信息来源：邪恶八进制信息安全团队（www.eviloctal.com）
原始出处：http://www.chinaitlab.com/

专题制作：xiaofei

　　先给初学的扫扫盲：说到组策略，就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库，随着Windows功能的越来越丰富，注册表里的配置项目也越来越多。很多配置都是 可以自定义设置的，但这些配置发布在注册表的各个角落，如果是手工配置，可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。
　　
　　简单点说，组策略就是修改注册表中的配置。当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。

　　运行组策略的方法：在“开始”菜单中，单击“运行”命令项，输入gpedit.msc并确定，即可运行组策略。先看看组策略的全貌，如图。

gpedit1.gif (18 KB)

2007-7-11 22:46

OK，现在你已经知道组策略大概能做的事情以及如何运行组策略，具体组策略各个功能如何？请点击右边我们仿照组策略制作的菜单进行学习。

邪恶八进制友情提示：
并非所有的Windows系统都有组策略，比如Windows Home Edition就没有。

　　在Windows Server 2003系统的“帐户和本地策略”中包括“帐户策略”和“本地策略”两个方面，而其中的“帐户策略”又包括：密码策略、帐户锁定策略和Kerberos策略三个方面；另外的“本地策略”也包括：审核策略、用户权限分配和安全选项三部分。下面分别予以介绍。
　　
　　一、密码策略的设置
　　密码策略作用于域帐户或本地帐户，其中就包含以下几个方面：
　　强制密码历史
　　密码最长使用期限
　　密码最短使用期限
　　密码长度最小值
　　密码必须符合复杂性要求
　　用可还原的加密来存储密码
　　
　　以上各项的配置方法均需根据当前用户帐户类型来选择。默认情况下，成员计算机的配置与其域控制器的配置相同。下面分别根据几种不同用户类型介绍相应的密码策略配置方法。
　　
　　1. 对于本地计算机
　　
　　对于本地计算机的用户帐户，其密码策略设置是在“本地安全设置”管理工个中进行的。下面是具体的配置方法。
　　
　　第1步，执行〖开始〗→〖管理工具〗→〖本地安全策略〗菜单操作，打开如图所示的“本地安全设置”界面。对于本地计算机中用户“帐户和本地策略”都查在此管理工具中进行配置的。
　　

1.JPG (21 KB)

2007-7-11 22:55

　

　　第2步，因密码策略是属于用户策略范畴，所以先需在如上图所示界面中单击选择“用户策略”选项，然后再选择“密码策略”选项，在右边详细信息窗口中将显示可配置的密码策略选项的当前配置。
　　
　　因为各策略选项的配置方法基本一样，所以在此仅以一个选项的配置进行介绍，其它只对各选项的具体作用进行简单介绍。
　　
　　如配置“密码必须符合复杂性要求”选项，可设置确定密码是否符合复杂性要求。启用该策略，则密码必须符合以下最低要求：
　　（1）不包含全部或部分的用户帐户名
　　（2）长度至少为六个字符
　　（3）包含来自以下四个类别中的三个的字符：
　　英文大写字母（从A到Z）
　　英文小写字母（从a到z）
　　10个基本数字（从0到9）
　　非字母字符（例如，!、$、#、%）
　　
　　如果启用了此安全策略，而您所配置的用户密码不符合此配置要求时系统会提示错误。有时您可能百思不得其解，认为自己所设的密码已经够长，而且也是属于随机的，不全都是数字或字母，可系统为什么还是老说错误呢？一般来说是由于您所设的密码所包括的字符类型不足以上四个中的三个。通常只各个领域其中的两种，即数字和字母，而没有考虑到字母的大小写或者非字母字符，所以达不到复杂性要求。更改或创建密码时，会强制执行复杂性要求。
　　
　　默认情况下，在域控制器上默认是已启用了这一策略的；而在独立服务器上则默认是禁用的。
　　
　　这个安全选项的配置方法是在如上图所示界面的右边信息窗口中双击“密码必须符合复杂性要求”选项，打开如图所示对话框。在这个对话框中就可随意启用或者禁用这个安全策略选项，配置好后单击“确定”按钮使配置更改生效。
　　

2.JPG (9 KB)

2007-7-11 22:55

　

　　其它选项的配置方法都一样，都是通过双击或者单击右键，然后选择“属性”选项，打开类似如图2所示对话框，在这些对话框中进行配置即可。不过为了便于工作于大家理解和配置，下面简单介绍其它密码策略选项的含义。
　　
　　强制密码历史
　　重新使用旧密码之前，该安全设置确定某个用户帐户所使用的新密码必须不能与该帐户所使用的最近多少旧密码一样。该值必须为0到24之间的一个数值。该策略通过确保旧密码不能在某段时间内重复使用，使用户帐户更安全。
　　
　　在域控制器上的默认值为24；而在独立服务器上为0。
　　
　　【注意】要维持密码历史记录的有效性，则在通过启用密码最短使用期限安全策略设置更改密码之后，不允许立即更改密码。
　　
　　密码最长使用期限
　　该安全设置确定系统要求用户更改密码之前可以使用该密码的时间（单位为天）。可将密码的过期天数设置在1至999天之间；如果将天数设置为0，则指定密码永不过期。如果密码最长使用期限在1至999天之间，那么“密码最短使用期限”（下面将介绍）必须小于密码最长使用期限。如果密码最长使用期限设置为0，则密码最短使用期限可以是1至998天之间的任何值。
　　默认值：42。
　　
　　【技巧】使密码每隔30至90天过期一次是一种安全最佳操作，取决于您的环境。通过这种方式，攻击者只能够在有限的时间内破解用户密码并访问您的网络资源。
　　
　　第三步，密码最短使用期限。该安全策略设置确定用户可以更改密码之前必须使用该密码的时间（单位为天）。可以设置1到998天之间的某个值，或者通过将天数设置为0，允许立即更改密码。密码最短使用期限必须小于上面设置的“密码最长使用期限”，除非密码最长使用期限设置为0（表明密码永不过期）。如果密码最长使用期限设置为0，那么密码最短使用期限可设置为0到998天之间的任意值。
　　
　　如果希望上面设置的“强制密码历史”安全策略选项设置有效，请将密码最短有效期限配置为大于0。如果没有密码最短有效期限，则用户可以重复循环通过密码，直到获得喜欢的旧密码。默认设置不遵从这种推荐方法，因此管理员可以为用户指定密码，然后要求当用户登录时更改管理员定义的密码。如果将该密码的历史记录设置为0，则用户不必选择新密码。因此，默认情况下将密码历史记录设置为1。在域控制器上的默认值为1；而在独立服务器上为0。
　　
　　第四步，密码长度最小值。该安全设置确定用户帐户的密码可以包含的最少字符个数。可以设置为1到14个字符之间的某个值，或者通过将字符数设置为0，可设置不需要密码。在域控制器上的默认值为7；而在独立服务器上为0。
　　
　　第五步，用可还原的加密来存储密码。该安全设置确定操作系统是否使用可还原的加密来存储密码。如果应用程序使用了要求知道用户密码才能进行身份验证的协议，则该策略可对它提供支持。使用可还原的加密存储密码和存储明文版本密码本质上是相同的。因此，除非应用程序有比保护密码信息更重要的要求，否则不必启用该策略。
　　
　　当使用质询握手身份验证协议（CHAP）通过远程访问或Internet身份验证服务（IAS）进行身份验证时，该策略是必需的。在Internet信息服务（IIS）中使用摘要式验证时也要求该策略。系统默认值为禁用。
　　
　　上面介绍的是在本地计算机上配置以上密码安全策略选项的方法，下面继续介绍在其它两种情形中这些密码策略选项的配置方法。
　　
　　2. 在域环境中，并且您位于已加入到域中的成员服务器或工作站
　　
　　对于这种情形，用户的本地密码策略配置方法如下：
　　
　　第1步，执行〖开始〗→〖运行〗菜单操作，在对话框的“打开”文本框中输入“mmc”命令，打开Microsoft管理控制台（MMC），如图所示。
　　

