用组策略筑起Windows的安全长城.docx
- 文档编号:23184452
- 上传时间:2023-05-15
- 格式:DOCX
- 页数:10
- 大小:240.51KB
用组策略筑起Windows的安全长城.docx
《用组策略筑起Windows的安全长城.docx》由会员分享,可在线阅读,更多相关《用组策略筑起Windows的安全长城.docx(10页珍藏版)》请在冰豆网上搜索。
用组策略筑起Windows的安全长城
用组策略筑起Windows的安全长城
发布时间:
2011-09-29 来源:
CFAN 作者:
平淡 点击量:
77我要评论
Windows7的安全性虽然有了很大的提高,不过系统仍然存在很多的安全问题。
其实很多安全问题并非Windows7的防护功能不足,而是我们没有对系统进行合理的设置所致。
Windows7组策略就是系统自带的最佳安全防护组件,只要用好组策略就可以大大加强Windows7的安全性!
初级防护——简单开启策略设置
操作难度:
★
安全效果:
★★★
组策略的很多设置并不要复杂的操作,一般只要简单对默认设置稍加修改即可,比如将原来设置删除,或者将“未被配置”状态启用即可大大增强系统的安全性能。
实例:
关闭黑客入侵通道
图1
在我们遭遇的网络攻击中,黑客经常通过扫描工具侦测被攻击系统远程操作权限,从而通过远程操作来控制我们的电脑。
比如Windows7系统默认开启“远程访问注册表路径”权限,这样黑客们入侵后就可以远程修改我们的注册表键值,从而实现木马、病毒等进程自启动,或者让这些文件隐身,给系统安全带来极大隐患。
现在只要启动组策略编辑器(单击“开始”徽标,在搜索框输入“gpedit.msc”,然后在搜索结果列表中单击“gpedit.msc”即可)。
进入组策略设置窗口后,依次展开“计算机配置→Windows设置→安全设置→本地策略→安全选项”,双击右侧窗格的“网络访问:
可远程访问的注册表路径”,打开组策略属性设置框,删除其中的所有注册表路径信息,单击“确定”退出即可(见图1)。
操作同上,继续将“网络访问:
可远程访问的注册表路径和子路径”策略设置中默认路径信息也删除。
这样网络病毒或木马就无法通过远程访问注册表路径,对Windows7系统进行远程攻击了。
安全设置扩展:
实际上针对网络安全设置策略还有不少,大家只要根据策略说明,再根据自己的实际情况进行设置即可。
★删除所有用户远程访问连接。
很多黑客通过远程连接来控制我们的电脑,只要展开“用户配置→管理模板→网络→网络连接”,选择“删除所有用户远程访问连接”即可。
★添加共享访问验证。
局域网很多病毒是通过共享肆意传播,同上展开“计算机配置→Windows设置→安全设置→本地策略→安全选项”,将“网络访问:
本地帐户的共享和安全模型”设置为“经典-对本地用户进行身份验证,不改变其本来身份”,这样Windows7系统的共享访问操作日后就需要进行身份验证了,可以避免病毒通过局域网共享进行传播。
★禁止共享空密码。
默认情况下,Windows7允许远程用户可以使用空用户连接方式获得网络上某一台计算机的共享资源列表和所有账户名称。
同上展开“安全选项”后,将右侧的“网络访问:
不允许SAM账号和共享的匿名枚举”设置为“已启用”即可。
高级防护——自定义策略防护
操作难度:
★★★
安全效果:
★★★★
由于初级防护只是对策略设置进行简单的修改,对于一些安全性要求更高的操作,我们还可以自行定义限制策略,以满足各种特定的安全需要。
实例:
让病毒木马在系统目录活活饿死
大家知道病毒木马经常混进系统目录“为非作歹”,现在可以通过组策略的设置,让病毒木马无法在系统目录中运行。
图2
图3
图4
图5
第1步:
右击桌面“计算机”,依次选择“管理→服务”,找到“ApplicationIdentity”服务并设为自动启动。
接着启动组策略编辑器,依次展开“计算机配置→Windows设置→安全设置→应用程序控制策略→AppLocker→可执行规则”,右击“可执行规则”选择“创建默认规则“。
第2步:
创建默认规则后,继续右击“可执行规则”选择“创建新规则”,在打开的创建向导选择默认“Everyone”账户执行权限为“拒绝”,然后在“条件”选项选择“路径”,选择系统目录“C:
\windows”作为限制规则目录(见图2)。
第3步:
继续单击“下一步”,添加例外下选择“发布者”,然后单击“浏览”选择任意一个系统自带程序如“C:
\ProgramFiles\DVDMaker\dvdmarker.exe”(只是从从该程序提取例外签名信息),在例外设置中拉动滑块到“发布者”,也就是微软发布的程序是可以运行的(见图3)。
第4步:
剩下的操作按屏幕提示完成规则的创建即可,最后返回“AppLocker”界面,单击左侧窗格“配置规则强制”,在打开的窗口中勾选“可执行规则”下的“已配置”,选择“强制规则”,重启后限制规则就开始生效了(见图4)。
