巧用Win7组策略提高系统安全性(2)

提示：启用此策略设置后，用户将无法对默认主页进行设置，因此如果需要，用户必须在修改设置前指定一个默认主页。

冰封IE设置

如同上文所述，一旦系统中毒或中了木马，除了IE主页会被窜改，其他的IE设置也可能会被窜改。因此给IE设置加上防护罩也是非常有必要的。特别是IE设置一旦设定之后，可能长期都不会改变，因此不如彻底冰封!

依次展开“用户配置→管理模板→Windows组件→Internet Explorer→Internet控制面板”，右边窗格有“禁用高级页”、“禁用连接页”、“禁用内容页”、“禁用常规页”、“禁用隐私页”、“禁用程序页”和“禁用安全页”，分别对应IE里“Internet选项”中的七个选项卡(如图3所示)。如全部启用，打开“Internet选项”将出现“限制”的出错对话框，这就彻底杜绝了对IE浏览器设置的修改。

提示：启动“禁用常规页”将会删除“Internet选项”中的“常规”选项卡。如果启用此策略，则用户无法查看和更改主页、缓存、历史记录、网页外观以及辅助功能的设置。因为此策略会删除“常规”选项卡，所以如果设置此策略，则无须设置以下Internet Explorer策略——“禁用更改主页设置”、“禁用更改Internet临时文件设置”、“禁用更改历史记录设置”、“禁用更改颜色设置”、“禁用更改链接颜色设置”、“禁用更改字体设置”、“禁用更改语言设置”和“禁用更改辅助功能设置”。

权限管理 给系统配上火眼金睛

现在有些软件真流氓，例如很多软件美其名曰为了方便别人使用，却会在软件打包或者绿化的过程中恶意捆绑一些程序或者将一些网页也打包进去。方法一般很低级，无非是通过批处理文件和手动注入注册表信息来实现，因此我们可以利用组策略来禁止一些危险类型的文件运行。此外一些公共场所(如办公室等)，很多软件都是不允许使用的(如聊天软件等)，那么管理人员也可以利用组策略来实现有效地管理。

禁止危险文件运行

有些类型的文件(如“.reg”注册表文件和“.bat”批处理文件)一般用户很少用得上，而且又很容易被病毒或木马利用，因此禁止这些类型的文件运行就可以在一定程度上保障计算机的安全。

依次展开“计算机配置→Windows设置→安全设置→软件限制策略”，在弹出的右键菜单上选择“创建软件限制策略”，会自动生成“安全级别”、“其他规则”、“强制”、“指定的文件类型”和“受信任的发布者”五项。进入“指定的文件类型”的属性窗口，只留下需要禁止的文件类型，例如“bat批处理文件”，将其他的文件类型全部删除。如果类型不在列表中，就直接在下面的“文件扩展名”文本框中输入要禁用的文件类型，添加进去即可。再进入“安全级别→不允许”，点击“设为默认”按钮，此策略即生效。再运行任何批处理文件时，就会被阻止执行。

禁用程序 穿上马甲我也认识你

除此之外，很多公司都不允许使用聊天软件。以QQ为例，如果直接卸载QQ，使用者还可能再安装，或者把软件安装到其他位置。此时不妨利用组策略来轻松搞定。

依次展开“计算机配置→Windows设置→安全设置→软件限制策略→其他规则”，选择“新建哈希规则”(如图4所示)。点击“浏览”选择QQ的执行文件“QQ.exe”，“文件信息”下面第一行就是生成的哈希值，这个值是唯一的，下面还会显示出文件的基本信息，“安全级别”选择“不允许”。确认、注销后，再次登录，设置即可生效。

提示：采用哈希规则的好处是不管程序被改名或是移动位置或其他任何操作，只要哈希值被验证一致，那么限制就不会失效!因此可以有效限制某些软件的运行。

<上一页12