3.JPG (15 KB)

2007-7-11 22:55

　

　　第2步，执行〖文件〗→〖添加/删除管理单元〗菜单操作，打开如图所示对话框。在这个对话框中可以添加在控制台管理的管理单元。
　　

4.JPG (34 KB)

2007-7-11 22:55

　

　　第3步，单击“添加”按钮，打开如下图所示对话框。在这个对话框中找到“组策略对象编辑器”选项，然后双击，或单击选择它后按“添加”按钮，打开如图所示对话框。在这个对话框中要求选择所添加的“组策略对象编辑器”所作用的对象。
　　

5.JPG (26 KB)

2007-7-11 22:55

6.JPG (16 KB)

2007-7-11 22:55

　　因此处介绍的是成员服务器或工作站（非本地计算机），所以需单击“浏览”按钮，在打开的对话框中选中“计算机”选项卡（对话框如下图所示）。在对话框中选择“另一计算机”单选项，然后直接在下面的文本框中输入或再次通过单击“浏览”按钮，打开对话框查找。
　　

7.JPG (9 KB)

2007-7-11 22:55

　

　　第4步，输入或者选择好计算机名后，单击“确定”按钮即可返回到如上图所示对话框。单击“完成”按钮，如果所选择的成员服务器或工作站与当前服务器的网络连接正常的话，即可把它们指派到组策略对象编辑器中。
　　
　　第5步，单击对话框中的“关闭”按钮，返回到如图所示对话框。单击“确定”按钮返回到控制台界面，不过此时已是添加了“组策略对象编辑器”管理单元的控制台，如图所示。
　　

8.JPG (17 KB)

2007-7-11 22:55

　

　　第6步，依次单击展开〖计算机配置〗→〖Windows设置〗→〖安全设置〗→〖帐户策略〗→〖密码策略〗选项，然后在右边详细信息窗口中选择相应的密码策略选项配置即可。配置方法也是在相应选项上单击右键，然后再选择“属性”选项，打开的对话框与前图一样，参照即可。
　　
　　3. 您位于域控制器，或已安装 Windows Server 2003 管理工具包的工作站
　　
　　对于这种情形，密码策略的配置方法如下：
　　第1步，执行〖开始〗→〖管理工具〗→〖Active Directory用户和计算机〗菜单操作，打开如图所示的“Active Directory用户和计算机”管理工具界面。
　　

9.JPG (33 KB)

2007-7-11 22:55

　

　　第2步，在控制台树中要设置组策略的域或组织单位上（本例以域grfwgz.com为例）单击右键，然后选择“属性”选项，在打开的对话框中选择“组策略”选项卡，对话框如图所示。
　　

10.JPG (21 KB)

2007-7-11 22:55

　

　　第3步，选择对话框“组策略对象链接”列表中的项目以选择。

　　帐户锁定策略用于域帐户或本地用户帐户，它们确定某个帐户被系统锁定的情况和时间长短。这部分包含以下三个方面：
　　
　　帐户锁定时间
　　帐户锁定阈值
　　复位帐户锁定计数器
　　
　　1. 帐户锁定时间
　　
　　该安全设置确定锁定的帐户在自动解锁前保持锁定状态的分钟数。有效范围从0到99,999分钟。如果将帐户锁定时间设置为0，那么在管理员明确将其解锁前，该帐户将被锁定。如果定义了帐户锁定阈值，则帐户锁定时间必须大于或等于重置时间。
　　
　　默认值：无。因为只有当指定了帐户锁定阈值时，该策略设置才有意义。
　　
　　2. 帐户锁定阈值
　　
　　该安全设置确定造成用户帐户被锁定的登录失败尝试的次数。无法使用锁定的帐户，除非管理员进行了重新设置或该帐户的锁定时间已过期。登录尝试失败的范围可设置为0至999之间。如果将此值设为0，则将无法锁定帐户。
　　
　　对于使用Ctrl+Alt+Delete组合键或带有密码保护的屏幕保护程序锁定的工作站或成员服务器计算机上，失败的密码尝试计入失败的登录尝试次数中。默认值：0。
　　
　　3.复位帐户锁定计数器
　　
　　该安全设置确定在登录尝试失败计数器被复位为0（即0次失败登录尝试）之前，尝试登录失败之后所需的分钟数。有效范围为1到99,999分钟之间。
　　如果定义了帐户锁定阈值，则该复位时间必须小于或等于帐户锁定时间。
　　默认值：无，因为只有当指定了“帐户锁定阈值”时，该策略设置才有意义。
　　它们的配置也要因当前用户所在的网络环境而定。对于本地计算机用户帐户，在如图1所示界面中配置；对于域中的成员服务器或工作站则在如图8所示对话框中配置；而对于域控制器用户则在如图11所示界面中配置。
　　
　　配置方法也是通过双击，或单击选择某帐户锁定策略选项，然后再单击右键，选择“属性”选项，都可打开类似如图所示对话框，在其中进行配置即可。
　　

1.JPG (8 KB)

2007-7-11 23:01

　

