用組策略強化Windows系統的三大技巧

　組策略是系統策略的高級擴展，是管理員為用戶和計算機控制程序、網路資源、系統、Windows組件的主要工具，可對系統的各種特殊屬性進行設置。簡單地解釋就是：組策略是調整註冊表的一個所見即所得編輯器。系統高手們往往不僅精通註冊表，還經常通過組策略完成一些系統的高級調整與修改。下面就介紹三招，如何利用組策略提升系統安全性。　　

　　第一招：清理IE上網痕迹

　　在Windows XP系統中，關於組策略「Internet Explorer維護」的技巧有很多，我們可以進行個性化設置。其中，可以通過添加腳本的方法，實現在退出IE時對上網痕迹進行自動清理。具體步驟是找一台Windows 2000操作系統，將Deltree.exe文件複製到Windows XP系統的system32目錄下。用記事本編寫一個如下內容的文本文件：

　　@echo off

　　cd c:\documents ad

　　settings\administrator\local

　　settings\temporary internet files

　　c:\winnt\system32\deltree .\*.* /y

　　將文本保存為.bat批處理文件。在「開始」　「運行」中輸入「gpedit.msc」打開組策略對話框，依次進入「用戶配置」　「Windows設置」　「腳本(登錄/註銷)」，雙擊右邊窗口中的「註銷」，在「添加」項目中導入這個腳本文件即可。

　　常見的埠號對應的協議及用途

　　21：FTP（文件傳輸）

　　23：TELNET（遠程登錄）

　　25：SMTP（發送E-mail）

　　80：HTTP（WWW服務）

　　110：POP3（接收e-mail）

　　119：NNTP（新聞服務）

　　常見木馬的入侵埠號

　　灰鴿子：3389

　　黑洞：2000

　　冰河：7626

　　廣外女生：6267

　第二招：禁用指定軟體程序

　　在組策略中，可以採取禁用註冊表或光碟機、隱藏磁碟分區等一系列設置。這些功能在Windows 2000中就能實現。在Windows XP系統中還增加了對軟體的限制策略。在此以常用即時通訊軟體QQ為例進行實例說明。

　　打開組策略對話框，依次進入「計算機配置」　「Windows設置」　「安全設置」　「軟體限制策略」　「其它規則」　「新路徑規則」，點擊「瀏覽」，找到QQ安裝目錄下的「QQ.exe」文件，在「安全級別」下選擇「不允許」。重啟計算機后，就無法用QQ了。若要重新使用QQ，把安全級別選為「不受限的」即可。

　　第三招：打造系統防火牆　　

　　在「組策略」中還可以打造系統防火牆。在默認設置下，Windows有很多埠是開放的，網路病毒和黑客可以通過這些埠接入你的電腦。為了資料的安全，應該把不必要的埠封閉，減少居心不良者入侵的機會。以封閉80埠為例：先在「計算機配置」的「IP安全策略」中單擊右鍵，創建一個新的IP安全策略，在「屬性」中添加「篩選器列表」，在「編輯規則屬性」中選擇「新IP篩選器列表」對話框並點擊「添加」。　　

　　現在用三個步驟屏蔽80埠。第一步定址，源地址選「任何IP地址」，目標地址選「我的IP地址」；第二步選協議，選擇「TCP」，在「到此埠」下的文本框中輸入「80」；第三步創建，返回後進入「編輯規則屬性」的「篩選器操作」，選擇「請求安全（可選）」，確定后返回，再對「創建IP安全策略」選擇「指派」。這樣就對TCP的80埠的服務進行了屏蔽，因為埠80是HTFP的協議，提供WWW服務，因而屏蔽之後HTFP協議網站也將無法打開(要重新開放可對以上各項進行修改和刪除)。同理我們也可對一些易被木馬入侵的埠進行屏蔽，讓木馬靠邊站。　　其他組策略安全技巧

　　1、隱藏電腦的驅動器

　　位置：用戶配置\管理模板\Windows組件\Windows資源管理器

　　將「隱藏『我的電腦』中的這些指定驅動器」和「防止從『我的電腦』訪問驅動器」設置為「已啟用」並設置欲阻止訪問的驅動器

　　2、禁用註冊表

　　位置：用戶配置\管理模板\系統將「組織訪問註冊表編輯工具」設置為「已啟用。

　　3、禁用控制面板

　　位置：用戶配置\管理模板\控制面板

　　將「禁止訪問控制面板「設置為「已啟用」；或啟用「隱藏指定的控制面板程序」並設定隱藏的項目，如想在控制面板中隱藏Internet選項，則在隱藏控制面板程序里添加Inetcpl.cpl，具體名稱可查看Windows\System32里以cpl結尾的文件。

　　4、隱藏文件夾

　　位置：用戶配置\管理模板\Windows組件\Windows資源管理器將「從『工具』菜單刪除『文件夾選項』菜單」設置為「已啟用」。

　　5、關閉縮略圖緩存位置：用戶配置\管理模板\Windows組件\Windows資源管理器將「關閉縮略圖的緩存」項設置為「已啟用」

單用戶的情況下，組策略是有效的強化手段。