计算机 2017/3/21.

Slides:



Advertisements
Similar presentations
第二章走进Windows XP操作系统 第二节 Windows XP文件和文件夹管理.
Advertisements

2015年重点税源企业 报表填报流程培训会 海淀地税局 收入核算科.
第六 章数据库访问页 6.1 数据访问页视图 6.2 创建数据访问页 6.3 编辑数据访问页 6.4 查看数据访问页 退出.
LSF系统介绍 张焕杰 中国科学技术大学网络信息中心
UI(用户界面)集训班 Illustrator 高级班.
课程中心 课程中心培训方案 上海泰泽信息技术有限公司
管理系统使用注意事项 1.每个事业单位只有一张唯一的专用光盘。但为防止事业单位专用光盘损坏,可以自行刻录一张新的光盘作为备份。用于网上登记的计算机必须有光驱才行、计算机必须是xp或更好版本的的操作系统,浏览器必须是IE6.0版本以上。 2.事业单位专用光盘中“网下填表与上网提交”功能未开通,待开通后再告知大家。
在PHP和MYSQL中实现完美的中文显示
陈香兰 助教:陈博、李春华 Spring 2009 嵌入式操作系统 陈香兰 助教:陈博、李春华 Spring 2009.
注 册 在浏览器中输入如下网址:
LSF系统介绍 张焕杰 中国科学技术大学网络信息中心
第二讲 搭建Java Web开发环境 主讲人:孙娜
第八章 菜单设计 §8.1 Visual FoxPro 系统菜单 §8.2 为自己的程序添加菜单 §8.3 创建快捷菜单.
把COM口设置到没有使用的 COM1 – COM4
大学计算机基础 典型案例之一 构建FPT服务器.
Ebooking 突发问题解决方案.
SVN服务器的搭建(Windows) 柳峰
网络常用常用命令 课件制作人:谢希仁.
PostgreSQL 8.3 安装要点 四川大学计算机学院 段 磊
第十章 IDL访问数据库 10.1 数据库与数据库访问 1、数据库 数据库中数据的组织由低到高分为四级:字段、记录、表、数据库四种。
2019/1/12 GDP设计协同 超级管理员操作手册 GDP项目组.
VPN访问图书馆资源 方法说明 武汉纺织大学图书馆信息部制.
ENS 10.1安装配置指南 王俊涛 | SE.
第四章 附件 (应用程序软件包).
访问Epic games官网( 点击右上方“获取Epic games”进行下载
供应商登录CJLR SRM系统入口 CJLR供应商仅可以在互联网上访问SRM系统,无法在CJLR内网登录SRM系统.
Windows 7 的系统设置.
YMSM D-PACK 安装手册 作成者:D-PACK维护组(YMSLx) 作成日:
POWERPOINT TEMPLATE HI.
山西建筑职业技术学院 灵动管理 智慧协同
宁波市高校慕课联盟课程 与 进行交互 Linux 系统管理.
宁波市高校慕课联盟课程 与 进行交互 Linux 系统管理.
三:基于Eclipse的集成开发环境搭建与使用
程序设计工具实习 Software Program Tool
第二章 登录UNIX操作系统.
C语言程序设计 主讲教师:陆幼利.
新PQDT论文全文库提交平台.
直接扫描保存成TIF格式, 其他图片格式用Windows XP自带的 Windows图片与传真查看器打开
第四章 团队音乐会序幕: 团队协作平台的快速创建
PRESENTED BY OfficePLUS
第1章 c++概述 1.1 C++语言的简史及特点 1.2 简单的C++程序 1.3 C++语言的基本组成
第17章 组策略.
姚金宇 MIT SCHEME 使用说明 姚金宇
海南医学院附属医院 The Affiliated Hospital of Hainan Medical College 科研信息管理平台上线
工业机器人知识要点解析 (ABB机器人) 主讲人:王老师
计算机网络与网页制作 Chapter 07:Dreamweaver CS5入门
iSIGHT 基本培训 使用 Excel的栅栏问题
第六章 素材的加工与处理 第13讲 用GoldWave进行音频的截取、合并、淡入淡出操作
LOGIX500软件入门 西安华光信息技术有限公司 2008年7月11日.
Visual Basic程序设计 第13章 访问数据库
系统权限管理概要 用 户 访问权限 对 象 用户和组 全局权限 类别 每个用户可以属于多个用户组 用户组可以与AD安全组同步 系统预置用户组
VRP教程 2011.
Lync 2013 for Android 课程摘要卡 加入 Lync 会议 登录并开始使用 在会议中启动您的视频 更改状态或注销
第9章 多媒体技术 掌握 Windows 画图工具的基本操作; 掌握 Windows 音频工具进行音频播放;
Python 环境搭建 基于Anaconda和VSCode.
Polarization of electro- magnetic wave after reflection
GDP设计协同在线配置产品线公网访问权限操作手册
第六章 Excel的应用 五、EXCEL的数据库功能 1、Excel的数据库及其结构 2、Excel下的数据排序 (1)Excel的字段名行
YOUR SUBTITLE GOES HERE
第8章 创建与使用图块 将一个或多个单一的实体对象整合为一个对象,这个对象就是图块。图块中的各实体可以具有各自的图层、线性、颜色等特征。在应用时,图块作为一个独立的、完整的对象进行操作,可以根据需要按一定比例和角度将图块插入到需要的位置。 2019/6/30.
使用说明书 网址: 贵阳学院智慧实验室管理平台 用户中心 使用说明书 网址:
第四章 UNIX文件系统.
使用Fragment 本讲大纲: 1、创建Fragment 2、在Activity中添加Fragment
第六讲 酒店客房管理系统(二) 教育部“十二五”职业教育国家规划教材
RefWorks使用指南 归档、管理个人参考文献.
入侵检测技术 大连理工大学软件学院 毕玲.
LOGO HERE 单击此处添加 您的标题标题标题 PRESENTED BY JANE DOE
培训课件 AB 变频器的接线、操作及参数的备份 设备动力科.
分析测试中心仪器设备共享管理平台使用指南 ——普通用户
JUDDI安装手册.
Presentation transcript:

第9章 使用策略编辑器维护计算机 2017/3/21

大家都知道一些常用的系统外观、网络设置等我们往往通过控制面板进行修改,不过通过控制面板能修改的东西太少了,不能满足用户的需要;有一些专业水平的朋友可以使用修改注册表的方法来设置,但注册表涉及内容又太多、太专业、结构也很复杂,因此要求普通用户使用注册表维护计算机的方法不是十分可行,使用起来极其不方便。 但是我们要求大家一定要知道注册表的维护方法,掌握一些实例的设置方法还是完全能做到的。 组策略正好介于二者之间,涉及的内容比控制面板中的多,安全性和控制面板一样非常高,而在条理性、可操作性方面则比注册表强多了。可以说组策略就是注册表的编辑工具,下面就简单介绍组策略的使用方法。 2017/3/21

9.1.1 组策略的基本知识 什么是“组策略”呢?其实组策略就是介于控制面板和注册表之间的一种修改系统、设置的工具。 9.1 Windows XP组策略应用 9.1.1 组策略的基本知识  什么是“组策略”呢?其实组策略就是介于控制面板和注册表之间的一种修改系统、设置的工具。 微软自Windows NT 4.0开始便采用了组策略这一机制,经过Windows 2000发展到Windows XP已相当完善。组策略使用户自己更完善的管理组织方法,可以设置各种软件、计算机和用户策略,它实际上是Windows XP中的一个高级管理工具,它以图形化的界面和易于设置的选项来让用户轻松完成以往只有通过修改系统注册表才能完成的操作 。    2017/3/21

“组策略”可以对计算机进行两个方面的设置:一种是“本地计算机配置”,另一种是“本地用户配置”,所有策略的设置都将保存到注册表的相关项目中。 启动组策略时,您只需依次点击“开始”→“运行”命令,然后在“运行”窗口中输入“gpedit.msc”,然后单击“确定”按扭即可启动Windows XP组策略编辑器。(注:这个“组策略”程序位于“C:\windows\system32”中,文件名为“gpedit.msc”。)  “组策略”可以对计算机进行两个方面的设置:一种是“本地计算机配置”,另一种是“本地用户配置”,所有策略的设置都将保存到注册表的相关项目中。 对计算机策略的设置保存到注册表的HKEY_LOCAL_MACHINE的相关项中,对用户的策略设置将保存到HKEY_CURRENT_USER相关项中。 2017/3/21