　　Kerberos V5身份验证协议是用于确认用户或主机身份的身份验证机制，也是Windows 2000和Windows Server 2003系统默认的身份验证服务。Internet协议安全性（IPSec）可以使用Kerberos协议进行身份验证。
　　
　　对于在安装过程中所有加入到Windows Server 2003或Windows 2000域的计算机都默认启用Kerberos V5身份验证协议。Kerberos可对域内的资源和驻留在受信任的域中的资源提供单一登录。
　　可通过那些作为帐户策略一部分的Kerberos安全设置来控制Kerberos配置的某些方面。例如，可设置用户的Kerberos 5票证生存周期。作为管理员，可以使用默认的kerberos策略，也可以更改它以适应环境的需要。使用Kerberos V5进行成功的身份验证需要两个客户端系统都必须运行Windows 2000、Windows Server 2003家族或Windows XP Professional操作系统。
　　
　　如果客户端系统尝试向运行其他操作系统的服务器进行身份验证，则使用NTLM协议作为身份验证机制。NTLM身份验证协议是用来处理两台计算机（其中至少有一台计算机运行Windows NT 4.0或更早版本）之间事务的协议。
　　
　　使用Kerberos进行身份验证的计算机必须使其时间设置在5分钟内与常规时间服务同步，否则身份验证将失败。运行Windows Server 2003家族成员、Windows XP Professional或Windows 2000的计算机将自动更新当前时间，并将域控制器用作网络时间服务。
　　
　　Kerberos策略用于域用户帐户，确定与Kerberos相关的设置，例如票证的有效期限和强制执行。
　　Kerberos策略不存在于本地计算机策略中。这部分包含以下几个方面：
　　强制用户登录限制
　　服务票证最长寿命
　　用户票证最长寿命
　　用户票证续订最长寿命
　　计算机时钟同步的最大容差
　　
　　1. 强制用户登录限制
　　本安全设置确定Kerberos V5密钥分发中心（KDC）是否要根据用户帐户的用户权限来验证每一个会话票证请求。验证每一个会话票证请求是可选的，因为额外的步骤需要花费时间，并可能降低服务的网络访问速度。默认值：已启用。
　　
　　2. 服务票证最长寿命
　　该安全设置确定使用所授予的会话票证可访问特定服务的最长时间（以分钟为单位）。该设置必须大于10分钟并且小于或等于下面将要介绍的“用户票证最长寿命”选项中的设置。
　　【说明】票证是用于安全原则的标识数据集，是为了进行用户身份验证而由域控制器发行的。
　　Windows中的两种票证形式是票证授予式票证（TGT）和服务票证。
　　票证授予式票证（TGT）是用户登录时，Kerberos密钥分发中心（KDC）颁发给用户的凭据。当服务要求会话票证时，用户必须向KDC递交TGT。因为TGT对于用户的登录会话活动通常是有效的，它有时称为“用户票证”。
　　
　　服务票证是由允许用户验证域中指定服务的KerberosV5票证授予服务（TGS）颁发的票证。如果客户端请求服务器连接时出示的会话票证已过期，服务器将返回错误消息。客户端必须从Kerberos V5密钥分发中心（KDC）请求新的会话票证。然而一旦连接通过了身份验证，该会话票证是否仍然有效就无关紧要了。会话票证仅用于验证和服务器的新建连接。如果用于验证连接的会话票证在连接时过期，则当前的操作不会中断。默认值：600分钟（10小时）。
　　
　　3. 用户票证最长寿命
　　该安全设置确定用户票证授予票证（TGT）的最长使用时间（单位为小时）。用户TGT期满后，必须请求新的或“续订”现有的用户票证。默认值：10小时。
　　
　　4. 用户票证续订最长寿命
　　该安全设置确定可以续订用户票证授予票证（TGT）的期限（以天为单位）。默认值：7天。
　　
　　5. 计算机时钟同步的最大容差
　　本安全设置确定Kerberos V5所允许的客户端时钟和提供Kerberos身份验证的Windows Server 2003域控制器上的时间的最大差值（以分钟为单位）。
　　为防止“轮番攻击”，Kerberos V5在其协议定义中使用了时间戳。为使时间戳正常工作，客户端和域控制器的时钟应尽可能的保持同步。换言之，应该将这两台计算机设置成相同的时间和日期。因为两台计算机的时钟常常不同步，所以管理员可使用该策略来设置Kerberos V5所能接受的客户端时钟和域控制器时钟间的最大差值。如果客户端时钟和域控制器时钟间的差值小于该策略中指定的最大时间差，那么在这两台计算机的会话中使用的任何时间戳都将被认为是可信的。默认值：5分钟。
　　【注意】该设置并不是永久性的。如果配置该设置后重新启动计算机，那么该设置将被还原为默认值。
　　
　　以上各Kerberos策略安全选项的配置方法如下：
　　第1步，在组策略界面中，依次单击展开下列选项〖计算机设置〗→〖Windows设置〗→〖安全设置〗→〖用户策略〗→〖Kerberos策略〗，在右边详细信息窗口中将列出当前所有的Kerberos策略选项，如图所示。
　　

2.JPG (21 KB)

2007-7-11 23:01

　

　　第2步，在详细信息窗口中显示了各Kerberos策略安全选项的当前配置，如果要重新配置某选项，可直接双击，也可在相应选项上单击右键，然后选择“属性”选项，都可打开类似如图所示的配置对话框。在这个对话框中可以选择是否启用或者重新配置该安全选项的参数值。
　　

3.JPG (11 KB)

2007-7-11 23:01

　

　　选择好后单击“确定”按钮即可生效。对 Kerberos 策略的任何修改都将影响域中的所有计算机。
　　
　　Windows Server 2003系统审核策略的配置方法也要根据以下四种具体的情形而选择不同的配置方法。
　　
　　1. 对于本地计算机
　　在这个情况下，审核策略的配置也是在 “本地安全设置”界面中进行的，只是此时要选择“本地策略”下的“审核策略”选项，如图所示。
　　

4.JPG (25 KB)

2007-7-11 23:01

　

　　双击详细信息窗格中要更改审核策略设置的事件类别，或在相应审核策略事件上单击右键，然后选择“属性”选项，都可打开如图所示对话框（本例选择的是“审核登录事件”选项）。执行以下一个或两个操作，然后单击“确定”按钮使配置生效。
　　
　　要审核成功的尝试，请选中“成功”复选项。
　　要审核未成功的尝试，请选中“失败”复选项。
　　

5.JPG (9 KB)

2007-7-11 23:01

　

　　2. 您在一台域控制器上或已安装了Windows Server 2003管理工具包的工作站上
　　
　　这种情形下审核策略的配置方法如下：
　　第1步，执行〖开始〗→〖管理工具〗→〖域控制器安全策略〗菜单操作，打开如图所示的“域控制器安全策略”管理工具界面。
　　

6.JPG (26 KB)

2007-7-11 23:01

　

　　第2步，在控制台树中，按〖Windows设置〗→〖安全设置〗→〖本地策略〗→〖审核策略〗顺序依次单击，展开各选项，直到“审核策略”选项。
　　
　　第3步，双击详细信息窗格中要更改审核策略设置的事件类别，或者在相应事件上单击右键，然后选择“属性”选项，同样会打开如图5所示的对话框。配置方法与前一种情形“本地计算机”中介绍的方法一样，参照即可。
　　
　　3. 您是在一台域控制器上或已安装了“管理工具包”的工作站上
　　
　　在这种应用情形中，审核配置的配置方法是在“Active Directory用户和计算机”管理工具中打开组策略进行的。不同的此时选择的是“本地策略”下的“审核策略”选项，如图所示。
　　

7.JPG (24 KB)

2007-7-11 23:01

　

