论文部分内容阅读
在网络环境中使用计算机,系统的安全状态很容易受到威胁;为了防范系统安全,除了要在计算机系统中部署一些专门的安全工具外,我们还要尽可能地做好系统自身的安全配置,不让他人有可趁之机。这不,本文现在就通过合理配置系统组策略功能,来加强系统的安全防范工作!
不让他人偷偷登录
在公共场合下,我们经常会因急事突然离开自己的计算机系统,为了防止他人趁机偷窥自己的隐私内容,往往都会将计算机系统暂时锁定起来。不过,在局域网工作环境中,为了方便他人通过网络登录,我们可能在本地系统中创建了来宾账户,所以此时本地系统仍然存在被他人偷偷进行本地登录的行为。为了不让他人偷偷在本地登录计算机系统,我们可以按照下面方法修改系统组策略配置,禁止那些不信任用户登录本地系统:
首先依次单击本地系统的“开始”、“运行”命令,在系统运行对话框中输入“gpedit.msc”命令,按回车键后,打开组策略编辑器窗口,将鼠标定位到该窗口左侧显示区域的“计算机配置”、“Windows设置”、“安全设置”、“本地策略”、“用户权限分配”分支,用鼠标双击目标分支下面的“拒绝本地登录”组策略项目;
其次弹出如图1所示的目标组策略属性框,单击“添加用户或组”按钮,从其后出现的账号选择对话框中,将那些不信任的用户账号依次选中并导入进来,再按“确定”按钮,这样我们就能不让他人偷偷在本地登录计算机系统了。
不让恶人逍遥法外
为了防止一些用户在进行共享操作时对共享资源进行恶意修改,我们有必要对每一位共享访问用户进行跟踪,同时要对他们的共享访问痕迹进行监控记录,日后一旦发现共享资源被恶意破坏时,我们就能从相关的监控记录中找到非法破坏共享资源的“恶人”了,下面就是具体的实现步骤:
首先打开本地系统的资源管理器窗口,找到目标共享资源文件夹,用鼠标右键单击该共享资源,从弹出的右键菜单中点选“属性”命令,展开目标共享资源的属性对话框;点选“安全”标签,在对应标签设置页面中单击“高级”按钮,弹出共享资源的高级安全对话框,切换进入其中的“审核”标签,单击对应标签页面中的“添加”按钮,将那些具有共享访问权限的用户账号选中并导入进来,同时按“确定”按钮;
其次系统会展开审核项目选择设置对话框,在这里我们可以根据实际情况,选中一些操作项目的“成功”或“失败”选项(如图2所示),同时按“确定”按钮,关闭目标共享资源的安全属性对话框;
接着依次单击“开始”、“运行”命令,在弹出的系统运行文本框中,执行“gpedit.rose”命令,展开系统组策略编辑器窗口,展开该窗口左侧的“计算机配置”节点,从该节点下面依次选中“Windows设置”、“安全设置”、“本地策略”、“审核策略”选项,再用鼠标双击目标选项下面的“审核对象访问”组策略,弹出目标组策略属性对话框,将“成功”或“失败”选项选中,再单击“确定”按钮保存好设置操作,这么一来用户日后一旦发现目标共享资源存在异常现象,就能从系统的日志文件中,寻找到恶意破坏共享文件夹的恶人了。
不让虚拟内存泄密
为了保护重要文件中的内容不对外泄密,很多用户会通过设置权限或加密的方式,来限制普通用户随意访问重要文件。不过即使如此,其他用户仍然还有可能窃取到重要文件的隐私内容,那就是通过虚拟内存获取隐私信息。大家知道,虚拟内存本身是用来方便硬盘与内存之间交换数据使用的一种特殊文件,该文件主要位于系统分区的根目录中;当我们编辑重要文件时,其中的一些隐私内容可能会自动存储到虚拟内存中,日后即使关闭了重要文件编辑窗口,这些隐私内容仍然可能保存在虚拟内存页面中。在这种情形下,如果其他人将本地系统硬盘中的文件内容拷贝走,那么虚拟内存就会存在对外泄密的风险,因为其他人可以使用专业工具,轻松访问到虚拟内存页面中的内容。为了不让虚拟内存对外泄密,我们只要按照如下步骤配置系统组策略参数,让系统在关机的时候自动删除虚拟内存中的数据信息:
首先打开系统组策略编辑器窗口,将鼠标定位于该窗口左侧的“计算机配置”、“Windows设置”、“安全设置”、“本地策略”、“安全选项”分支,用鼠标双击目标分支下面的“关机:清除虚拟内存页面文件”组策略,弹出如图3所示的目标组策略属性对话框;
其次点选“本地安全设置”标签,在对应标签页面中选中“已启用”选项,并按“确定”按钮保存上述设置操作,这样系统日后在执行关闭操作之前,会自动使用“0”或“1”填满虚拟内存空间,那么虚拟内存自然就不会对外泄露隐私了。当然,需要提醒用户注意的是,一旦启用了上述组策略,系统关机速度会受到明显影响。
不让他人网络打印
为了既能节省打印成本,又能提高打印设备使用效率,不少用户往往会在局域网工作环境中将打印机设置成网络共享状态。然而,一旦轻易将打印机共享发布到网络中,那么整个局域网中的合法、不合法用户都有可能看到网络打印机的“身影”,并可能会非法利用它进行网络打印,这样反而无法达到节约打印成本的目的。为了不让他人随意进行网络打印,我们可以限制用户无法通过网上邻居窗口发现网络打印机,下面就是具体的操作步骤:
首先按前面操作打开网络打印机所在主机系统的组策略编辑器窗口,在该窗口左侧显示区域将鼠标定位到“计算机配置”、“管理模板”、“打印机”分支上,用鼠标双击该分支右侧的“打印机浏览”组策略,弹出目标组策略属性对话框;
其次点选“设置”标签,展开如图4所示的标签设置页面,选中“已禁用”选项,再单击“确定”按钮返回,这样普通用户日后就不会在他们的网上邻居窗口中发现网络打印机的“身影”了,那么他们自然也就不能随意进行网络打印操作了。
不让进行匿名访问
在缺省状态下,Windows7系统会为匿名账号授予与everyone账号一样的操作权限;倘若我们不小心为everyone账号授予了较高操作权限时,匿名账号相应地也会自动获得较高的操作权限。很显然,为了保护本地系统的安全,我们有必要将匿名用户的访问权限下降到最低级别,下面就是具体的实现步骤:
首先展开本地系统的组策略编辑器窗口,逐一点选该窗口左侧的“计算机配置”、“Windows设置”、“安全设置”、“本地策略”、“安全选项”子项,在对应目标子项的右侧显示区域中,找到目标组策略“网络访问:将everyone权限应 用于匿名用户”,并用鼠标双击该选项,弹出如图5所示的选项设置对话框;
其次检查目标组策略在此刻的启用状态,要是发现该选项已经被选中时,那么我们应该及时选中“已禁用”选项,再单击“确定”按钮保存好上述设置操作,这样一来匿名用户账号日后就不会自动拥有与everyone账号一样的操作权限了,那么匿名访问操作也就不会对本地系统造成安全威胁了。不过,需要提醒各位注意的是,为了最大限度地保证系统运行安全,我们在默认状态下不要为everyone账号授予较高的操作权限。
不让坏人暴力破解
为了便于用户高效管理系统,windows系统会允许所有用户默认通过空用户连接方式获得资源或账号列表信息,可是这项功能常常会被坏人利用,同时借助一些专业的安全破解工具,来对本地系统实施暴力破解。为了预防暴力破解,不少人会“请”来专业工具进行安全防范;事实上,巧妙地修改Windows系统的组策略配置,也能达到不让坏人暴力破解的目的:
首先依次单击本地系统的“开始”、“运行”命令,在系统运行对话框中输入“gpedit.msc”命令,按回车键后,打开组策略编辑器窗口,将鼠标定位到该窗口左侧显示区域的“计算机配置”、“Windows设置”、“安全设置”、“本地策略”、“安全选项”分支,用鼠标双击目标分支下面的“网络访问:不允许SAM账号和共享的匿名枚举”组策略项目;
其次从弹出的如图6所示组策略属性对话框中,选中“已启用”选项,再单击“确定”按钮关闭对话框,这样坏人日后就无法通过暴力破解方式获得局域网共享资源的访问密码了。