展开“用户配置”→“管理模板”→“Windows组件”→“Windows资源管理器”项 9.1.2系统的个性化设置 1.隐藏或删除资源管理器中的项目 展开“用户配置”→“管理模板”→“Windows组件”→“Windows资源管理器”项 2017/3/21

2.不显示欢迎屏幕界面 展开“用户配置”→“管理模板”→“系统”→右侧窗口中找到并双击“登录时不显示欢迎屏幕”,在弹出的属性窗口中的“设置”标签页里选中“已启用”,最后点击“确定”即可,这样以后每次用户登录时欢迎屏幕将隐藏。 2017/3/21

3.用IE作为用户界面 展开“用户配置”→“管理模板”→“系统”,在右边窗口中找到并启用“自定义用户界面”项,然后在下面的“界面文件名”下的输入框内输入所要运行的程序路径及程序名(包括扩展名),例如输入“c:\program files\internet explorer\iexplore.exe”最后点击“确定”并重新启动系统即可。 4.让“开始”菜单返璞归真 依次展开“用户配置”→“管理模板”→“任务栏和‘开始’菜单”,然后在右边窗口中我们找到并启用“强制典型菜单”项,最后点击“确定”并重新启动系统即可看到修改后的效果。 2017/3/21

5.为“开始”菜单减肥 展开“用户配置”→“管理模板”→“任务栏和‘开始’菜单”,在右边窗口中双击“从‘开始’菜单上删除‘我的文档’图标”项,在弹出对话框的“设置”标签中点选“已启用”,然后单击“确定”,这样在“开始”菜单中“我的文档”图标将会隐藏。 6个性化的IE浏览器 “用户配置→Windows设置→Internet Explorer维护→浏览器用户界面”分支;在右边的窗口中双击“浏览器工具栏自定义”策略,打开“浏览器工具栏自定义”对话框。 2017/3/21

9.1.3系统功能设置 1、让整个桌面隐藏起来   如果您不希望别人随意打开自己桌面上的“我的文档”、“我的电脑”、“回收站”等系统图标的话,我们可以通过组策略来实现或者将整个桌面隐藏起来。具体步骤如下: 在“组策略”窗口中依次展开“用户配置”→“管理模板”→“桌面”,如果要隐藏“我的文档”,那么就可以在右边窗口中找到并启用“删除桌面上的‘我的文档’图标”项,最后点击“确定”即可;同样我们在右边窗口中找到并启用“删除桌面上的‘我的电脑’图标”或“从桌面删除回收站”即可删除“我的电脑”或“回收站”,启用“隐藏和禁用桌面上的所有项目”则可隐藏整个桌面。 2017/3/21

2、保护个人的文档隐私   Windows XP有个高级智能功能,即可以记录你曾经访问过的文件。这个功能为用户再次打开该文件提供了方便,如果您出于安全和性能方面考虑的话——应屏蔽此功能。我们可以通过下面的设置来满足要求:   在“组策略”窗口中依次展开“用户配置”→“管理模板”→“任务栏和‘开始’菜单”,然后在右边窗口将“不要保留最近打开文档的记录”和“退出时清除最近打开的文档记录”两个策略启用即可。 2017/3/21

3、禁止访问“控制面板”   如果您不希望其他用户访问计算机上的“控制面板”,那么只要运行组策略编辑器,并在左侧窗口中展开“本地计算机策略→用户配置→管理模板→控制面板”分支,然后将右侧窗口的“禁止访问控制面板”设置为“已启用”即可。   此项设置可以防止控制面板程序文件的启动,其结果是他人将无法启动控制面板或运行任何控制面板项目。另外,这个设置将从“开始”菜单中删除控制面板,同时这个设置还从Windows资源管理器中删除控制面板文件夹。 2017/3/21

4.禁止访问注册表编辑器   为了防止他人修改你的注册表,我们可以在组策略中禁止访问注册表编辑器,具体步骤如下:依次展开“用户配置”→“管理模板”→“系统”,然后在右边窗口中找到并双击“阻止访问注册表编辑器”项,并将其设置为“已启用”,这样用户在试图启动注册表编辑器时,系统将提示:注册编辑已被管理员停用。 2017/3/21