　　审核策略的配置方法与前两种情形中介绍的一样，不再赘述。
　　
　　4. 对于域或组织单位，您是在一台成员服务器上或已加入

　　在本篇技术指南中，将概要介绍你如何修改最重要的组策略安全设置。
　　
　　你可以在采用Windows XP、2000和Server 2003操作系统的本地计算机上使用这些方法，或者在Server 2003和2000中的OU域名级上使用这些方法。为了简明扼要和提供最新的信息，我准备介绍一下如何设置基于Windows Server 2003的域名。请记住，这些只是你在你的域名中能够设置的组策略对象中最有可能出现问题的。按照我的观点，这些设置可以保持或者破坏Windows的安全。而且由于设置的不同，你的进展也不同。因此，我鼓励你在使用每一个设置之前都进行深入的研究，以确保这些设置能够兼容你的网络。如果有可能的话，对这些设置进行试验(如果你很幸运有一个测试环境的话)。
　　
　　如果你没有进行测试，我建议你下载和安装微软的组策略管理控制台(GPMC)来做这些改变。这个程序能够把组策略管理任务集中到一个单一的界面让你更全面地查看你的域名。要开始这个编辑流程，你就上载GPMC，扩展你的域名，用鼠标右键点击“缺省域名策略”，然后选择“编辑”。这样就装载了组策略对象编辑器。如果你要以更快的速度或者“次企业级”的方式编辑你的域名组策略对象，你可以在“开始”菜单中运行“gpedit.msc”。
　　
　　1.确定一个缺省的口令策略，使你的机构设置位于“计算机配置/Windows设置/安全设置/账号策略/口令策略”之下。
　　
　　2.为了防止自动口令破解，在“计算机配置/Windows设置/安全设置/账号策略/账号关闭策略”中进行如下设置:
　　
　　·账号关闭持续时间(确定至少5-10分钟)
　　
　　·账号关闭极限(确定最多允许5至10次非法登录)
　　
　　·随后重新启动关闭的账号(确定至少10-15分钟以后)
　　
　　3.在“计算机配置/Windows设置/安全设置/本地策略/检查策略”中启用如下功能:
　　
　　·检查账号管理
　　
　　·检查登录事件
　　
　　·检查策略改变
　　
　　·检查权限使用
　　
　　·检查系统事件
　　
　　理想的情况是，你要启用记录成功和失败的登录。但是，这取决于你要保留什么类型的记录以及你是否能够管理这些记录。Roberta Bragg在这里介绍了一些普通的检查记录设置。要记住，启用每一种类型的记录都需要你的系统处理器和硬盘提供更多的资源。
　　
　　4.作为增强Windows安全的最佳做法和为攻击者设置更多的障碍以减少对Windows的攻击，你可以在“计算机配置/Windows设置/安全设置/本地策略/安全选项”中进行如下设置:
　　
　　·账号:重新命名管理员账号--不是要求更有效而是增加一个安全层(确定一个新名字)
　　
　　·账号:重新命名客户账号(确定一个新名字)
　　
　　·交互式登录:不要显示最后一个用户的名字(设置为启用)
　　
　　·交互式登录:不需要最后一个用户的名字(设置为关闭)
　　
　　·交互式登录: 为企图登录的用户提供一个消息文本(确定为让用户阅读banner text(旗帜文本)，内容大致为“这是专用和受控的系统。
　　
　　如果你滥用本系统，你将受到制裁。--首先让你的律师运行这个程序)
　　
　　·交互式登录: 为企图登录的用户提供的消息题目--在警告!!!后面写的东西
　　
　　·网络接入:不允许SAM账号和共享目录(设置为“启用”)
　　
　　·网络接入:将“允许每一个人申请匿名用户”设置为关闭
　　
　　·网络安全:“不得存储局域网管理员关于下一个口令变化的散列值”设置为“启用”
　　
　　·关机:“允许系统在没有登录的情况下关闭”设置为“关闭”
　　
　　·关机:“清除虚拟内存的页面文件”设置为“启用”
　　
　　如果你没有Windows Server 2003域名控制器，你在这里可以找到有哪些Windows XP本地安全设置的细节，以及这里有哪些详细的Windows 2000 Server组策略的设置。要了解更多的有关Windows Server 2003组策略的信息，请查看微软的专门网页。

　EFS（Encrypting File System，加密文件系统）是从Windows 2000开始就提出的一种基于NTFS文件系统的核心文件加密技术，主要是用于保护本地数据。在使用EFS加密文件的同时，也产生了诸多麻烦，比如重装系统后无法打开EFS加密过的文件夹等等，那么我们该如何解密?现在让我们先来看看大家的讨论。
　　
　　备份及导入密钥来解密
　　
　　为了防止在重装系统后无法打开加密文件夹，我们可以通过下面的方法来备份及导入密钥：点击“开始→运行”，输入“certmgr.msc”，回车后打开证书管理器。展开“证书/个人/证书”，右键单击在右侧窗口中以用户名为名称的证书，在“所有任务”中选择“导出”打开证书导出向导。单击“下一步”之后选择“是，导出私钥”，单击“下一步”，选择默认导出文件格式，再单击“下一步”，输入保护密码和确认密码，单击“下一步”后指定文件名，最后单击“完成”即可。
　　
　　这样在重装系统之后，右键单击导出的私钥文件，选择“安装PFX”之后就可以一步一步导入私钥。导入完成后，就可以顺利地打开EFS加密的文件夹。
　　
　　软件的方法不可靠
　　
　　在没有备份密钥的情况下，要对EFS解密几乎是不可能的，虽然网上流行很多种方法，但是可行性微乎其微，劝大家放弃。因为某些EFS使用的是公钥证书对文件加密，而且在Windows 2000/XP中，每一个用户都使用了惟一的SID（安全标志）。第一次加密文件夹时，系统会根据加密者的SID生成该用户的密钥，并且会将公钥和密钥分开保存。如果在重装系统之前没有对当前的密钥进行备份，那就意味着无论如何都不可能生成此前的用户密钥，而解密文件不仅需要公钥，还需要密码，所以也就根本不能打开此前EFS加密过的文件夹。
　　
　　编者按：通过各位大虾的谈论，至少应该得出这样一个结论，在进行EFS加密后一定要进行证书备份。否则遇到特殊情况，那被加密过的文件夹就无法打开了。

