论文部分内容阅读
Windows 7的安全性虽然有了很大的提高,不过系统仍然存在很多的安全问题。其实很多安全问题并非Windows 7的防护功能不足,而是我们没有对系统进行合理的设置所致。Windows 7组策略就是系统自带的最佳安全防护组件,只要用好组策略就可以大大加强Windows 7的安全性!
初级防护——简单开启策略设置
操作难度:★
安全效果:★★★
组策略的很;设置并不要复杂的操作,一般只要简单对默认设置稍加修改即可,比如将原来设置删除,或者将“未被配置”状态启用即可大大增强系统的安全性能
实例:关闭黑客入侵通道
在我们遭遇的网络攻击中,黑客经常通过扫描工具侦测被攻击系统远程操作权限,从而通过远程操作来控制我们的电脑。比如Windows 7系统默认开启“远程访问注册表路径”权限,这样黑窖们入侵后就可以远程修改我们的注册表键值从而实现木马、病毒等进程自启动,或者让这些文件隐身,给系统安全带来极大隐患。
现在只要启动组策略编辑器(单击“开始”徽标,在搜索框输入“gpedit.msc”,然后在搜索结果列表中单击“gpedit msc”即可)。
高级防护——自定义策略防护
操作难度:★★★
安全效果:★★★
由于初级防护只是对策略设置进行简单的修改,对于一些安全性要求更高的操作,我们还可以自行定义限制策略,以满足各种特定的安全需要。
进入组策略设置窗口后,依次展开“计算机配置——Windows设置,安全设置,本地策略,安全选项”,双击右侧窗格的“网络访问:可远程访问的注册表路径”,打开组策略属性设置框,删除其中的所有注册表路径信息,单击“确定”退出即可(见图1)。
操作同上,继续将“网络访问:可远程访问的注册表路径和子路径”策略设置中默认路径信息也删除。这样网络病毒或木马就无法通过远程访问注册表路径,对Windows 7系统进行远程攻击了。
设置——应用程序控制策略——RDpLocker——可执行规则,右击“可执行规则”选择“创建默认规则”。
第2步:创建默认规则后,继续右击“可执行规则”选择“创建新规则”,在打开的创建向导中选择默认“Evefyone”账户执行权限为“拒绝”,然后茌“条件”选项选择“路径”,选择系统目录“C:\windows”作为限制规则目录(见图2)。
第3步:继续单击“下一步”,添加例外下选择“发布者”,然后单击“浏览”选择任意一个系统自带程序如“C\proqram Files\DCD makerr\dvdmo rke r exe”(只是从该程序提取例外签名信息),在例外设置中拉动滑块到“发布者”,也就是微软发布的程序是可以运行的(见图3)。
第4步:剩下的操作按屏幕提示完成规则的创建即可,最后返回“ADDLocker”界面,单击左侧窗格“配置规则强制”,在打开的窗口中勾选“可执行规则”下的“已配置”,选择“强制规则”,重启后限制规则就开始生效了(见图4)。
第5步:创建上述限制规则后,以后在“C\windows”下运行的程序如果发布者不是微软公司,那么就无法运行,系统会提示该程序已经被系统组策略限制,木马病毒当然会被活活饿死了(见图5)。
策略安全,轻松检测
通过组策略的设置,我们可以让系统变得更加安全,但是组策略成百上千的选项设置,如何诊断它的安全性。在“运行”框输入“rsop.mSC”,系统会自动对所有策略进行检测,在打开的“策略的结果集”依次右击“计算机配置”和“用户配置”,然后选择“腾性”,在打开属性窗口切换到“错误信息”,这里可以看到诊断结果,如果显示有错误,则要对设置的策略进行修改(见图6)。
家庭版怎么添加组策略
大家知道,Wndows家庭版系列是不支持组策略的,不过我们可以将旗舰版中的组策略移植到家庭版中。 首先将旗舰版系统中“C:/windows\system32“文件夹中的“qpedit mis”、“fde.dll”、“qpedit.dll、“qptext.dil’、“wsecedit.dil文件复制到家庭版同名文件夹中。接着将“Windowsinf”,文件夹中的所有“odm”文件复制替换到家庭版同名文件夹中。最后以管理员身份启动命令提示符,依次执行下列的命令注册DLL文件即可:
regsvr 32 fde.d regsvr 32 qpedit.dii reqsv 32 qptext.dil regsvr 32 wsece.dil 警告:对系统的操作有一定风险,尝试以上方法之前,最好先将相应文件做好备份,并对系统进行设置还原点等防护措施,一旦有问题也好恢复。
组织策略常见问题QR
1.如果错误设置某项策略影响自己使用,该怎么取消7R如果还可以运行“mmcexe”,只要启动它后添加“gpedit msc”,然后取消原来设置即可。如果策略阻止“mmC.exe”运行,可以重启后按F8进入安全模式运行。
2.自己设置好了各项策略,重装前如何备份?
只要复制“C\windos\Sgstem32\G roupPolicu”目录到其他位置,重装后用备份疆盖替换即可。清空上述目录也可以初始化组策略所有设置。
3.在网上下载到了一些其他用户设置好的策略模板,怎么导入本机?
