主角闪亮登场
单击“开始”菜单,选择“运行”命令,输入gpedit.msc后按回车键,看!主角组策略粉墨登场了,如图1。
小知识:什么是组策略?
它 是Win2000/XP/2003下的一个工具,前身是98下的系统策略编辑器。组策略是系统策略的更高级扩展,它具有更多的管理模板和更灵活的设置对象 以及更多的功能,目前主要应用于员Win2000/XP/2003系统。无论是系统策略还是组策略,它们的基本原理都是修改注册表中相应的配置项目,从而 达到配置计算机的目的,只是它们的一些运行机制发生了变化和扩展而已。
演出已经开始
1.偷用机器者,一个也跑不了
【位置】计算机配置→Windows设置→安全设置→本地策略→安全选项。
【设置】双击“交互式登录:不显示上次的用户名”,在弹出的属性窗口中选择“已启用”,如图1。
图1
小提示
●在Windows 2000系统下,系统启动时会自动显示出上次登录时的用户名。启用该项策略后,将不再出现上次登录的用户名。这下,小白不怕了,小菜也不担心不知道本机合法登录用户名的黑客入侵了。
● 在Windows XP系统中,默认启动方式下会出现欢迎屏幕,所有用户一览无余。应该先更改用户登录方式。方法是:打开“控制面板”,选择“用户帐户”,在“用户帐户”窗 口单击“更改用户登录或注销的方式”,如图2。取消“使用欢迎屏幕”复选框,单击“应用选项”按钮。以后用户登录的界面就和Windows 2000一样了。
图2
2.入侵者戒
【位置】计算机配置→Windows设置→安全设置→帐户策略→帐户锁定策略。
【设置】双击“帐户锁定阈值”策略,设置“3次无效登录”。然后可以把“帐户锁定时间”策略设置为“30”分钟或更长时间。
【功能】当非法用户在3次输入错误密码后,封锁其帐户,禁止登录。
3.谁动了我的奶酪
【位置】计算机配置→Windows设置→安全设置→本地策略→审核策略
【设置】把“审核帐户登录事件”策略设 置为“成功、失败”后,打开“事件查看器”,就能查看近期有哪些用户登录过你的电脑了;把“审核过程追踪”策略设置为“成功、失败”,可以察看用户运行过 哪些程序。如图3所示,通过事件查看器可以发现用户“罗艳军”运行过QQ.exe程序。
图3
小提示
打开“事件查看器”的方法:单击“开始→运行”,输入“eventvwr.msc”后回车。
4.我的机器你别关
【位置】计算机配置→Windows设置→安全设置→本地策略→用户权利指派
【设置】在“拒绝从网络访问此计算机”策略的属性窗口中添加某一用户,则该用户就没有权利从网络访问这台计算机;在“关闭系统”策略的属性窗口中删除某一群组,如图4所示,则该群组的用户就没有权利关闭系统(该用户的“开始”菜单中没有“关闭计算机”这一菜单项)。
图4
5.访问“控制面板”遭拒
【位置】用户配置→管理模板→控制面板
【设置】双击该策略,在弹出的属性窗口中把该策略设置为“已启用”。
【功能】启用该策略后,当我们双击控制面板时出现一“限制”窗口,内容为“本次操作由于这台计算机的限制而被取消。请与您的系统管理员联系。”
6.“我的电脑”无硬盘?
【位置】用户配置→管理模板→Windows 组件→Windows资源管理器
【设置】双击“隐藏我的电脑中的这些指定的驱动器”策略,选择需要隐藏的驱动器。
【功能】这些被隐藏的驱动器将不会出现在“我的电脑”和“资源管理器”中,在Word的新建或打开窗口中也不会出现。
小提示
还是可以直接在地址栏中输入隐藏的盘符(如D:\)来访问。
7.我的驱动器不对你开放
【位置】用户配置→管理模板→Windows 组件→Windows资源管理器
【设置】双击“防止从我的电脑访问驱动器”策略,弹出属性窗口如图5所示,根据需要选择适当的选项即可。
图5
【功能】上一功能只是隐藏驱动器,但直接输入地址还可以访问,就白了还是捉迷藏而已。要想真正禁止用户使用,就得用这个功能。启用后,就算你看到有这个磁盘,也会提示“本次操作由于这台计算机的限制而被取消。请与您的系统管理员联系”。放心了吧?
小提示
此时在命令提示符状态仍能进入被限制的驱动器,使用DIR命令可查看文件系统,并能运行程序。为了更有效地保护你的系统,请参考下一条措施。
8.DOS高手也傻了眼
【位置】用户配置→管理模板→系统
【设置】双击“阻止访问命令提示符”策略,选择“已启用”,并在“也停用命令提示符脚本处理吗?”下拉列表框中选择“是”。
【功能】当我们使用命令提示符窗口时,将会出现一提示“命令提示符已被系统管理员停用。按任意键继续...”。
9.别乱动注册表编辑器
【位置】用户配置→管理模板→系统
【设置】双击“阻止访问注册表编辑工具”策略,选择“已启用”。同时在“禁止后台运行regedit”后选择“是”。
【功能】运行regedit启动“注册表编辑器”时,会弹出一错误提示“注册编辑已被管理员停用”,从而禁止用户通过注册表编辑器访问注册表。
10.我的程序你别用
【位置】用户配置→管理模板→系统
【设置】双击“不要运行指定的Windows应用程序”策略,选择“已启用”单选按钮,然后单击“显示”按钮,这时将出现一“显示内容”窗口,该窗口中显示的是禁止运行的程序列表。单击“添加”按钮,在文本框中输入禁止运行的程序名称即可,如图6所示。
【功能】当你运行这些被禁止的程序时,将出现提示窗口“本次操作由于这台计算机的限制而被取消。请与您的系统管理员联系。”
小提示
只需输入禁止运行的程序名,不需在程序名前加路径。
怎么样?经过这重重防线的设置,电脑安全多了吧?不过,最后提醒一句:不要自己给自己添乱!因为这些设置是一把双刃剑。不仅可以限制别人,同时,也限制了 自己!如果担心熟悉组策略的用户再运行组策略编辑器将相关选项改回来,在图6中填入gpedit.msc吧,这样连组策略编辑器也甭想进来了,呵呵。还是 得给自己留下一条后路哟。
图6
没有评论:
发表评论