　　什么是EFS
　　从Windows 2000开始，微软对NTFS文件系统进行了升级，将在Windows NT中使用的4.0升级为5.0，其最大的特点就是安全特性更加强大，特别是增加了加密文件系统EFS，用来在使用NTFS文件系统的卷上直接加密数据，能让用户在系统上使用公钥加密去保护私有的数据。
　　
　　你可以为某个隐私的文件或文件夹加密，以防止他人使用。没有正确权限的人即使能访问到硬盘，若试图操作加密的文件或文件夹，则会收到一条“拒绝访问”错误消息。
　　
　　另外，用户验证过程是在登录Windows时进行的，这就保证了EFS加密系统对计算机用户来说是透明的。通俗地说，只要具有权限的账户登录到Windows，就可以像打开任何一个普通文件一样使用自己加密的文件，而不像通常的加密软件会弹出一个对话框，让你输入密码，这就大大方便了使用者。
　　
　　用ESF加密文件
　　当你使用了Windows 2000/XP/2003系统（注意Windows XP家庭版不支持EFS加密文件系统），且格式化磁盘为NTFS文件系统，你就具有了应用EFS的条件。
　　
　　要使用EFS加密，只须打开资源管理器，在需要加密的文件（夹）上点鼠标右键，选“属性”，在“属性” 对话框中点“高级”打开“高级属性”对话框，勾选“加密内容以便保护数据”（（取消该选项前的钩即可解密文件）。
　　
　　“确定”后点击“应用”，如果加密的是文件夹，则会弹出图2所示对话框，你可以根据需要选择是仅加密此文件夹还是将此文件夹下的子文件夹和文件也一起
　　
　　最后点击“确定”后，在默认情况下，一般你会发现文件（夹）在资源管理器中显示的颜色变为彩色，表示已经被加密（或压缩）了。
　　
　　提示：你也可以不使文件（夹）变色，在资源管理器中，点“工具→文件夹选项→查看”，将“用彩色显示加密或压缩的NTFS文件”取消即可。
　　
　　EFS加密解密技巧
　　在实际应用中，我们还可以通过各种技巧来完成EFS加密的相关操作。
　　
　　1.添加“加密”右键菜单
　　
　　如果觉得上述加密方法还是太烦琐，可以在“运行”中输入“regedit”，打开注册表编辑器，找到HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced，在右边窗口中点击鼠标右键，选择“新建→Dword值”，取键名为“EncryptionContextMenu”，并设置键值为“1”。
　　
　　退出注册表编辑器，打开资源管理器，任意选中一个NTFS分区上的文件（夹），点鼠标右键，菜单中多出了一个“加（解）密”的选项。你可以直接点击此菜单，即可完成加密解密操作。
　　
　　2.禁止加密某个文件夹
　　
　　如果你想设置禁止加密某个文件夹，可以在这个文件夹中创建一个名为“Desktop.ini”的文件，然后用记事本编辑内容为：
　　
　　Encryption
　　Disable=1
　　
　　但是这个方法不能禁止已加密文件夹的文件以及子文件夹。
　　
　　3.彻底禁止EFS加密
　　
　　要在机器上彻底禁用EFS加密，可以通过修改注册表实现。点击“开始→运行”，输入“Regedit”回车，打开注册表编辑器，找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EFS，在“编辑”菜单上点击“新建→Dword值”，输入“EfsConfiguration”作为键名，并设置键值为“1”，这样本机的EFS加密就被禁用了。如果想重新使用EFS加密时，只要把键值改为“0”即可。
　　
　　备份加密证书
　　
　　重新安装系统后要打开加密文件的解决办法
　　
　　EFS加密原理
　　让我们来简单了解一下EFS是如何工作的。在EFS中，数据靠FEK（文件加密钥匙）加密，而FEK跟用户的公钥一起加密保存；解密的时候顺序刚好相反，首先用私钥解密出FEK，然后用FEK解密数据。简言之，系统是靠你的公钥/私钥（统称密钥）来加解密的。
　　
　　那么密钥从何而来呢?密钥是通过用户的SID产生的。在Windows 2000/XP中，每一个用户都有一个SID（安全标示符），首次使用EFS时，系统会根据SID首先生成密钥。SID都是惟一的，如同人的指纹，因而用户的密钥也绝不会相同，这就保证了EFS加密的可靠。目前，据官方消息说EFS还未证实被破解过。
　　
　　需要注意的是，如果重新安装了系统，就会产生一个新的SID，即使你安装系统的时候采用的是原来的用户名和密码，也无法直接打开原来被加密的文件（夹）了，很多朋友经常由于忽略了这一点而导致数据损失。
　　
　　备份密钥
　　既然EFS采用加密密钥来进行加解密，那么只要加密密钥存在，我们就能恢复数据。因此，将密钥备份下来以作不时之需是最好的办法。
　　
　　点击“开始→运行”，在“运行”对话框中输入“certmgr.msc”打开证书管理器，打开“证书→当前用户”下的“个人→证书”，只要你做过加密操作，右边窗口就会有与用户名同名的（如果有多份证书，选“预期目的”为“加密文件系统”）证书。
　　
　　选中证书后点鼠标右键，选“所有任务→导出”，在弹出的“证书导出向导”中，选择“导出私钥”，并按照向导的要求输入密码来保护导出的私钥，最后存储为一个PFX后缀的文件。
　　
　　当加密文件的账户出现问题或重新安装了系统后需要访问或解密以前加密的文件时，只要使用鼠标右键单击备份的证书，选择“安装PFX”，系统将弹出“证书导入向导”，键入当初导出证书时输入用于保护备份证书的密码，然后选择让向导“根据证书类型，自动选择证书存储区”即可。完成后就可以访问以前的加密文件了。
　　
　　提示：需要注意的是，任何其他用户只要获得了你备份的证书，都可以对你的加密文件进行解密，因此一定要确保备份证书的安全性。
　　
　　小知识
　　1.把未加密的文件复制到已经加密的文件夹中，这些文件会被自动加密。
　　
　　2.若是将加密文件移动到NTFS分区上，数据会保留加密属性；如果移动到FAT（FAT32）区上，这些数据将会被自动解密。另外，NTFS分区上保存的文件不能同时被压缩和加密。
　　
　　3.Windows的系统文件和系统文件夹不能被加密。
　　
　　用恢复代理解密文件
　　删除用户后打开加密文件的解决办法
　　
　　EFS加密是安全可靠的，那么，一旦用户账户被删除，就像开头提到的那位，重新创建一个相同的用户可以打开吗?答案当然是否定的，重新创建的用户虽然与以前用户同名，但是系统却不会分配相同的SID（记住，不可能存在相同SID！除非是克隆系统），因此密钥也不同，加密的文件自然就无法打开了。
　　
　　当然，这种情况也不是完全没有解决的办法，因为用EFS加密过的文件，除了加密者本人之外还有“恢复代理”可以打开。恢复代理是一种特殊的用户，作用是解开用EFS加密的文件。
　　
　　对于Windows 2000来说，在单机和工作组环境下，默认的恢复代理是 Administrator ；Windows XP在单机和工作组环境下没有默认的恢复代理。而在域环境中就完全不同了，所有加入域的Windows 2000/XP计算机，默认的恢复代理全部是域管理员。所以我说那位网友是幸运的，因为他用的是Windows 2000，可以用Administrator这个用户登录系统，然后就能直接打开或者解密文件。
　　
　　大量使用Windows XP的朋友就没有那么幸运了，由于没有默认的恢复代理，事先又没有设置恢复代理，一旦用户被删除，你面临的将是数据的丢失。因此如果你使用的是Windows XP用户，请事先设置恢复代理。
　　
　　设置Windows XP恢复代理
　　1.首先确定用哪个用户作为恢复代理，可以设置任何用户，比如你想让USER成为恢复代理，就用USER账户登录系统（一般建议使用Administrator作为恢复代理）。
　　
　　2.在“运行”中输入“cipher /rc：\test”（test可以是任何其它名字），回车后系统会提示询问是否用密码把证书保护起来，你可以自己设置一个密码，也可不需要密码保护就直接按回车。完成后我们在C盘的根目录下可以发现test.cer和test.pfx两个文件（在资源管理器中点“工具→文件夹选项→查看”，取消“隐藏已知文件类型的扩展名”才能看到文件后缀名）。
　　
　　3.先使用鼠标右键单击PFX文件，选择“安装PFX”，将弹出“证书导入向导”，如果提示输入密码，就输入步骤2中设置的密码，选中“标示此私钥为可导出的”，下一步选择“根据证书类型，自动选择证书存储区”导入证书。
　　
　　4.在“运行”中输入“gpedit.msc”并回车，打开组策略编辑器。在“计算机配置→Windows设置→安全设置→公钥策略→正在加密文件系统”下，点击鼠标右键，并选择“添加数据恢复代理”，按“添加故障恢复代理向导”打开test.cer，完成后即成功将USER用户设置为指定恢复代理
　　
　　现在，登录USER用户，就可以解密所有在指定恢复代理后被加密的文件（夹）了。注意，在设置恢复代理前已经加密的文件是不能解密的，所以必须未雨绸缪，事先设置恢复代理。
　　
　　EFS加密疑难解答
　　1.重装系统后默认的恢复代理是否能恢复以前的加密数据?
　　
　　不能，假设Administrator用户是默认恢复代理，重装系统后，这个Administrator的SID已经发生了变化，所以不能作为以前用户的恢复代理了，只有将备份的证书导入才能打开文件。
　　
　　2.被EFS加密过的数据是否绝对安全?
　　
　　不是，安全永远是相对的。EFS加密过的文件，如果不是用户本人或恢复代理，虽然无法打开加密文件，但是仍然可以删除，所以对于重要文件，最佳的做法是NTFS权限和EFS加密配合使用。只有同时具有NTFS权限以及密钥，才能操作文件。
　　
　　3.我用的是Windows 2000系统，在局域网中且加入了域，我用Administrator为何不能解密文件?
　　
　　由于加入域中，默认的恢复代理是域管理员。