R:展开“计算机配置”或“用户配置”,右击“管理模顿”选择“添加/删除模板”,然后单击“添加”,导入下载到的,adm模板文件即可。如果下载的是其他用户制作的“GroupPolicu”目录,那只要将这个目录复制到“C\Window s\System32\G roupPolicy替换即可。
初级防护——简单开启策略设置
操作难度:★
安全效果:★★★
组策略的很;设置并不要复杂的操作,一般只要简单对默认设置稍加修改即可,比如将原来设置删除,或者将“未被配置”状态启用即可大大增强系统的安全性能
实例:关闭黑客入侵通道
在我们遭遇的网络攻击中,黑客经常通过扫描工具侦测被攻击系统远程操作权限,从而通过远程操作来控制我们的电脑。比如Windows 7系统默认开启“远程访问注册表路径”权限,这样黑窖们入侵后就可以远程修改我们的注册表键值从而实现木马、病毒等进程自启动,或者让这些文件隐身,给系统安全带来极大隐患。
现在只要启动组策略编辑器(单击“开始”徽标,在搜索框输入“gpedit.msc”,然后在搜索结果列表中单击“gpedit msc”即可)。
高级防护——自定义策略防护
操作难度:★★★
安全效果:★★★
由于初级防护只是对策略设置进行简单的修改,对于一些安全性要求更高的操作,我们还可以自行定义限制策略,以满足各种特定的安全需要。
进入组策略设置窗口后,依次展开“计算机配置——Windows设置,安全设置,本地策略,安全选项”,双击右侧窗格的“网络访问:可远程访问的注册表路径”,打开组策略属性设置框,删除其中的所有注册表路径信息,单击“确定”退出即可(见图1)。
操作同上,继续将“网络访问:可远程访问的注册表路径和子路径”策略设置中默认路径信息也删除。这样网络病毒或木马就无法通过远程访问注册表路径,对Windows 7系统进行远程攻击了。
设置——应用程序控制策略——RDpLocker——可执行规则,右击“可执行规则”选择“创建默认规则”。
第2步:创建默认规则后,继续右击“可执行规则”选择“创建新规则”,在打开的创建向导中选择默认“Evefyone”账户执行权限为“拒绝”,然后茌“条件”选项选择“路径”,选择系统目录“C:\windows”作为限制规则目录(见图2)。
第3步:继续单击“下一步”,添加例外下选择“发布者”,然后单击“浏览”选择任意一个系统自带程序如“C\proqram Files\DCD makerr\dvdmo rke r exe”(只是从该程序提取例外签名信息),在例外设置中拉动滑块到“发布者”,也就是微软发布的程序是可以运行的(见图3)。
第4步:剩下的操作按屏幕提示完成规则的创建即可,最后返回“ADDLocker”界面,单击左侧窗格“配置规则强制”,在打开的窗口中勾选“可执行规则”下的“已配置”,选择“强制规则”,重启后限制规则就开始生效了(见图4)。
第5步:创建上述限制规则后,以后在“C\windows”下运行的程序如果发布者不是微软公司,那么就无法运行,系统会提示该程序已经被系统组策略限制,木马病毒当然会被活活饿死了(见图5)。
策略安全,轻松检测
通过组策略的设置,我们可以让系统变得更加安全,但是组策略成百上千的选项设置,如何诊断它的安全性。在“运行”框输入“rsop.mSC”,系统会自动对所有策略进行检测,在打开的“策略的结果集”依次右击“计算机配置”和“用户配置”,然后选择“腾性”,在打开属性窗口切换到“错误信息”,这里可以看到诊断结果,如果显示有错误,则要对设置的策略进行修改(见图6)。
家庭版怎么添加组策略
大家知道,Wndows家庭版系列是不支持组策略的,不过我们可以将旗舰版中的组策略移植到家庭版中。 首先将旗舰版系统中“C:/windows\system32“文件夹中的“qpedit mis”、“fde.dll”、“qpedit.dll、“qptext.dil’、“wsecedit.dil文件复制到家庭版同名文件夹中。接着将“Windowsinf”,文件夹中的所有“odm”文件复制替换到家庭版同名文件夹中。最后以管理员身份启动命令提示符,依次执行下列的命令注册DLL文件即可:
regsvr 32 fde.d regsvr 32 qpedit.dii reqsv 32 qptext.dil regsvr 32 wsece.dil 警告:对系统的操作有一定风险,尝试以上方法之前,最好先将相应文件做好备份,并对系统进行设置还原点等防护措施,一旦有问题也好恢复。
组织策略常见问题QR
1.如果错误设置某项策略影响自己使用,该怎么取消7R如果还可以运行“mmcexe”,只要启动它后添加“gpedit msc”,然后取消原来设置即可。如果策略阻止“mmC.exe”运行,可以重启后按F8进入安全模式运行。
2.自己设置好了各项策略,重装前如何备份?
只要复制“C\windos\Sgstem32\G roupPolicu”目录到其他位置,重装后用备份疆盖替换即可。清空上述目录也可以初始化组策略所有设置。
3.在网上下载到了一些其他用户设置好的策略模板,怎么导入本机?
R:展开“计算机配置”或“用户配置”,右击“管理模顿”选择“添加/删除模板”,然后单击“添加”,导入下载到的,adm模板文件即可。如果下载的是其他用户制作的“GroupPolicu”目录,那只要将这个目录复制到“C\Window s\System32\G roupPolicy替换即可。