5.禁用“添加/删除程序”    我们可以从“控制面板”中的“添加或删除程序”项目中安装、卸载、修复并添加和删除 Windows 的功能和组件以及种类很多的 Windows 程序。如果你想阻止其他用户安装或卸载程序,可利用组策略来实现。   依次展开“用户配置”→“管理模板”→“控制面板”→“添加/删除程序”,然后在右边窗口中启用“删除‘添加/删除程序’程序”即可。 2017/3/21

6.禁用IE“工具”菜单下的“Internet选项” 如果不希望别人对IE浏览器的设置随意更改,可以将“‘工具’菜单:禁用‘Internet选项...’”策略启用。具体设置步骤如下:依次展开“用户配置”→“管理模板”→“Windows components”→“Internet Explorer”→“浏览器菜单”,然后在右边窗口中启用“工具”菜单:“禁用‘Internet选项...’”菜单项即可。 2017/3/21

9.2 本地安全策略的使用 启动“本地安全策略”的方法有三种: 开始→运行→gpedit.msc→计算机配置→windows设置→安全设置。 单击“控制面板”→“性能和维护”→“管理工具”→“本地安全策略”。 开始→运行→secpol.msc也可。 2017/3/21

9.2.1账户策略的使用 在账户策略中可进行密码策略和账户锁定策略的设定,通过密码策略和账户锁定策略可以加强用户安全。 1.密码策略 9.2.1账户策略的使用 在账户策略中可进行密码策略和账户锁定策略的设定,通过密码策略和账户锁定策略可以加强用户安全。 1.密码策略  展开“计算机配置”→“Windows设置”→“安全设置” →“账户策略”→“密码策略”,在其右侧设置窗口中,可进行密码复杂性要求、密码长度、密码的存留期等的设置,以使我们的系统密码相对安全,不易破解。 2.账户锁定策略 在安全设置中,先定位于“帐户策略” →“帐户锁定策略”,在其右边的设置窗口中“帐户锁定阀值”将其默认值0改为3,这样当用户3次登陆不成功时锁定,0为不限制登录次数。 2017/3/21

2017/3/21

2.安全选项 安全选项可进行交互式登录、网络安全、网络访问等安全设置,设置的项目很多,设置方法也很简单。 9.2.2 本地策略的使用 1.指派本地用户权利   如果你是系统管理员身份,可以指派特定权利给组账户或单个用户账户。 “计算机配置”→“Windows设置”→“安全设置” → “本地策略”→“用户权利指派”,而后在其右侧的设置视图中,可针对其下的各项策略分别进行安全设置,如下图所示。 2.安全选项   安全选项可进行交互式登录、网络安全、网络访问等安全设置,设置的项目很多,设置方法也很简单。 展开“本地策略”→“安全选项”,在右侧窗口有很多设置项目,找到“网络访问:不允许SAM账户和共享的匿名枚举”。 2017/3/21

2017/3/21

9.3 软件限制策略介绍 9.3.1软件限制策略的基本概念 软件限制策略是本地安全策略的一个组成部分,软件限制策略是一种技术,通过这种技术,管理员可以决定哪些程序可以运行,该策略允许管理员针对一个指定的文件或某种类型的文件通过制定相应的规则对其进行标识,同时赋予这些文件相应的安全级别,从而允许或限制这些文件的运行。 2017/3/21

在软件限制策略中,用于标识文件的规则有4 种, 分别是散列规则、证书规则、路径规则、区域规则. 江苏大学教师备课用纸 2017/3/21 1.软件限制策略的规则 在软件限制策略中,用于标识文件的规则有4 种, 分别是散列规则、证书规则、路径规则、区域规则. 文件的安全级别分为:“不允许的”和“不受限的”两种,其中“不允许的”将禁止该程序运行,不论用户的权限如何;“不受限的”允许用户依据其拥有的权限运行程序。 利用软件限制策略预防病毒需要制定的规则通常为散列规则和路径规则,文件的安全级别要设定为“不允许的”。 Internet 区域规则 :区域规则只适用于 Windows 安装程序包。区域规则可以标识那些来自 Internet Explorer 指定区域的软件。 这些区域是 Internet、本地计算机、本地 Intranet、受限站点和可信站点。  散列规则:散列是唯一标识程序或文件的一系列定长字节。散列按散列算法算出来。 软件限制策略可以用 SHA-1(安全散列算法)和 MD5 散列算法根据文件的散列对其进行标识。 重命名的文件或移动到其他文件夹的文件将产生同样的散列。 路径规则:路径规则通过程序的文件路径对其进行标识。由于此规则按路径指定,所以程序发生移动后路径规则将失效。 路径规则也支持通配符,所支持的通配符为 * 和 ?。 证书规则:软件限制策略可以通过其签名证书来标识文件。证书规则不能应用到带有 .exe 或 .dll 扩展名的文件。 它们可以应用到脚本和 Windows 安装程序包。可以创建标识软件的证书,然后根据安全级别的设置,决定是否允许软件运行。 2017/3/21