　　随着稳定性和可靠性的逐步提高，Windows 2000/XP已经被越来越多的人使用，很多人还用Windows 2000/XP自带的EFS加密功能把自己的一些重要数据加密保存。虽然EFS易用性不错，不过发生问题后就难解决了，例如不做任何准备就重装了操作系统，那很可能导致以前的加密数据无法解密。最近一段时间我们已经可以在越来越多的论坛和新闻组中看到网友的求救，都是类似这样的问题而导致重要数据无法打开，损失惨重。为了避免更多人受到损失，这里我把使用EFS加密的注事项写出来，希望对大家有所帮助。
　　
　　注意，下文中的Windows XP皆指Professional版，Windows XP Home版并不支持EFS加密。
　　
　　什么是EFS加密
　　EFS（Encrypting File System，加密文件系统）是Windows 2000/XP所特有的一个实用功能，对于NTFS卷上的文件和数据，都可以直接被操作系统加密保存，在很大程度上提高了数据的安全性。
　　
　　EFS加密是基于公钥策略的。在使用EFS加密一个文件或文件夹时，系统首先会生成一个由伪随机数组成的FEK (File Encryption Key，文件加密钥匙)，然后将利用FEK和数据扩展标准X算法创建加密后的文件，并把它存储到硬盘上，同时删除未加密的原始文件。随后系统利用你的公钥加密FEK，并把加密后的FEK存储在同一个加密文件中。而在访问被加密的文件时，系统首先利用当前用户的私钥解密FEK，然后利用FEK解密出文件。在首次使用EFS时，如果用户还没有公钥/私钥对（统称为密钥），则会首先生成密钥，然后加密数据。如果你登录到了域环境中，密钥的生成依赖于域控制器，否则它就依赖于本地机器。
　　
　　EFS加密有什么好处
　　首先，EFS加密机制和操作系统紧密结合，因此我们不必为了加密数据安装额外的软件，这节约了我们的使用成本。
　　
　　其次，EFS加密系统对用户是透明的。这也就是说，如果你加密了一些数据，那么你对这些数据的访问将是完全允许的，并不会受到任何限制。而其他非授权用户试图访问加密过的数据时，就会收到“访问拒绝”的错误提示。EFS加密的用户验证过程是在登录Windows时进行的，只要登录到Windows，就可以打开任何一个被授权的加密文件。
　　
　　如何使用EFS加密
　　要使用EFS加密，首先要保证你的操作系统符合要求。目前支持EFS加密的Windows操作系统主要有Windows 2000全部版本和Windows XP Professional。至于还未正式发行的Windows Server 2003和传闻中的开发代号为Longhorn的新一带操作系统，目前看来也支持这种加密机制。其次，EFS加密只对NTFS5分区上的数据有效（注意，这里我们提到了NTFS5分区，这是指由Windows 2000/XP格式化过的NTFS分区；而由Windows NT4格式化的NTFS分区是NTFS4格式的，虽然同样是NTFS文件系统，但它不支持EFS加密），你无法加密保存在FAT和FAT32分区上的数据。
　　
　　对于想加密的文件或文件夹，只需要用鼠标右键点击，然后选择“属性”，在常规选项卡下点击“高级”按钮，之后在弹出的窗口中选中“加密内容以保护数据”，然后点击确定，等待片刻数据就加密好了。如果你加密的是一个文件夹，系统还会询问你，是把这个加密属性应用到文件夹上还是文件夹以及内部的所有子文件夹。按照你的实际情况来操作即可。解密数据也是很简单的，同样是按照上面的方法，把“加密内容以保护数据”前的钩消除，然后确定。
　　

1.jpg (26 KB)

2007-7-11 23:05

　　如果你不喜欢图形界面的操作，还可以在命令行模式下用“cipher”命令完成对数据的加密和解密操作，至于“cipher”命令更详细的使用方法则可以通过在命令符后输入“cipher/?”并回车获得。
　　
　　注意事项：如果把未加密的文件复制到具有加密属性的文件夹中，这些文件将会被自动加密。若是将加密数据移出来，如果移动到NTFS分区上，数据依旧保持加密属性；如果移动到FAT分区上，这些数据将会被自动解密。被EFS加密过的数据不能在Windows中直接共享。如果通过网络传输经EFS加密过的数据，这些数据在网络上将会以明文的形式传输。NTFS分区上保存的数据还可以被压缩，不过一个文件不能同时被压缩和加密。最后一点，Windows的系统文件和系统文件夹无法被加密。
　　
　　这里还有个窍门，用传统的方法加密文件，必须打开层层菜单并依次确认，非常麻烦，不过只要修改一下注册表，就可以给鼠标的右键菜单中增添“加密”和“解密”的选项。
　　在运行中输入“regedit”并回车，打开注册表编辑器，定位到：HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion /Explorer/Advanced ，在“编辑”菜单上点击“新建－Dword值”，输入“EncryptionContextMenu”作为键名，并设置键值为“1”。现在退出注册表编辑器，打开资源管理器，任意选中一个NTFS分区上的文件或者文件夹，然后点击鼠标右键，就可以在右键菜单中找到相应的选项，直接点击就可以完成加密解密的操作。
　　
　　如果你想设置禁止加密某个文件夹，可以在这个文件夹中创建一个名为“Desktop.ini”的文件，然后用记事本打开，并添加如下内容：
　　
　　[Encryption]
　　
　　Disable=1
　　
　　之后保存并关闭这个文件。这样，以后要加密这个文件夹的时候就会收到错误信息，除非这个文件被删除。
　　
　　而如果你想在本机上彻底禁用EFS加密，则可以通过修改注册表实现。在运行中输入“Regedit”并回车，打开注册表编辑器，定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EFS，在“编辑”菜单上点击“新建－Dword值”，输入“EfsConfiguration”作为键名，并设置键值为“1”，这样本机的EFS加密就被禁用了。而以后如果又想使用时只需把键值改为“0”。
　　
　　如何保证EFS加密的安全和可靠
　　前面我们已经了解到，在EFS加密体系中，数据是靠FEK加密的，而FEK又会跟用户的公钥一起加密保存；解密的时候顺序刚好相反，首先用私钥解密出FEK，然后用FEK解密数据。可见，用户的密钥在EFS加密中起了很大作用。
　　
　　密钥又是怎么来的呢？在Windows 2000/XP中，每一个用户都有一个SID（Security Identifier，安全标示符）以区分各自的身份，每个人的SID都是不相同的，并且有唯一性。可以这样理解：把SID想象成人的指纹，虽然世界上已经有几十亿人（同名同姓的也有很多），可是理论上还没有哪两个人的指纹是完全相同的。因此，这具有唯一性的SID就保证了EFS加密的绝对安全和可靠。因为理论上没有SID相同的用户，因而用户的密钥也就绝不会相同。在第一次加密数据的时候，操作系统就会根据加密者的SID生成该用户的密钥，并把公钥和私钥分开保存起来，供用户加密和解密数据。
　　
　　这一切，都保证了EFS机制的可靠
　　其次，EFS机制在设计的时候就考虑到了多种突发情况的产生，因此在EFS加密系统中，还有恢复代理（Recovery Agent）这一概念。
　　
　　举例来说，公司财务部的一个职工加密了财务数据的报表，某天这位职工辞职了，安全起见你直接删除了这位职工的账户。直到有一天需要用到这位职工创建的财务报表时才发现这些报表是被加密的，而用户账户已经删除，这些文件无法打开了。不过恢复代理的存在就解决了这些问题。因为被EFS加密过的文件，除了加密者本人之外还有恢复代理可以打开。
　　
　　对于Windows 2000来说，在单机和工作组环境下，默认的恢复代理是 Administrator ；Windows XP在单机和工作组环境下没有默认的恢复代理。而在域环境中就完全不同了，所有加入域的Windows 2000/XP计算机，默认的恢复代理全部是域管理员。
　　
　　这一切，都保证了被加密数据的安全。
　　
　　如何避免不慎使用EFS加密带来的损失
　　如果你也和我一样，由于对EFS加密不了解致使重要数据丢失，那么也别气馁，就当买了个教训。毕竟通过这事情你还是能学会很多东西的。那就是：备份密钥！设置有效的恢复代理！
　　
　　对于上面讲到的情况1，备份密钥可以避免这种悲剧的发生。在运行中输入“certmgr.msc”然后回车，打开证书管理器。密钥的导出和导入工作都将在这里进行。
　　
　　在你加密过文件或文件夹后，打开证书管理器，在“当前用户”－“个人”－“证书”路径下，应该可以看见一个以你的用户名为名称的证书（如果你还没有加密任何数据，这里是不会有证书的）。右键点击这个证书，在“所有任务”中点击“导出”。之后会弹出一个证书导出向导，在向导中有一步会询问你是否导出私钥，在这里要选择“导出私钥”，其它选项按照默认设置，连续点击继续，最后输入该用户的密码和想要保存的路径并确认，导出工作就完成了。导出的证书将是一个pfx为后缀的文件。
　　