第5步:
创建上述限制规则后,以后在“C:
\windows”下运行的程序如果发布者不是微软公司,那么就无法运行,系统会提示该程序已经被系统组策略限制,木马病毒当然会被活活饿死了(见图5)。
小提示:
启用上述限制后,本机所有需要以管理员身份运行的程序都会受到限制(不过由于“例外”设置的存在,系统自带程序是可以正常运行的),对于非系统目录的受限程序,只要右击选择“以管理员身份运行”即可正常启动(但是系统目录的除外)。
安全设置扩展:
更多自定义限制策略
图6
★限制指定程序运行。
AppLocker的限制规则使用起来比较繁琐,如果要限制已知程序,只要展开“计算机配置→Windows设置→安全设置→软件限制策略”,新建一个“文件哈希值”,然后选择受限软件,设置一个受限软件策略即可阻止制指定软件的运行。
★阻止黑客Ping。
黑客经常通过Ping命令来扫描有漏洞的电脑,展开“计算机配置→Windows设置→安全设置→高级安全Windows防火墙→高级安全Windows防火墙→本地组策略对象→入站规则→新规则→自定义→所有程序→ICMPv4→阻止连接”,自定义IPSec策略即可阻止黑客们Ping我们的电脑。
★只允许指定U盘使用。
U盘已经成为病毒传播的帮凶,如果要让电脑只允许自己U盘插入,展开“计算机配置→管理模板→系统→设备安装→设备安装限制”,设置“禁止安装未由其他策略设置描述的设备”策略为“已启用”,设置“允许安装与下列设备ID相匹配的设备”为“已启用”,接着单击“显示”,然后再输入自己U盘的即插即用硬件ID(见图6)。
如果要完全禁用U盘,展开“计算机配置→管理模板→系统→可移动存储访问”,将右侧“所有可移动存储类:
拒绝所有权限”设置为“已启用”。
策略安全,轻松检测
图7
通过组策略的设置,我们可以让系统变得更加安全,但是组策略成百上千的选项设置,如何诊断它的安全性。
在“运行”框输入“rsop.msc”,系统会自动对所有策略进行检测,在打开的“策略的结果集”,依次右击“计算机配置”和“用户配置”,然后选择“属性”,在打开属性窗口切换到“错误信息”,这里可以看到诊断结果,如果显示有错误,则要对设置的策略进行修改(见图7)。
家庭版怎么添加组策略
大家知道,Windows家庭版系列是不支持组策略的,不过我们可以将旗舰版版中的组策略移植到家庭版中。
首先将旗舰版系统中“C:
\Windows\system32”文件夹中的“gpedit.msc”、“fde.dll”、“gpedit.dll”、“gptext.dll”、“wsecedit.dll”文件复制到家庭版同名文件夹中。
接着将“Windows\Inf”文件夹中的所有“*.adm”文件复制替换到家庭版同名文件夹中。
最后以管理员身份启动命令提示符,依次执行下列的命令注册DLL文件即可:
regsvr32fde.dll
regsvr32gpedit.dll
regsvr32gptext.dll
regsvr32wsecedit.dll
警告:
对系统的操作有一定风险,尝试以上方法之前,最好对系统进行设置还原点等防护措施,一旦有问题也好恢复。
小提示:
组策略只在Windows7专业版、旗舰版和企业版中提供,实际上组策略很多设置都可以通过注册表编辑完成。
比如IE主页可以通过组策略锁定,家庭版用户只要运行注册表编辑器,展开[HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main],右击[Main]键值选择“权限”,然后单击“高级”,切换到“所有者”标签,将当前管理员账户设置为所有者。
单击“确定”返回权限设置窗口,单击“添加”,将当前管理员账户添加到列表,并将账户对该键值读取权限设置为“拒绝”即可。
组策略常见问题QA
1.如果错误设置某项策略影响自己使用,该怎么取消?
A:
如果还可以运行“mmc.exe”,只要启动它后添加“gpedit.msc”,然后取消原来设置即可。
如果策略阻止“mmc.exe”运行,可以重启后按F8进入安全模式运行。
2.自己设置好了各项策略,重装前如何备份?
A:
只要复制“C:
\Windows\System32\GroupPolicy”目录到其他位置,重装后用备份覆盖替换即可。
清空上述目录也可以初始化组策略所有设置。
3.在网上下载到了一些其他用户设置好的策略模板,怎么导入本机?
A:
展开“计算机配置”或“用户配置”,右击“管理模板”选择“添加/删除模板”,然后单击“添加”,导入下载到的.adm模板文件即可。
如果下载的是其他用户制作的“GroupPolicy”目录,那只要将这个目录复制到“C:
\Windows\System32\GroupPolicy”替换即可
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 策略 Windows 安全 长城