不让闪盘被人偷看
现在之所以很多人将闪盘随身携带,主要是闪盘中保存了用户大量的隐私信息,为了防止他人偷窥闪盘中的隐私信息,我们往往会使用专业工具对闪盘进行加密。其实,利用Windows 7系统自带的BitLocker功能,我们就能轻松对闪盘或其他移动介质进行加密保护,下面就是具体的操作步骤:
首先打开本地系统的组策略编辑器窗口,将鼠标定位到该窗口左侧的“计算机配置”、“管理模板”、“Windows组件”、“Bitlocker驱动器加密”、“可移动数据驱动器”分支上,在目标分支下面找到“控制对可移动数据驱动器使用Bitlocker”组策略选项,并用鼠标双击该选项;
其次从弹出的如图7所示选项设置框中,选中“已启用”选项,再单击“确定”按钮返回,这样Windows 7系统就能支持对闪盘进行Bitlocker加密操作了。日后,在需要对闪盘进行加密操作时,只要打开计算机窗口,用鼠标右键单击闪盘分区图标,再从右键菜单中点选“Bitlocker加密”命令就可以了。
不让系统还原惹祸
对系统安全性要求较高的用户,往往会使用Windows系统自带的“系统还原”功能,来保护系统运行稳定性;不过,在Windows 7系统环境下,要是系统还原配置被人随意修改的话,就可能会引起之前创建的系统还原点相关信息发生丢失,从而导致系统无法恢复到自己想要的那一种状态。为了不让系统还原功能“惹祸”,我们可以按照如下操作修改系统组策略配置,以便禁止他人随意修改系统还原配置:
首先打开Windows 7系统的组策略编辑器窗口,将鼠标定位到该窗口左侧的“计算机配置”、“管理模板”、“系统”、“系统还原”分支上,在目标分支下面找到“关闭配置”组策略选项,并用鼠标双击该选项;
其次从弹出的如图8所示选项设置对话框中,选中“已启用”选项,再按“确定”按钮返回,这时我们会发现系统还原配置对话框中的相关选项全部会自动消失,那么他人就无法随意修改本地系统的还原配置了。需要提醒大家注意的是,上述配置操作,一定需要重新启动计算机系统才能正式生效。
不让别人搜出隐私
Windows 7系统的文件搜索功能比以往强大了很多,新增加的快捷搜索文本框,可以让用户随时随地进行文件搜索操作。可是,这项功能有时也会给用户带来安全麻烦,因为它能将每次搜索痕迹全部自动记忆下来,并且用户无法自行将它们删除干净,这样一来别人就很容易看到自己的搜索隐私。为了不让别人搜出自己的隐私信息,我们可以修改Windows 7系统的组策略配置,让系统自动清空历史搜索记录:
首先打开Windows 7系统的组策略编辑器窗口,将鼠标定位到该窗口左侧的“用户配置”、“管理模板”、“Windows组件”、“Windows资源管理器”分支上,在目标分支下面找到“在Windows资源管理器搜索框中关闭最近搜索条目的显示”组策略选项,并用鼠标双击该选项;
其次从弹出的如图9所示选项设置对话框中,选中“已启用”选项,再按“确定”按钮返回,这时再打开Windows 7系统的快捷搜索文本框时,就会发现以前的搜索痕迹全部被删除干净了,而且日后自己的搜索痕迹也不会被系统自动记忆了。
不让运行DOS命令
很多批处理文件或脚本文件中包含不少破坏力非常强的DOS命令操作,为了保证系统的运行安全,我们有时需要禁止恶意用户随意运行DOS命令,以便有效防范各种不可预测的安全攻击,下面就是具体的实现步骤:
首先打开本地系统的组策略编辑器窗口,将鼠标定位到该窗口左侧的“用户配置”、“管理模板”、“系统”分支上,在目标分支下面找到“阻止访问命令提示符”组策略选项,并用鼠标双击该选项;
