組策略是系統(tǒng)策略的高級擴展�,是管理員為用戶和計算機控制程序、網(wǎng)絡(luò)資源、系統(tǒng)���、Windows組件的主要工具���,可對系統(tǒng)的各種特殊屬性進行設(shè)置����。簡單地解釋就是:組策略是調(diào)整注冊表的一個所見即所得編輯器�����。系統(tǒng)高手們往往不僅精通注冊表��,還經(jīng)常通過組策略完成一些系統(tǒng)的高級調(diào)整與修改。下面就介紹三招�����,如何利用組策略提升系統(tǒng)安全性��?�! ?
第一招:清理IE上網(wǎng)痕跡
在Windows xp系統(tǒng)中,關(guān)于組策略“Internet Explorer維護”的技巧有很多�����,我們可以進行個性化設(shè)置����。其中,可以通過添加腳本的方法���,實現(xiàn)在退出IE時對上網(wǎng)痕跡進行自動清理。具體步驟是找一臺Windows 2000操作系統(tǒng)���,將Deltree.exe文件復制到Windows XP系統(tǒng)的system32目錄下�。用記事本編寫一個如下內(nèi)容的文本文件:
@echo off
cd c:/documents ad
settings/administrator/local
settings/temporary internet files
c:/winnt/system32/deltree ./*.* /y
將文本保存為.bat批處理文件。在“開始” “運行”中輸入“gpedit.msc”打開組策略對話框,依次進入“用戶配置” “Windows設(shè)置” “腳本(登錄/注銷)”����,雙擊右邊窗口中的“注銷”���,在“添加”項目中導入這個腳本文件即可�����。
常見的端口號對應的協(xié)議及用途
21:FTP(文件傳輸)
23:TELNET(遠程登錄)
25:SMTP(發(fā)送E-mail)
80:HTTP(WWW服務(wù))
110:POP3(接收e-mail)
119:NNTP(新聞服務(wù))
常見木馬的入侵端口號
灰鴿子:3389
黑洞:2000
冰河:7626
廣外女生:6267
第二招:禁用指定軟件程序
在組策略中,可以采取禁用注冊表或光驅(qū)、隱藏磁盤分區(qū)等一系列設(shè)置����。這些功能在Windows 2000中就能實現(xiàn)�����。在Windows XP系統(tǒng)中還增加了對軟件的限制策略。在此以常用即時通訊軟件QQ為例進行實例說明。
打開組策略對話框,依次進入“計算機配置” “Windows設(shè)置” “安全設(shè)置” “軟件限制策略” “其它規(guī)則” “新路徑規(guī)則”,點擊“瀏覽”�,找到QQ安裝目錄下的“QQ.exe”文件�����,在“安全級別”下選擇“不允許”。重啟計算機后,就無法用QQ了。若要重新使用QQ��,把安全級別選為“不受限的”即可�����。
第三招:打造系統(tǒng)防火墻
在“組策略”中還可以打造系統(tǒng)防火墻�����。在默認設(shè)置下��,Windows有很多端口是開放的�,網(wǎng)絡(luò)病毒和黑客可以通過這些端口接入你的電腦���。為了資料的安全,應該把不必要的端口封閉�����,減少居心不良者入侵的機會�。以封閉80端口為例:先在“計算機配置”的“ip安全策略”中單擊右鍵,創(chuàng)建一個新的IP安全策略��,在“屬性”中添加“篩選器列表”���,在“編輯規(guī)則屬性”中選擇“新IP篩選器列表”對話框并點擊“添加”��?�! ?
現(xiàn)在用三個步驟屏蔽80端口。第一步尋址,源地址選“任何IP地址”�,目標地址選“我的IP地址”��;第二步選協(xié)議,選擇“TCP”,在“到此端口”下的文本框中輸入“80”�����;第三步創(chuàng)建���,返回后進入“編輯規(guī)則屬性”的“篩選器操作”��,選擇“請求安全(可選)”���,確定后返回,再對“創(chuàng)建IP安全策略”選擇“指派”�。這樣就對TCP的80端口的服務(wù)進行了屏蔽����,因為端口80是HTFP的協(xié)議����,提供WWW服務(wù),因而屏蔽之后HTFP協(xié)議網(wǎng)站也將無法打開(要重新開放可對以上各項進行修改和刪除)�����。同理我們也可對一些易被木馬入侵的端口進行屏蔽���,讓木馬靠邊站�。 其他組策略安全技巧
1�����、隱藏電腦的驅(qū)動器
位置:用戶配置/管理模板/Windows組件/Windows資源管理器
將“隱藏‘我的電腦’中的這些指定驅(qū)動器”和“防止從‘我的電腦’訪問驅(qū)動器”設(shè)置為“已啟用”并設(shè)置欲阻止訪問的驅(qū)動器
2����、禁用注冊表
位置:用戶配置/管理模板/系統(tǒng)將“組織訪問注冊表編輯工具”設(shè)置為“已啟用。
3�����、禁用控制面板
位置:用戶配置/管理模板/控制面板
將“禁止訪問控制面板“設(shè)置為“已啟用”�����;或啟用“隱藏指定的控制面板程序”并設(shè)定隱藏的項目�,如想在控制面板中隱藏Internet選項�����,則在隱藏控制面板程序里添加Inetcpl.cpl,具體名稱可查看Windows/System32里以cpl結(jié)尾的文件。
4��、隱藏文件夾
位置:用戶配置/管理模板/Windows組件/Windows資源管理器將“從‘工具’菜單刪除‘文件夾選項’菜單”設(shè)置為“已啟用”���。
5�、關(guān)閉縮略圖緩存位置:用戶配置/管理模板/Windows組件/Windows資源管理器將“關(guān)閉縮略圖的緩存”項設(shè)置為“已啟用”