2.jpg (30 KB)

2007-7-11 23:05

　

　　重装操作系统之后找到之前导出的pfx文件，鼠标右键点击，并选择“安装PFX”，之后会出现一个导入向导，按照导入向导的提示完成操作（注意，如果你之前在导出证书时选择了用密码保护证书，那么在这里导入这个证书时就需要提供正确的密码，否则将不能继续），而之前加密的数据也就全部可以正确打开。
　　对于情况2，我们对Windows XP和Windows 2000两种情况分别加以说明。
　　
　　由于Windows XP没有默认的恢复代理，因此我们加密数据之前最好能先指定一个默认的恢复代理（建议设置Administrator为恢复代理，虽然这个账户没有显示在欢迎屏幕上，不过确实是存在的）。这样设置：
　　
　　首先要获得可以导入作为恢复代理的用户密钥，如果你想让Administrator成为恢复代理，首先就要用Administrator账户登录系统。在欢迎屏幕上连续按Ctrl＋Alt＋Del两次，打开登录对话框，在用户名处输入Administrator，密码框中输入你安装系统时设置的Administrato

　　单位的网络管理员肯定都遇到过这种困扰，老板不希望员工在工作的时间聊QQ或者玩游戏，而总有员工会私下里安装被禁止的软件。怎样避免这种情况？虽然有监控软件可以用，不过这样显得有些侵犯隐私。同时还有一种很麻烦的情况，现在越来越多的病毒通过电子邮件传播，很多人都是无意中运行了电子邮件的附件而中毒的，有没有什么好的手段 可以避免员工运行来历不明的文件？现在好了，如果你的客户端是Windows XP Professional，那么就可以使用其中的软件限制策略。
　　
　　简单来说，软件限制策略是一种技术，通过这种技术，管理员可以决定哪些程序（虽然这里用了“程序”这个字眼，不过不单指exe文件，我们可以通过该技术限制任何类型扩展名的文件被执行）是可信赖的，而哪些是不可信赖的，对于不可信赖的程序，则系统会拒绝执行。通常，管理员可以让系统使用以下几种方式鉴别软件是否可信赖：文件的路径、文件的哈希（Hash）值、文件的证书、文件被下载的网站在Internet选项中的区域、文件的发行商、特定扩展名的所有文件，以及其他强制属性。
　　
　　软件限制策略不仅可以在单机的Windows XP操作系统中设置，可以设置仅影响当前用户或用户组，或者影响所有本地登录到这台计算机上的所有用户；也可以通过域对所有加入该域的客户端计算机进行设置，同样可以设置影响某个特定的用户或用户组，或者所有用户。我们这里会以单机的形式进行说明，并设置影响 所有用户。单机和工作组环境下的设置和这个是类似的。另一方面，有时我们可能因为错误的设置而导致某些系统组件无法运行（例如禁止运行所有msc后缀的文件而无法打开组策略编辑器），这种情况下我们只要重新启动系统到安全模式，然后使用Administrator账号登录并删除或修改这一策略即可。因为安全模式下使用Administrator账号登录是不受这些策略影响的。
　　
　　在本例中，我们假设了这样的应用：员工的计算机仅可运行操作系统自带的所有程序（C盘），以及工作所必须的Word、Excel、PowerPoint和Outlook，其版本号皆为2003，并假设Office程序安装在D盘，员工电脑的操作系统为Windows XP Professional。
　　
　　运行Gpedit.msc打开组策略编辑器，仔细看就可以发现，在“计算机配置”和“用户设置”下都各有一个软件限制策略的条目，到底使用哪个？如果你希望这个策略仅对某个特定用户或用户组生效，则使用“用户配置”下的策略；如果你希望对本地登录到计算机的所有用户生效，则使用“ 计算机配置”下的策略。这里我们需要对所有用户生效，因此选择使用“计算机配置”下的策略。
　　
　　在开始配置之前我们还需要考虑一个问题，我们所允许的软件都有哪些特征，而禁用的软件又有哪些特征，我们要想出一种最佳的策略，能使所有需要的软件正确运行，而所有不必要的软件一个都无法运行。在本例中，我们允许的大部分程序都位于系统盘（C盘）的Program Files以及Windows文件夹下，因此我们在这里可以通过文件所在路径的方法决定哪些程序是被信任的。而对于安装在D盘的Office程序，也可任意通过路径或者文件哈希的方法来决定。
　　
　　点击打开“计算机配置”下的软件限制策略条目，接着在“操作”菜单下点击“创建新的策略”（目前在安装SP1的XP上，这里默认是没有任何策略的，但是对于安装SP2的系统，这里已经有了建好的默认策略），系统将会创建两个新的条目：“安全级别”和“其它规则”。其中在安全级别条目下有两条规则，“不允许的”和“不受限的”，其中前者的意思是，默认情况下，所有软件都不允许运行，只有特别配置过的少数软件才可以运行； 而后者的意思是，默认情况下，所有软件都可以运行，只有特别配置过的少数软件才被禁止运行。因为我们本例中需要运行的软件都已经定下来了，因此我们需要使用“不允许的”作为默认规则。双击这条规则，然后点击“设为默认”按钮，并在同意警告信息后继续。
　　
　　接着打开“其他规则”条目，可以看到，默认情况下这里已经有四个规则，都是根据注册表路径设置的，而且默认都设置为“不受限的”。强烈提醒你，千万不要修改这四个规则，否则你的系统运行将会遇到很大麻烦，因为这四个路径都涉及到了重要系统程序及文件所在的 位置。同时，我们前面说过的，位于系统盘下Program Files文件夹以及Windows文件夹下的文件是允许运行的，而这四条默认的规则已经包含了这个路径，因此我们后面要做的只是为Office程序添加一个规则。在右侧面板的空白处点击鼠标右键，选择“新建哈希规则”，然后可以看到下图的界面。在这里点击“浏览”按钮，然后定位所有允许使用的Office程序的可执行文件（还记得分别是什么吗？winword.exe、excel.exe、powerpnt.exe、outlook.exe），并双击加入。接着在“安全级别”下拉菜单下选择“不受限的”，然后点击确定退出。重复以上步骤，把这四个软件的可执行文件都添加进来，并设置为不受限的。
　　
　　到这里大家可以考虑一个问题，为什么我们选择为每个程序的可执行文件建立哈希规则？统一为Office应用程序建立一个路径规则不是更简单？其实这样才可以避免可执行文件被替换，或者用户把一些不需要安装的绿色软件复制到这个目录下运行。因为如果建立的是目录规则，那么所有保存在允许目录下的文件都将可以被执行，包括允许程序本身的文件，也包括用户复制进 来的任何其他文件。而哈希规则就不同了，一个特定文件的哈希值是固定的，只要文件内容不发生变化，那么它的哈希值就永远不会变。这样也就避免了造假的可能。不过同时也存在一个问题，虽然文件的哈希值可以不变化，但是文件本身可能会需要某些改变。例如你安装 了一个Word的补丁程序，那么winword.exe文件的哈希值可能就会变化。因此如果你选择创建这种规则，每当软件更新后你也需要看情况同步更新一下相应的规则。否则正常程序的运行也会被影响。
　　
　　除此之外，这里还有几条策略可以被我们利用：强制，可以限定软件限制策略应用到哪些文件以及是否应用到Administrator账户；指派的文件类型，用于指定具有哪些扩展名的文件可以被系统认为是可执行文件，我们可以添加或删除某种类型扩展名的文件；收信任的出版商，则可以用来决定哪些用户可以选择收信任的出版商，以及信任之前还需要采取的其他操作。这三个策略可以根据自己的实 际情况作出选择。
　　
　　当软件显示策略设置好之后，一旦被限制的用户试图运行被禁止的程序，那么系统将会立刻发出警告并拒绝执行。

