讓組策略保護Windows XP的安全

　　 默認安裝完Windows XP之后，我們的Windows XP并不很安全。因此，我們有必要對系統進行一些修修補補， 一般情況下我們都要動用到注冊表。誠然，修改注冊表是一種非常有效的方法，但是它需要一定的計算機知識，否則極有可能會引起系統崩潰。不過，如果我們注意使用Windows XP中的組策略，就可以輕松地打造一個安全的Windows XP，而無需我們動用注冊表編輯器!

　　一、了解XP的組策略

　　大家還記得Windows 98時代，我們曾用過Windows 98安裝光盤上的“策略編輯器”的軟件，當時想必也為它的神奇功能而驚嘆不已!“組策略”工具的原理與Windows 98中的“策略編輯器”原理相同。利用它可以把很多平時需要冒著危險修改注冊表才能夠完成的操作在更為直觀的界面中操作完成。

　　因此，通俗地說，“組策略”就是一個另類的注冊表編輯器，利用它就可以更改系統中的某些重要設置。不僅可以省去記憶鍵值的痛苦，還可以免受修改注冊表不慎帶來的危險。

　　小提示

　　組策略不等同于“注冊表編輯器”，“注冊表編輯器”理論上可以更改任意的鍵值，從而讓它更滿足我們的要求。但是組策略只是對某些項目進行控制，因此從某種意義上來說，組策略能夠完成的任務，修改注冊表一定能夠完成。但反之，修改注冊表能夠完成的任務，通過組策略就不一定能夠有效。

　　二、組策略的啟動

　　單擊“開始”→“運行”命令，在“運行”對話框的“打開”欄中輸入“gpedit.msc”，然后單擊“確定”按扭即可啟動Windows XP組策略編輯器。

　　在打開的組策略窗口中(如圖1所示)，我們可以發現左側窗格中是以樹狀結構給出的控制對象，右側窗格中則是針對左邊某一配置可以設置的具體策略。

　　小提示 “計算機配置”和“用戶配置”的聯系與區別

　　另外，您或許已經注意到，左側窗格中的“本地計算機”策略是由“計算機配置”和“用戶配置”兩大子鍵構成，并且這兩者中的部分項目是重復的，如兩者下面都含有“軟件設置”、“Windows設置”等。那么在不同子鍵下進行相同項目的設置有何區別呢?其實，這里的“計算機配置”是對整個計算機中的系統配置進行設置的，它對當前計算機中所有用戶的運行環境都起作用；而“用戶配置”則是對當前用戶的系統配置進行設置的，它僅對當前用戶起作用。例如，二者都提供了“停用自動播放”功能的設置，如果是在“計算機配置”中選擇了該功能，那么所有用戶的光盤自動運行功能都會失效；如果是在“用戶配置”中選擇了此項功能，那么僅僅是該用戶的光盤自動運行功能失效，其他用戶則不受影響。設置時需注意這一點。

　　三、用組策略打造完全XP

　　通過組策略工具，我們可以對系統進行一些設置，使它更加安全。下面就是非常實用的例子：

　　1.限制IE瀏覽器的保存功能

　　當多人共用一臺計算機時，為了保持硬盤的整潔，需要對瀏覽器的保存功能進行限制使用，那么如何才能實現呢?具體方法為：選擇“用戶設置”→“管理模板”→“Windows組件”→“Internet Explorer”→“瀏覽器菜單”分支。雙擊右側窗格中的“‘文件’菜單：禁用‘另存為…’菜單項”(如圖2)，在打開的設置窗口中選中“已啟用”單選按鈕(如圖3)。

　　小提示

　　在圖2窗格中，我們還可以對“‘文件’菜單：禁用另存為網頁菜單項”、“‘查看’菜單：禁用‘源文件’菜單項”和“禁用上下文菜單”等策略項目進行修改，這樣我們的IE將會安全一些。

　　2.禁止修改IE瀏覽器的主頁

　　如果您不希望他人或網絡上的一些惡意代碼對自己設定的IE瀏覽器主頁進行隨意更改的話，我們可以選擇“用戶配置”→“管理模板”→“Windows 組件”→“Internet Explorer”分支，然后在右側窗格中，雙擊“禁用更改主頁設置”策略啟用即可(如圖4)。