在软件限制策略的四个规则中,如果对同一个文件设置了几个规则,那么哪个规则起作用呢?这四个规则的优先级从高到低排序依次为: 2.软件限制策略优先级别 在软件限制策略的四个规则中,如果对同一个文件设置了几个规则,那么哪个规则起作用呢?这四个规则的优先级从高到低排序依次为: 散列规则—>证书规则—>路径规则—>internet区域规则,而在实际的应用中,一般只用到散列规则和路径规则。 2017/3/21

以管理员或管理员组的成员身份登录系统,通过下面三种方法打开: 3.软件限制策略的打开方法 以管理员或管理员组的成员身份登录系统,通过下面三种方法打开: (1)在“开始”菜单的“运行”处运行secpol.msc 命令,启动本地安全策略编辑器,展开“安全设置”,点击“软件限制策略”项; (2) 在“开始”菜单的“运行”处运行gpedit.msc 命令,启动组策略编辑器,依次展开“‘本地计算机’策略”、“计算机设置”、“Windows 设置”、“安全设置”,点击“软件限制策略”项。 (3) 开始/程序/管理工具/本地安全策略 2017/3/21

4.规则的建立方法 在打开的软件限制策略,选择“其他规则”,发现系统默认有四个规则,用户不能修改或删除它,在该窗口点击右键,出现“快捷菜单”,在该菜单上可以建立“新散列规则”或“新路径规则”。 2017/3/21

软件限制策略可以有多个规则作用于同一个文件,此时限制策略的执行原则是按如下规定起作用。 5.软件限制策略执行原则 软件限制策略可以有多个规则作用于同一个文件,此时限制策略的执行原则是按如下规定起作用。 (1) 如多于一个规则作用于同一个程序,则优先级别最高的规则起作用。 (2) 如多于一个的同类规则作用于同一个程序,则同类规则中最具限制力的规则起作用。如对同一文件做散列两次(不受限、不允许),不允许优先。 (3)规则越具体越优先。如做了*.exe为不允许,1.exe为不受限,1.exe的规则优先,因为*.exe为一类文件,1.exe为一个文件比较具体。 2017/3/21

(1) 不要修改默认的域策略,不要连接外域策略。 (2) 坚持为软件限制策略建立独立的组策略对象。 6.使用软件限制策略注意事项 (1) 不要修改默认的域策略,不要连接外域策略。 (2) 坚持为软件限制策略建立独立的组策略对象。 (3) 如果应用软件限制策略出现预期之外的问题,请以安全模式启动计算机修正策略。 (4) 为获得最好的限制效果,应连同访问策略一起使用软件限制策略。 (5) 在软件限制策略应用前应在测试环境进行测试。 (6) 慎重使用“不允许的”默认策略。 (7) 不要删除系统自动建立的注册表路径规则。 2017/3/21

7.软件限制策略的解除 有时可能因为错误的设置而导致某些系统组件无法运行(例如禁止运行所有msc后缀的文件而无法打开组策略编辑器),这种情况下我们只要重新启动系统到安全模式,然后使用Administrator账号登录并删除或修改这一策略即可。因为安全模式下使用Administrator账号登录是不受这些策略影响的。 2017/3/21

9.3.2 软件限制策略的应用 1.预防已知文件名的病毒,如震荡波病毒 2.设置策略的作用对象 3. 防止应用程序的运行 2017/3/21

小 结 本章介绍了组策略的基本概念、策略编辑器在系统设置中的优势,同时还介绍了本地安全策略和软件限制策略在计算机维护中的应用,并给出了相应的设置实例,帮助读者实现理论与实践的完美结合。 2017/3/21