对于在本地计算机上存储的重要数据，我们可以利用很多途径来对它进行一系列的保护
　　。但是，当数据在网络上传输时，不会被加密。这时候怎么办？Windows 2000的IP安全特性
　　解决了这个问题。
　　
　　IP安全性(Internet Protocol Security)是Windows 2000中提供的一种安全技术，它是
　　一种基于点到点的安全模型，可以实现更高层次局域网数据的安全性。
　　
　　
　　创建IP安全策略
　　
　　
　　在网络上传输数据的时候，通过创建IP安全策略，利用点到点的安全模型，能够安全有
　　效地把源计算机的数据传输到目标计算机。下面是创建IP安全策略的方法：
　　
　　1.选“开始→运行”，在“运行”对话框窗口的“打开”编辑框中输入“mmc”，单击“
　　确定”按钮，启动“控制台”对话框窗口。
　　
　　2.单击“控制台”菜单中的“添加/删除管理单元”选项，启动“添加/删除管理单元”
　　对话框，单击“独立”选项卡中的“添加”按钮，启动“添加独立管理单元”对话框窗口。
　　
　　
　　3.在“可用的独立管理单元”列表中选定“IP安全策略管理”。
　　
　　4.单击“添加”按钮，启动“选择计算机”对话框窗口，并利用各个单选按钮确定当前
　　IP安全策略待管理的计算机，可以将管理范围设置为：本地计算机、管理此计算机所在域的
　　域策略、管理另一域或另外一台计算机(如图1所示)。
　　
　　5.逐一单击“完成”按钮与“关闭”按钮即可。
　　
　　
　　设置IP过滤器
　　
　　
　　IP安全属性的每一个组成部分都称为安全策略，而IP过滤器又是安全策略中的重要组成
　　部分，因此设置IP过滤器对保护网络数据的传输有着极为重要的作用。
　　
　　1.添加新IP过滤器
　　
　　(1)选“开始→运行”在“运行”对话框窗口的“打开”编辑框中输入“mmc”，单击“
　　确定”按钮，启动“控制台”对话框窗口。
　　
　　(2)在“控制台”对话框窗口左侧“控制台根节点”下的“IP安全策略”上单击鼠标右键
　　，然后单击相应快捷菜单中的“管理IP筛选器表和筛选器操作”菜单项，出现“管理IP筛选
　　器表和筛选器操作”对话框(如图2所示)。
　　
　　(3)单击“管理IP筛选器列表”选项卡中的“添加”按钮，启动“IP筛选器列表”对话框
　　，在“名称”编辑框中键入新创建IP过滤器的名称(如“我的IP地址”)并单击“添加”按钮
　　，然后单击“下一步”按钮。
　　　
　　

1.jpg (27 KB)
图1

2007-7-11 23:09

　　
　　
　　(4)在出现的窗口的“源地址”中输入服务器的IP地址和子网掩码，单击“下一步”按钮
　　。
　　
　　(5)在出现的窗口的“目标地址”中输入客户端的IP地址和子网掩码，单击“下一步”按
　　钮。
　　
　　(6)在窗口的“IP协议类型”中一般选择“TCP/IP”协议。最后单击“完成”按钮即可。
　　
　　2.编辑已有IP过滤器
　　
　　(1)在图2所示的窗口中单击“编辑”按钮，启动“IP筛选器列表”对话框窗口。
　　
　　　
　　

2.jpg (30 KB)
图2

2007-7-11 23:09

　　
　　(2)在“IP筛选器列表”对话框窗口中单击“编辑”菜单选项，启动“筛选器属性”对话
　　框窗口，利用对话框中的“寻址”、“协议”、“描述”选项卡更改指定筛选器列表的属性
　　设置。例如：利用“寻址”可以更改IP通信的源地址和目标地址设置。
　　
　　3.编辑指定筛选器
　　
　　(1)窗口中选择“管理筛选器操作”选项卡的“筛选器操作”列表中选定待编辑其属性设
　　置的筛选器操作，如“所有IP通讯”。
　　
　　(2)单击“编辑”菜单项，启动“*(筛选器操作名称)属性”(如“所有IP通讯”)对话框
　　窗口。
　　
　　
　　

3.jpg (44 KB)
图3

2007-7-11 23:09

　　
　　(3)利用对话框中定义的单选按钮、安全措施首选顺序列表以及复选框组设置筛选器操作
　　，用户可以根据自己的需要合理设置筛选器，单击“确定”按钮即可(如图3所示)。
　　
　　这样，通过创建IP安全策略和合理设置IP过滤器，能有效地保证数据在网络传输过程中
　　的安全性。