　　小提示

　　(1)在圖4窗格中，還提供了更改歷史記錄設置、更改顏色設置和更改Internet臨時文件設置等項目的禁用功能。如果啟用了這個策略，在IE瀏覽器的“Internet 選項”對話框中，其“常規”選項卡的“主頁”區域的設置將變灰。

　　(2)如果設置了位于“用戶配置”→“管理模板”→“Windows 組件”→“Internet Explorer”→“Internet 控制面板”中的“禁用常規頁”策略，則無需設置該策略，因為“禁用常規頁”策略將刪除界面上的“常規”選項卡。

　　(3)逐級展開“用戶設置”→“管理模板”→“Windows組件”→“Internet Explorer”分支，我們可以在其下發現“Internet控制面板”、“脫機頁”、“瀏覽器菜單”、“工具欄”、“持續行為”和“管理員認可的控件”等策略選項。利用它可以充分打造一個極有個性和安全的IE。

　　3.給我們的IP添加安全策略

　　在“計算機配置”→“Windows設置”→“安全設置”→“IP 安全策略，在本地計算機”下與有與網絡有關的幾個設置項目。如果大家對Internet較為熟悉，那也可以通過它來添加或修改更多的網絡安全設置，這樣在Windows上運行網絡程序或者暢游Internet時將會更加安全。

　　小提示

　　由于此項較為專業，其間會涉及到很多的專業概念，一般用戶用不到，在這里只是給網絡管理員們提個醒，因此在此略過。

　　4.禁用IE組件自動安裝

　　選擇“計算機配置”→“管理模板”→“Windows組件”→“Internet Explorer”項目，雙擊右邊窗口中“禁用Internet Explorer組件的自動安裝”項目，在打開的窗口中選擇“已啟用”單選按鈕，將會禁止 Internet Explorer 自動安裝組件。這樣可以防止 Internet Explorer 在用戶訪問到需要某個組件的網站時下載該組件，篡改IE的行為也會得到遏制!相對來說IE也會安全許多!

　　小提示

　　如果禁用該策略或不對其進行配置，則用戶在訪問需要某個組件的網站時，將會收到一則消息，提示用戶下載并安裝該組件。有時用戶看也不看就選擇“安裝”則往往會出問題。網上的很多惡意代碼往往都是這樣工作的。

　　5.把用戶的行動都記錄下來

　　可能很多人都使用Windows XP作為局域網的域控制器，這樣登錄的用戶必然較多。同時，Windows XP也是一個運行多用戶的操作平臺，因此，我們有必要對每個用戶的行為進行一定的記錄，以便到時對它們的行為進行監控，并進行記錄，以供系統管理員查看和分析。所有的這些幾乎全部集中在“計算機配置”→“Windows設置”→“安全設置”→“本地策略”→“審核策略”下。如圖5，我們可以看到有很多與審核有關的項目：如審核策略更改、審核登錄事件、審核對象訪問、審核過程追蹤、審核目錄服務訪問、審核特權使用、審核系統事件、審核賬戶登錄事件和審核賬戶管理等等。雙擊某一個項目后，會出現如圖6所示窗口，勾選成功和失敗前復選框。

　　小提示

　　(1)審核(Audit)是Microsoft從Windows NT起開始使用的一項技術，所有被審核的對象會在系統的日志中創建出相應的項目，并會被記錄下操作的時間、審核類別及相應的結果。

　　(2)所有的審核記錄結果，可以通過選擇“開始”→“控制面板”→“管理工具”→“管理工具”→“系統工具”→“事件查看器”來查看。如果雙擊其中的某個審核項目，還可以看到它的詳細資料，包括審核項目的日期、來源、時間、類別、類型、信息 、事件、用戶、計算機、描述和數據等項目(如圖7)。相信通過它，對于我們更加方便、安全地管理計算機是相當有用的。

　　當然，Windows XP中的組策略功能非常強大。有很多有用的設置可供我們修改，只是限于篇幅，筆者不能在這里一一說明了。

原文轉自：http://www.kjueaiud.com