其次从弹出的如图10所示选项设置对话框中,选中“已启用”选项,再按“确定”按钮返回,日后用户试图运行一些包含了DOS命令的批处理文件或脚本文件时,系统屏幕上就会自动弹出报警提示,告诉用户命令提示符被阻止访问,这样就能防止一些恶意脚本或批处理文件的自动运行。
不让他人偷偷登录
在公共场合下,我们经常会因急事突然离开自己的计算机系统,为了防止他人趁机偷窥自己的隐私内容,往往都会将计算机系统暂时锁定起来。不过,在局域网工作环境中,为了方便他人通过网络登录,我们可能在本地系统中创建了来宾账户,所以此时本地系统仍然存在被他人偷偷进行本地登录的行为。为了不让他人偷偷在本地登录计算机系统,我们可以按照下面方法修改系统组策略配置,禁止那些不信任用户登录本地系统:
首先依次单击本地系统的“开始”、“运行”命令,在系统运行对话框中输入“gpedit.msc”命令,按回车键后,打开组策略编辑器窗口,将鼠标定位到该窗口左侧显示区域的“计算机配置”、“Windows设置”、“安全设置”、“本地策略”、“用户权限分配”分支,用鼠标双击目标分支下面的“拒绝本地登录”组策略项目;
其次弹出如图1所示的目标组策略属性框,单击“添加用户或组”按钮,从其后出现的账号选择对话框中,将那些不信任的用户账号依次选中并导入进来,再按“确定”按钮,这样我们就能不让他人偷偷在本地登录计算机系统了。
不让恶人逍遥法外
为了防止一些用户在进行共享操作时对共享资源进行恶意修改,我们有必要对每一位共享访问用户进行跟踪,同时要对他们的共享访问痕迹进行监控记录,日后一旦发现共享资源被恶意破坏时,我们就能从相关的监控记录中找到非法破坏共享资源的“恶人”了,下面就是具体的实现步骤:
首先打开本地系统的资源管理器窗口,找到目标共享资源文件夹,用鼠标右键单击该共享资源,从弹出的右键菜单中点选“属性”命令,展开目标共享资源的属性对话框;点选“安全”标签,在对应标签设置页面中单击“高级”按钮,弹出共享资源的高级安全对话框,切换进入其中的“审核”标签,单击对应标签页面中的“添加”按钮,将那些具有共享访问权限的用户账号选中并导入进来,同时按“确定”按钮;
其次系统会展开审核项目选择设置对话框,在这里我们可以根据实际情况,选中一些操作项目的“成功”或“失败”选项(如图2所示),同时按“确定”按钮,关闭目标共享资源的安全属性对话框;
接着依次单击“开始”、“运行”命令,在弹出的系统运行文本框中,执行“gpedit.rose”命令,展开系统组策略编辑器窗口,展开该窗口左侧的“计算机配置”节点,从该节点下面依次选中“Windows设置”、“安全设置”、“本地策略”、“审核策略”选项,再用鼠标双击目标选项下面的“审核对象访问”组策略,弹出目标组策略属性对话框,将“成功”或“失败”选项选中,再单击“确定”按钮保存好设置操作,这么一来用户日后一旦发现目标共享资源存在异常现象,就能从系统的日志文件中,寻找到恶意破坏共享文件夹的恶人了。
不让虚拟内存泄密
为了保护重要文件中的内容不对外泄密,很多用户会通过设置权限或加密的方式,来限制普通用户随意访问重要文件。不过即使如此,其他用户仍然还有可能窃取到重要文件的隐私内容,那就是通过虚拟内存获取隐私信息。大家知道,虚拟内存本身是用来方便硬盘与内存之间交换数据使用的一种特殊文件,该文件主要位于系统分区的根目录中;当我们编辑重要文件时,其中的一些隐私内容可能会自动存储到虚拟内存中,日后即使关闭了重要文件编辑窗口,这些隐私内容仍然可能保存在虚拟内存页面中。在这种情形下,如果其他人将本地系统硬盘中的文件内容拷贝走,那么虚拟内存就会存在对外泄密的风险,因为其他人可以使用专业工具,轻松访问到虚拟内存页面中的内容。为了不让虚拟内存对外泄密,我们只要按照如下步骤配置系统组策略参数,让系统在关机的时候自动删除虚拟内存中的数据信息:
首先打开系统组策略编辑器窗口,将鼠标定位于该窗口左侧的“计算机配置”、“Windows设置”、“安全设置”、“本地策略”、“安全选项”分支,用鼠标双击目标分支下面的“关机:清除虚拟内存页面文件”组策略,弹出如图3所示的目标组策略属性对话框;
其次点选“本地安全设置”标签,在对应标签页面中选中“已启用”选项,并按“确定”按钮保存上述设置操作,这样系统日后在执行关闭操作之前,会自动使用“0”或“1”填满虚拟内存空间,那么虚拟内存自然就不会对外泄露隐私了。当然,需要提醒用户注意的是,一旦启用了上述组策略,系统关机速度会受到明显影响。
不让他人网络打印
为了既能节省打印成本,又能提高打印设备使用效率,不少用户往往会在局域网工作环境中将打印机设置成网络共享状态。然而,一旦轻易将打印机共享发布到网络中,那么整个局域网中的合法、不合法用户都有可能看到网络打印机的“身影”,并可能会非法利用它进行网络打印,这样反而无法达到节约打印成本的目的。为了不让他人随意进行网络打印,我们可以限制用户无法通过网上邻居窗口发现网络打印机,下面就是具体的操作步骤:
首先按前面操作打开网络打印机所在主机系统的组策略编辑器窗口,在该窗口左侧显示区域将鼠标定位到“计算机配置”、“管理模板”、“打印机”分支上,用鼠标双击该分支右侧的“打印机浏览”组策略,弹出目标组策略属性对话框;
其次点选“设置”标签,展开如图4所示的标签设置页面,选中“已禁用”选项,再单击“确定”按钮返回,这样普通用户日后就不会在他们的网上邻居窗口中发现网络打印机的“身影”了,那么他们自然也就不能随意进行网络打印操作了。
不让进行匿名访问
在缺省状态下,Windows7系统会为匿名账号授予与everyone账号一样的操作权限;倘若我们不小心为everyone账号授予了较高操作权限时,匿名账号相应地也会自动获得较高的操作权限。很显然,为了保护本地系统的安全,我们有必要将匿名用户的访问权限下降到最低级别,下面就是具体的实现步骤:
首先展开本地系统的组策略编辑器窗口,逐一点选该窗口左侧的“计算机配置”、“Windows设置”、“安全设置”、“本地策略”、“安全选项”子项,在对应目标子项的右侧显示区域中,找到目标组策略“网络访问:将everyone权限应 用于匿名用户”,并用鼠标双击该选项,弹出如图5所示的选项设置对话框;
其次检查目标组策略在此刻的启用状态,要是发现该选项已经被选中时,那么我们应该及时选中“已禁用”选项,再单击“确定”按钮保存好上述设置操作,这样一来匿名用户账号日后就不会自动拥有与everyone账号一样的操作权限了,那么匿名访问操作也就不会对本地系统造成安全威胁了。不过,需要提醒各位注意的是,为了最大限度地保证系统运行安全,我们在默认状态下不要为everyone账号授予较高的操作权限。
不让坏人暴力破解
为了便于用户高效管理系统,windows系统会允许所有用户默认通过空用户连接方式获得资源或账号列表信息,可是这项功能常常会被坏人利用,同时借助一些专业的安全破解工具,来对本地系统实施暴力破解。为了预防暴力破解,不少人会“请”来专业工具进行安全防范;事实上,巧妙地修改Windows系统的组策略配置,也能达到不让坏人暴力破解的目的:
首先依次单击本地系统的“开始”、“运行”命令,在系统运行对话框中输入“gpedit.msc”命令,按回车键后,打开组策略编辑器窗口,将鼠标定位到该窗口左侧显示区域的“计算机配置”、“Windows设置”、“安全设置”、“本地策略”、“安全选项”分支,用鼠标双击目标分支下面的“网络访问:不允许SAM账号和共享的匿名枚举”组策略项目;
其次从弹出的如图6所示组策略属性对话框中,选中“已启用”选项,再单击“确定”按钮关闭对话框,这样坏人日后就无法通过暴力破解方式获得局域网共享资源的访问密码了。
不让闪盘被人偷看
现在之所以很多人将闪盘随身携带,主要是闪盘中保存了用户大量的隐私信息,为了防止他人偷窥闪盘中的隐私信息,我们往往会使用专业工具对闪盘进行加密。其实,利用Windows 7系统自带的BitLocker功能,我们就能轻松对闪盘或其他移动介质进行加密保护,下面就是具体的操作步骤:
首先打开本地系统的组策略编辑器窗口,将鼠标定位到该窗口左侧的“计算机配置”、“管理模板”、“Windows组件”、“Bitlocker驱动器加密”、“可移动数据驱动器”分支上,在目标分支下面找到“控制对可移动数据驱动器使用Bitlocker”组策略选项,并用鼠标双击该选项;
其次从弹出的如图7所示选项设置框中,选中“已启用”选项,再单击“确定”按钮返回,这样Windows 7系统就能支持对闪盘进行Bitlocker加密操作了。日后,在需要对闪盘进行加密操作时,只要打开计算机窗口,用鼠标右键单击闪盘分区图标,再从右键菜单中点选“Bitlocker加密”命令就可以了。
不让系统还原惹祸
对系统安全性要求较高的用户,往往会使用Windows系统自带的“系统还原”功能,来保护系统运行稳定性;不过,在Windows 7系统环境下,要是系统还原配置被人随意修改的话,就可能会引起之前创建的系统还原点相关信息发生丢失,从而导致系统无法恢复到自己想要的那一种状态。为了不让系统还原功能“惹祸”,我们可以按照如下操作修改系统组策略配置,以便禁止他人随意修改系统还原配置:
首先打开Windows 7系统的组策略编辑器窗口,将鼠标定位到该窗口左侧的“计算机配置”、“管理模板”、“系统”、“系统还原”分支上,在目标分支下面找到“关闭配置”组策略选项,并用鼠标双击该选项;
其次从弹出的如图8所示选项设置对话框中,选中“已启用”选项,再按“确定”按钮返回,这时我们会发现系统还原配置对话框中的相关选项全部会自动消失,那么他人就无法随意修改本地系统的还原配置了。需要提醒大家注意的是,上述配置操作,一定需要重新启动计算机系统才能正式生效。
不让别人搜出隐私
Windows 7系统的文件搜索功能比以往强大了很多,新增加的快捷搜索文本框,可以让用户随时随地进行文件搜索操作。可是,这项功能有时也会给用户带来安全麻烦,因为它能将每次搜索痕迹全部自动记忆下来,并且用户无法自行将它们删除干净,这样一来别人就很容易看到自己的搜索隐私。为了不让别人搜出自己的隐私信息,我们可以修改Windows 7系统的组策略配置,让系统自动清空历史搜索记录:
首先打开Windows 7系统的组策略编辑器窗口,将鼠标定位到该窗口左侧的“用户配置”、“管理模板”、“Windows组件”、“Windows资源管理器”分支上,在目标分支下面找到“在Windows资源管理器搜索框中关闭最近搜索条目的显示”组策略选项,并用鼠标双击该选项;
其次从弹出的如图9所示选项设置对话框中,选中“已启用”选项,再按“确定”按钮返回,这时再打开Windows 7系统的快捷搜索文本框时,就会发现以前的搜索痕迹全部被删除干净了,而且日后自己的搜索痕迹也不会被系统自动记忆了。
不让运行DOS命令
很多批处理文件或脚本文件中包含不少破坏力非常强的DOS命令操作,为了保证系统的运行安全,我们有时需要禁止恶意用户随意运行DOS命令,以便有效防范各种不可预测的安全攻击,下面就是具体的实现步骤:
首先打开本地系统的组策略编辑器窗口,将鼠标定位到该窗口左侧的“用户配置”、“管理模板”、“系统”分支上,在目标分支下面找到“阻止访问命令提示符”组策略选项,并用鼠标双击该选项;
其次从弹出的如图10所示选项设置对话框中,选中“已启用”选项,再按“确定”按钮返回,日后用户试图运行一些包含了DOS命令的批处理文件或脚本文件时,系统屏幕上就会自动弹出报警提示,告诉用户命令提示符被阻止访问,这样就能防止一些恶意脚本或批处理文件的自动运行。